Сообщений в теме: 77

[grommit]

Хотите максимально защитить свой платёж? не осуществляйте его.

Но вопрос был не об этом, а о том, как именно осуществлять.

А почему слово - "объяснили" вы поставили в кавычки? Я привел какие-то псевдоаргументы?

В данном случае, конечно. Именно потому, что абсолютной безопасности быть не может, а делать-то что-то надо. Поэтому, аргументы в стиле "все пропало, все пропало!" не годятся.

А мысль как с высокой степенью надежности сохранить тайну уже упоминалась здесь - одноразовые пароли.

Это годится, если потребность возникла не внезапно и банк поддерживает такой сервис. И то и другое негарантировано. Но (опять-таки), делать-то что-то надо? Соответственно, нужны рецепты "из подручных материалов". Но значительно снижающие риск.
В конце-концов, карточку с одноразовыми паролями можно потерять, могут украсть с вещами (вот и денежки понадоблись! ) или попав под тропитческий ливень, она может превратиться в кашицу. А проблема остается.
И вопрос возвращается в исходную точку: "Что делать?"

[-=AlexuS=-]

хех, grommit, теряете вы чувство юмора, или вы правда думаете, что кто-то будет защищать свой компьютер держа его постоянно выключенным в бункере? то же самое можно сказать и про контекст моей фразы об отказе от платежа

В данном случае, конечно. Именно потому, что абсолютной безопасности быть не может, а делать-то что-то надо. Поэтому, аргументы в стиле "все пропало, все пропало!" не годятся.

Перечитайте. Это не был аргумент в стиле "все пропало", это было обоснованное утверждение, что рассматриваемые меры защиты откровенно слабоваты и, наврядли, помешают негодяю узнать секретные данные. Здоровая критика - есть такое понятие. И уж лучше знать реальный уровень угрозы, чем пребывать в иллюзии о том, что у злоумышленника не хватить интеллекта или инструментов легко преодолеть эту защиту.

А проблема остается. И вопрос возвращается в исходную точку: "Что делать?"

Ага, именно так. Но не у всякой проблемы есть качественное решение. И уж если есть необходимость платить в инет-кафе, и нет одноразовых паролей, остается лишь понадеяться на свою удачу и воспользоваться предложенными здесь средствами отдавая себе отчет в реальной степени их эффективности.
Ну и конечно ждать новых идей в этой ветке, о том, как все обезопасить.

[Yulia_D]

Раз всё так ужасно, значит нужно платить либо со своего ноутбука/КПК через какой-нибудь wi-fi, либо с телефона...
А, кстати, при использовании халявного wi-fi (обычно в центре города можно словить, в Европе, по-крайней мере, можно) данные никто не может покрасть?

[-=AlexuS=-]

...А, кстати, при использовании халявного wi-fi (обычно в центре города можно словить, в Европе, по-крайней мере, можно) данные никто не может покрасть?

Ваши данные потенциально могут украсть где угодно, на всем этапе путешествия от вас до продавца и от продавца до вашего банка, где у вас счет. Даже продавец, у которого вы что-то покупаете, может сохранить их и в будущем использовать в своих целях. Недавно читал где-то сообщение, о том, что два брата в Канаде организовали какой-то инет-магазинчик, получали законные платежи за свой товар и потом, по прошествии времени, втихаря доснимали средства с тех счетов. Но это конечно исключение, т.к. помимо моральных барьеров возможная расплата за такие игры это потеря бизнеса и нары. В общем, об абсолютной защищенности и речи нет.
В реальности же, шансы нарваться на людей способных снять данные из шифрованного WiFi-протокола или расшифровать шифрованные данные идущие по протоколу HTTPS (а именно он используется для передачи конфиденциальных данных при платеже) не так уж и велики. Так же они не велики, если платить из инет кафе без всяких заморочек. Нарваться, конечно всегда можно, но, по крайней мере, массовых сообщений о подобных схемах мошенничества нет. Так что не все так плохо.

[romx]

А, кстати, при использовании халявного wi-fi (обычно в центре города можно словить, в Европе, по-крайней мере, можно) данные никто не может покрасть?

Это наименее безопасный способ из всех. Еще менее безопасный только поймать кого-нибудь на улице, выдать ему карточку, пин, и попросить сходить к банкомату, принести кэша ;)

Другой вопрос, что приличные платежные страницы всегда шифруются средствами https, но это отдельная тема.

[romx]

В реальности же, шансы нарваться на людей способных снять данные из шифрованного WiFi-протокола

Регулярно этим занимаюсь в незнакомых городах, правда не для кражи карточек, естессно. ;)

или расшифровать шифрованные данные идущие по протоколу HTTPS (а именно он используется для передачи конфиденциальных данных при платеже)

Это сложнее.

Но в интернеткафе не нужно ничего расшифровывать. Примитивный кейлоггер, программа, которая записывет (и отсылает хозяину) все нажатия клавиш и набираемые данные, и который может работать даже без ведома и так обычно довольно пофигистичных хозяев - основной метод.

