Сообщений в теме: 77

[Денис Борисович]

Что-то я в свете последних событий паранойиком становлюсь))) Терзаюсь вот вопросом: насколько безопасно совершать платежи по ВИЗА-карте из интернет-кафе. Ну, типа там клавиатурные шпионы, трояны и все такое. Паранойя еще усугубляется тем, что я пароль от интернет-банка не помню, так что и операции по карте не могу наблюдать... Интересно узнать мнение благородных донов по этому вопросу.

[Зараза]

Интересно узнать мнение благородных донов по этому вопросу.

Не благородный дон, но отвечу. Перед оплатой я делаю CTRL+ALT+DEL и смотрю внимательно на список задач. Если нахожу средства для удаленного управления рабочим столом (что позволяет удаленно наблюдать за происходящим на экране) типа VNC, Remote Admin и так далее - гашу эти приложения, после этого плачу. С другой стороны от всего уберечься не реально, если кто-то захочет сохранить вводимые данные и попользоваться ими - это не составит труда при желании. Поэтому использую также следующий вариант, расскажу конкретно про Уралсиб, картами которого пользуюсь: Уралсиб предлагает услугу Интернет-банк (она же ДБО), которая дает возможность управлять счетами. Имею два счета, один карт-счет, второй до востребования. Деньги лежат на до востребования, карт-счет пустой. Доступ к ДБО осуществляется через IE, закрыто парой имя пользователя/пароль, переводы между своими счетами бесплатны, происходят в рабочее время в срок от 15 минут до пары часов. Переводы на ЧУЖИЕ счета осложнены для злоумышленика еще сеансовыми ключами, который тебе выдают в банке, то есть даже зная пароль на ДБО слить деньги куда-то НЕ РЕАЛЬНО не зная ключей. Подходим к главному: нужно сделать платеж картой, заблаговременно нужную сумму перекидываешь с счета до востребования на картсчет, тратишь с картсчета оплатой картой, счет пустой, даже если данные твоей карты поимеют - взять там нечего. Можно держать на картсчете необходимый минимум, необязательно пустым. Минусы: в нерабочие дни будешь бродить с пустой картой до ближайшего рабочего дня, если протормозишь с перемещением денег. Ну тут уж выбирать, или паранойю лечить или подстраиваться.

Сообщение отредактировал Зараза: 24 ноября 2008 - 07:59

[grommit]

Поэтому использую также следующий вариант, расскажу конкретно про Уралсиб, картами которого пользуюсь:

Аналогично.

Имею два счета, один карт-счет, второй до востребования. Деньги лежат на до востребования, карт-счет пустой.

Аналогично.

... в срок от 15 минут до пары часов.

По неизвестной мне причине, у меня перевод происходит мгновенно. Закрываю вкладку переводов по счетам, открываю вкладку счетов, а там уже все переместилось. Если система не висит.
Начиная со второй половины дня пятницы по утра понедельника по внешним платежам - глушняк.
Внутрибанковские перемещения, вроде, без проблем.

Можно держать на картсчете необходимый минимум, необязательно пустым.

Я обычно перекидываю непосредственно перед самым платежом. За пару минут до него. Сумма, обычно на 5-10 долларов больше предполагаемого платежа в зависимости от его суммы. Как ни высчитывай, а какую-то комиссию один хрен не учтешь или о ней тебе "забудут" сообщить.
В результате, в остатке обычно не более 2,5 долларов.

Ну тут уж выбирать, или паранойю лечить или подстраиваться.

Это точно.

[Strannitsa]

Перед оплатой я делаю CTRL+ALT+DEL и смотрю внимательно на список задач. Если нахожу средства для удаленного управления рабочим столом (что позволяет удаленно наблюдать за происходящим на экране) типа VNC, Remote Admin и так далее - гашу эти приложения, после этого плачу.

знаешь, по моим наблюдениям практически во всех инет-кафе тебя в список задач просто не впустят и все ... что будешь делать?
пойдешь искать другое кафе???
я раз только из кафе платила, было стремно, но ... а что делать?

для параноиков - заведите себе Визу ЭЛЕКТРОН сбербанка
по ней теперь платить можно, если в банкомате взять распечатку с кодами.
так вот эти коды как раз никто кроме вас знать не будет, потому как они есть только в системе Сбера и у ... вас с кармане на бумажке.

