Рубрика «банковские карты»

Магазин открыл 110 000 банковских карт своих покупателей и 6 месяцев не хотел закрывать уязвимость - 1

В последнее время так много новостей о взломах компаний и утечках персональных данных, что владельцы сайтов наверняка приняли дополнительные меры предосторожности, чтобы не допустить такое, думаете вы. Как бы не так. Может быть, в каких-то крупных компаниях и задумались о том, как бы не потерять капитализацию на десятки миллионов долларов, как Yahoo перед продажей (когда всплыли факты крупных взломов). А вот многие мелкие бизнесы и пальцем не пошевелили.

В ноябре 2016 года компании специалисты по безопасности из Kromtech Security Research Center обнаружили базу данных с полной информацией о покупателях одного из крупнейших онлайновых зоомагазинов в США — всего более 110 000 записей о банковских карточках, некоторые с кодами CVV.
Читать полностью »

Уже несколько месяцев к ряду наблюдаю драму, как наш ритейл жалуется то в ФАС, то куда-то ещё на то, что им стал дорог интернет эквайринг. Вот мне было интересно, а ведут ли ритейлы так же себя со своими поставщиками? И оказалось еще как — что и следовало ожидать. Давайте и мы поможем ритейлу подсчитать проценты.

image

Увы, Игорь Королёв из cnews неважно разбирается в эквайринге. Например, ставку 1.4% может дать только Сбербанк – и она будет ниже себестоимости. Вообще, Сбербанк зачастую работает в минус по эквайрингу, т.е. если бы банк отдал эквайринг, например, в Альфа-Банк, то на interchange Сбер зарабатывал бы больше. Хотя может сейчас что-то и изменилось. Но интерченджа размером в 0.5% в России попросту нету.

Попробуем разобраться откуда растут ноги и так ли им дорого.

Читать полностью »

Cards VS e-Wallets - 1

Почему в России, в отличие от США и Европейских стран, получили сильное развитие электронные валюты? Для того чтобы ответить на этот вопрос, нам нужно углубиться в историю появления кредитных карт в США.

История развития МПС

В Америке история платёжных карт началась именно с кредитных карт, ещё с начала 1900-ых годов: первая потребительская кредитная карта была выпущена в 1914 году Wester Union Telegraph Company для своих лучших клиентов, и представляла из себя металлическую пластинку, и требовала погашения трат раз в месяц. Клерки в магазинах просто делали оттиск с этой карты и затем получали по нему деньги в банке. Подобные карты выпускались вплоть до конца 1950-х гг.
Читать полностью »

Примерно полгода назад в публикации на Geektimes «Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование», я описал случай, как у моего знакомого помимо денег за «фейк-авиабилеты» дополнительно украли с карты 35200руб, которые ушли на пополнение счета мошенников в рекламной сети Яндекс.Директ. Украденная сумма ограничивалась только остатком средств на карте. Если бы на карте оставались еще деньги, то украли бы больше. В комментариях списания средств было указано «YM*Yandex.Direct». Ниже фрагмент банковской выписки, взятый из упомянутой публикации:

image

В описанном случае номер банковской карты «потерпевшего» был украден, точнее получен обманным путем на мошенническом сайте. Перевод средств за фейк-авиабилеты потерпевший подтверждал с помощью кодов 3D Secure, которые приходили в СМС от банка. Однако средства на опалату Yandex.Direct уходили в разное время без каких-либо дополнительных запросов владельцу карты, без проверок 3D Secure итп.

Хотя на теневых форумах мошенники писали, что Яндекс действительно не использует 3D Secure при оплате Яндекс.Директа, подтвердить это не получалось. При собственном тестировании пополнения баланса Яндекс.Директа через сайт, всегда проводилась дополнительная проверка с помощью смс-кодов от банка. Я даже думал, что Яндекс по результатам первой публикации быстро исправил свои сервисы. Для меня и, думаю, для многих долгое время оставалось непонятно, каким же образом мошенники обходили эту проверку. И вот я случайно нашел этот несложный способ, который лежал на поверхности, и который работает до сих пор. Всем, кто в комментариях к первой статье хвалился «суперзащищенностью» своих карт и хвалил свои банки, предлагаю проверить их на прочность при оплате Яндекс. Директа.
Читать полностью »

Комментарии: Райффайзен, Альфа-Банк и ВТБ24 - 1

Моя предыдущая статья «Личный опыт: Райффайзен, Альфа-Банк и ВТБ24» наделала много шума: +21 и -20 лайков и почти 200 комментариев!

Трактовали все по-разному — что «статья примитивная», и что «любители Cбербанка» заминусовали мой пост о «длинных очередях» и т.п. Для начала, я написал по каждому банку больше положительных моментов, чем отрицательных. Более того мой путь отнюдь не был Райффайзен → Альфа-Банк → ВТБ24. Картой ВТБ24 я пользуюсь параллельно, но достаточно редко.