как-то так ...

[Денис Борисович]

Спасибо за толковые ответы. Вот только пароль от интернет-промсвязьбанка я и не помню))) Придется что-то выдумывать)))

[grommit]

Придется что-то выдумывать)))

Ага. Например, прийти в свое отделение банка и попросить пароль. Или попросить его и сменить на более запоминающийся, чтобы впредь не попадать.

Что касается Visa Electron, то будь она сбербанковская, будь хоть американьская, но она годится для многих интернет-платежей. Но для многих просто не канает и все тут. Оптимально, конечно, Visa Classic или Mastercard Mass.

Впрочем, к безпасности это уже прямого отношения не имеет. Можно поискать проги, которые позволяют работать с флешки, как-то перехватывая под себя клавиатуру и через свой браузер.
Про первые я честно говоря не слышал, но чем черт не шутит. А вот со вторым (по крайней мере с Уралсибом) затыка - работает только через IE-7. А его в варианте на флешке я что-то не встречал.

[Зараза]

А вот со вторым (по крайней мере с Уралсибом) затыка - работает только через IE-7.

Значит у нас с Вами все же разный ДБО от Уралсиба, так как мой без проблем работает из любого браузера. Также у меня ТОЧНО перемещения денег между своими счетами проходят не мгновенно. Пример одной из последних транзакций:
21.11.2008 16:15:41 Черновик
21.11.2008 16:16:48 Отправлен в банк
21.11.2008 16:16:56 Определение консолидированных счетов передан на автоматическую обработку
21.11.2008 16:17:02 Ожидает автоматическую обработку
21.11.2008 16:17:07 Автоматическая обработка проверка реквизитов
21.11.2008 16:17:10 Ожидание сервиса
21.11.2008 16:22:26 Автоматическая обработка документ проведен
21.11.2008 16:22:32 Исполнен

Не 15 минут и два часа, как я писал ранее, но и не мгновенно.
Также "мгновенно" меня смущает вот чем: если мгновенно - значит транзакция без участия оператора-человека, если транзакция без участия оператора-человека, значит должно работать круглосуточно, но Вы пишете про то, что с птн второй половины до пн первой половины - глухо. Логически не сходится последовательность. Объяснений не прошу, это просто то, что в глаз попало.

Сообщение отредактировал Зараза: 26 ноября 2008 - 06:48

[Зараза]

знаешь, по моим наблюдениям практически во всех инет-кафе тебя в список задач просто не впустят и все ... что будешь делать?
пойдешь искать другое кафе???

Уместное замечение. В матерых интернет-кафе действительно прав не хватает, а в прихостельных компьютерах и не матерых интернет-кафе у меня вполне получалось. Второй способ я описал выше. Можно сделать его единственным.

[grommit]

...но Вы пишете про то, что с птн второй половины до пн первой половины - глухо. Логически не сходится последовательность.

Я написал, что глухо по ВНЕШНИМ платежам. Видимо, внутренние перемещения идут автоматом, а внешние через homo bankus.
Кроме того, я статистику не отслеживаю так пристально. Сейчас вспоминаю, что коммуналка и перевод на счета других человеков серез ИСБ (интернет-сервис-банк) откладываются до понедельника. А вот билетики-то заграничные, я кажись покупал как-то именно в выходные. И без проблем.
Вобщем, с этим еще повнимательнее разбираться нужно. Возможно, я просто не разделяю ИСБ и карточный счет.

[-=AlexuS=-]

...для параноиков - заведите себе Визу ЭЛЕКТРОН сбербанка
по ней теперь платить можно, если в банкомате взять распечатку с кодами.
так вот эти коды как раз никто кроме вас знать не будет, потому как они есть только в системе Сбера и у ... вас с кармане на бумажке.
как-то так ...

Вы не совсем поняли суть проблемы. Вы оформляете платеж за что-то в интернет-кафе. Для транзакции вам необходимо вбить в платежную форму все необходимые атрибуты. Эти же атрибуты может ввести и злоумышленник, если украдет их кейлоггером. Ни платежная система Visa, ни банк-эммитент, ни банк-эквайер не могут узнать, кто именно вбивает эти атрибуты - вы или злоумышленник. Если конечно не использовать какие-то дополнительные каналы связи, типа телефонного звонка, с сообщением заранее выданного кодового слова.

[kaa]

AlexuS, вам знаком метод защиты с использованием одноразовых паролей?

[Pavel.]

метод защиты с использованием одноразовых паролей

Ну вообще даже у Нас в колхозе многие банки начинают вводить одноразовые пароли…
И вообщем-то «париться» при такой системе именно по поводу внешнего жульничества – не надо!
Тупо заходим в любое интернет-кафе, тупо стираем напыление с очередного пароля и абсолютно «по барабану» на всякие-там VNC и Remote Admin…
Карточку с паролями терять конечно нежелательно, но если потеряли – срочно звоним в банк!!!
Стирать напыление(новый пароль поглядеть) надобно по-одному, по мере необходимости и даже если кто-то умудрится подобрать следующий пароль – Вы легко в любом суде смогёте доказать неправомерность платежа…(да вообщем-то до суда дело в нормальном банке и не докатиться…)

[Orlandina]

услугу Интернет-банк (она же ДБО), которая дает возможность управлять счетами. Имею два счета, один карт-счет, второй до востребования. Деньги лежат на до востребования, карт-счет пустой. Доступ к ДБО осуществляется через IE, закрыто парой имя пользователя/пароль, переводы между своими счетами бесплатны, происходят в рабочее время в срок от 15 минут до пары часов.

аналогично в Альфа-банке. Интернет-банкинг с доступом ко всем счетам, перед со счета на счет максимум 5 минут, бесплатно. С конвертацией ессесно, если счета в других счетах.

[-=AlexuS=-]

AlexuS, вам знаком метод защиты с использованием одноразовых паролей?

До вашего сообщения был незнаком, наверно отстал я немножко от передовых банковских услуг :-)

[kaa]

Ну, в общем, это уже давно не самая передовая услуга. Банк-клиенты все чаще используют токены - некие устройства, которые после набора пина выдают последовательность цифр, вводимую для авторизации клиента. Алгоритм генерации последовательности зависит от серийного номера токена и известен банку. Токены чаще всего выглядят как миниатюрные калькуляторы, реже, например, как кредитные карты.

[Serge&]

Ну от "key logger", наверно, можно просто защититься, вводя пароль не последовательным нажатием клавиш, а по частям, например, сначала вторую половину, затем переставить фокус ввода мышкой в начало строки и набрать первую половину.

Что скажут знатоки насчёт такого способа?

[8888888]

Знатоки скажут, что можно использовать и виртуальную клавиатуру =)

[Зараза]

AlexuS, вам знаком метод защиты с использованием одноразовых паролей?

Pavel, kaa, Вы мне дайте данные с вашей карты, а именно номер, CVV, дату до которой действительно, а также держателя. А одноразовые пароли, токены-шмокены мегасекретные - оставьте себе. Я Вам же по вашим картам куплю билетов в РЖД без вашего ведома. Одноразовые пароли и прочие фишки - это защита от совершенно другого вида действий. Не путайте теплое и мягкое. Топикстартер задал вопрос "Боюсь, что при в оплате картами в интернет-кафе может уйти информация о: номере, CVV и сроке. Если этого не избежать совсем, как бы не попасть на деньги". А вы про токены и стирание напыления.

Сообщение отредактировал Зараза: 27 ноября 2008 - 13:25

[Pavel.]

Вы мне дайте...

Уважаемая Зараза…я вообще удивляюсь как взрослые люди размещают сообщения подобного содержания…

Можно и пари заключить (пара бутылок нормального коньяка, меня вполне устроит…) и я Вам даже потрогать пластик из своих рук позволю…

[Зараза]

Уважаемая Зараза…я вообще удивляюсь как взрослые люди размещают сообщения подобного содержания…
Можно и пари заключить (пара бутылок нормального коньяка, меня вполне устроит…) и я Вам даже потрогать пластик из своих рук позволю…

Проведите тогда, пожалуйста, ликбез для общественности, как именно незнание одноразового пароля при знании всех прочих реквизитов карты не дает возможности купить билет на www.rzd.ru по данным этой карты при наличии на карт-счете денег.

А про "я куплю билет" конечно погорячился, я не собираюсь покупать билет по данным вашей карты, но если Вы владеете волшебной таблеткой против махинаций с использованием данных карты - Вы готовы выложить данные своей карты в свободный доступ?

Сообщение отредактировал Зараза: 27 ноября 2008 - 15:26