Итак, по банкам:Читать полностью »

Личный опыт: Райффайзен, Альфа-Банк и ВТБ24 - 1

Я работаю финансовым аналитиком в платежной компании ChronoPay и пишу сюда о всяких теоретических вещах — вроде истории карты Visa или рождение Chargeback'a. Но в конце-концов финансы дело практическое, бытовое. Да еще и Аристотель велел перемежать длинные лекции житейскими историями. Вот почему на этот раз я решил написать про мой опыт использования карт трёх банков в Москве — Райффайзен, Альфа-Банк и ВТБ24.

И так, №1 — Райффайзен.

Читать полностью »

image

Привет Хабр, давно ничего не публиковал, поэтому начну с небольшой заметки моего бытового опыта пользования Samsung Pay. В конце концов кроме работы экспертом в ChronoPay я еще и среднестатистический покупатель. Я не являюсь поклонником техники Apple, но в их системе принцип тот же что и у Samsung — и на мой взгляд обе системы имеют один решительный недостаток который пока никак не устранить.

И так, технологии бесконтактной оплаты на основе технологии NFC появились уже давно. Был ряд приложений ещё под старые Samsung’и, позволяющие эмитировать виртуальные карты и использовать их.
Читать полностью »

Дешевые авиабилеты… Сеть мошеннических сайтов, ворующих деньги с карт. Второе расследование. Причем здесь Промсвязьбанк? - 1

Около месяца назад я опубликовал на Geektimes статью «Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование.» Публикация получила большой отклик и неожиданное продолжение…

Напомню для тех, кто первую часть не читал. В публикации на основе реальных случаев были описаны схемы, с помощью которых мошенники воруют деньги с карт покупателей авиабилетов, которые имели неосторожность попасть на поддельный сайт по продаже билетов. Количество таких мошеннических сайтов по продаже авиабилетов в рунете исчисляется десятками и сотнями (с учетом закрытых). На таких сайтах пользователю сначала показывается реальная информация об авиарейсах, предлагается оформить заказ и оплатить его банковской картой. Всё выглядит красиво, пока покупатели авиабилетов не обнаруживают, что остались и без денег, и без билетов.

Во всех обнаруженных случаях для кражи денег такие сайты используют сервисы банков для перевода денег с карты на карту (P2P). В первой части был подробно разобран механизм того, как страница Банка Тинькова для оплаты с карты на карту маскируется и встраивается на мошеннические сайты, так, чтобы «покупатель» ничего не заметил. Также упоминался Промсвязьбанк, — именно через него были украдены деньги с карты потерпевшего в истории, которая была описана. И если с банком ТКС вопросов не осталось, то в случае с Промсвязьбанком было непонятно, как именно выводятся деньги. Основной скрипт, служащий для воровства денег, выполнялся на стороне сервера и без исходных кодов можно было только стоить предположения, что именно он делает.

И вот один из пользователей Geektimes связался со мной и прислал тот самый скрипт payp2p.php, который использовался в последнее время на большой части мошеннических сайтов по продаже авиабилетов. Скрипт этот использует сервис Промсвязьбанка для перевода с карты на карту. И на мой взгляд, Промсвязьбанк, предоставляя свой сервис, который было легко обмануть, способствовал росту количества интернет-мошенников.Читать полностью »

imageБанки и в особенности финтех-компании все сильнее фокусируются на миллениалах, понимая, что именно они обеспечат процветание их бизнеса в ближайшем будущем. Тем временем некоторые игроки смотрят еще дальше и придумывают решения для детей, так называемого поколения Z. В этом материале мы расскажем вам, с помощью каких решений городские власти, банки и финтех-компании взаимодействуют с теми, кто родился в 21-м веке.

Осенью 2014 года Сбербанк предложил своим маленьким клиентам воспользоваться конфетоматом. Аппарат, наполненный сладостями, Сбербанк разместил в своем отделении на Тверской. Терминал был доступен для посетителей до апреля этого года. Общую концепцию проекта, включая софт и железо, разработало агентство Deluxe Interactive Moscow. По задумке с помощью устройства дети, пришедшие вместе с родителями в банк, могли освоить функции банкомата в раннем возрасте.
Читать полностью »

В этой публикации речь пойдет о целой сети мошеннических сайтов, которые на протяжении долгого времени работают с единственной целью — похитить данные банковских карт и увести все доступные денежные средства с этих карт. В этой схеме используются на разных этапах сервисы известных компаний и банков. Таких как Яндекс (Поиск, Директ, YandexMoney, Карты), Промсвязьбанк, Банк Тинькофф и, вероятно, других.

Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование - 1

История эта началась совсем недавно. Всего пять дней назад и, можно сказать, что пока еще не закончилась. Один мой знакомый обратился ко мне за консультацией с вопросом, можно ли как-нибудь закрыть «нехороший сайт»…

Итак, что же случилось?

Мой знакомый захотел купить авиабилеты и решил, что самый простой для этого способ — задать вопрос Яндексу.
На простой запрос типа «самые дешевые билеты в Анапу» Яндекс одну из первых ссылок выдал на некий сайт, который служит для поиска и покупки дешевых билетов без комиссии. Ссылка эта, вероятно, была в верхнем рекламном блоке. Перейдя по ссылке, мой знакомый нашел себе подходящие билеты, оформил заказ, и попал на страницу оплаты с помощью банковской карты…
Читать полностью »