Решение только одно: контролировать счет, и не позднее месяца с момента обнаружения непрошенных транзакций писать комплейн в свой банк на откат такой операции.

[-=AlexuS=-]

romx, да, все так. Но, прежде чем отвечать, недурно войти хотя бы немного в контекст обсуждения, прочитав с десяток предыдущих сообщений.

[Yulia_D]

Регулярно этим занимаюсь в незнакомых городах, правда не для кражи карточек, естессно.

И как это технически выглядит (в общих словах)?
С интернет-кафе всё понятно.
А с wi-fi?
Например, сижу я на балконе общаги со своим ноутбуком и оплачиваю билет на самолёт кредитной картой.
А Вы в это время ловите передаваемые данные.
Как Вы их будете расшифровывать, в принципе, неважно - мне вот непонятно, как Вы догадаетесь, что именно я провожу платёж (в интернет-кафе это достаточно просто)?
Или Вы будете мониторить всех пользователей, которые пользуются wi-fi в этом районе?

[Serge&]

http://lleo.aha.ru/d...2008/11/26.html

что там?

[fisher58]

осуществлял платежи с мастер сбербанка, одноразовых кодов не было ибо их можно было на тот момент получить только в москве. но проплатить нужно было срочно и тупо давил на клавиши и иногда платёж проходил без одноразового пароля. так что не панацея. (писал об этом у винского подробнее и на свежую память, если не ошибаюсь в теме про сберкарты).
да, и одноразовые пароли запрашивались не со всех сайтов. финэйр проплата без паролей, а на эйразия пароль требовался. где то было, что сбер сам выбирае когда запрашивать одноразовые пароли, а когда нет, типа -этом доверяю, этому- нет.

[Norka.Israel]

Спасибо за такую важную тему!!! Узнала интересные способы обезопасить себя которые мне в голову не приходили!
Сама несколько раз платила в интернет-кафе и было непосебе. Не знаю как в России, у меня карты только израильских банков. У них можно записаться на услугу посылки СМС после каждого интернет платежа. Есть также посылка СМС после офлайн платежа если он больше определенной суммы. Узнайте, есть ли такое у вас.

А вот одноразовых кодов у нас наверное нет - я о таком не слышала.
Я стараюсь ездить с 2-мя картами разных банков. По одной плачу в интернет кафе и сую в банкомат. А вторую не свечу нигде - она на всякий случай.

А вообще проверяйте тчательно все что делает банк с вашим счетом. Мой родственник открыл счет, получил карту и интернет пароль, зашел в интернет - посмотреть на свой новенький счет и обнаружил что он НЕ ЕДИНСТВЕННЫЙ владелец счета!!! Так вот. За всем следить надо.

[MBR]

Из всей цепочки самым узким является карта Виза. Более безопасного способа, как перечислять деньги через интернет-банк непосредственно перед платежом с использованием одноразовых паролей я не знаю.

Касаемо самих лоджеров. Лоджер процесса может не иметь, запускаясь как сервис. Отследить наличие или отсутствие грамотно написанного лоджера на пользовательском уровне можно лишь с вероятностью.

Единственный вариант - это анти-лоджер. Внедриться в цепочку хуков и направлять сообщения непосредственно в программу-получатель, игнорируя основную цепочку. Гугл говорит, что такие программы для параноиков существуют. И стоят денег. Имхо, совершенно необоснованных. Про эвристический анализ - п***ят они, конечно.

[GreyAngel]

осуществлял платежи с мастер сбербанка, одноразовых кодов не было ибо их можно было на тот момент получить только в москве

А сейчас как?
Сегодня столкнулся первый раз с такой проблемой: карточка Сбербанка требует одноразовый пароль, который можно получить только в банкомате. Где я им возьму банкомат Сбербанка в Англии? Смешные такие.
А что, есть другой способ получения этих паролей? Если есть - поделитесь, пожалуйста.

[fisher58]

А что, есть другой способ получения этих паролей?

шибко с ними ругался, но только через банкомат сбера, и то не через всякий. никаких обходных путей типа я вам дам данные, вы получите и передайте мне не существует, нужна карта.

"тупо давил на клавиши и иногда платёж проходил без одноразового пароля" "потом пошёл на эйразия- просто выскакивает после всех процедур сбербанковская страница-бла, бла, бла, отменить. жму отменить-платёж проходит, идёт сначала чистая страница и "процессинг" потом подтверждение. а если сразу выскакивает "процессинг" без сбербанковской страницы-фиг вам, банк не подтверждает из-за программы "виза ..." "
http://forum.awd.ru/...&...c&start=100
там ещё обсуждение одноразовых паролей, может что и найдёте. удачи.

[Зараза]

Не факт, что Инет-кафе самое слабое место в цепочке, вот здесь писал про утечку данных с booking.com http://www.bpclub.ru...1...st&p=220357.

Сообщение отредактировал Зараза: 03 июля 2009 - 12:10

[Eldan]

У Запсибкомбанка есть услуга вкл/откл возможности платежа через интернет при помощи смс.
В ближайшее время протестирую эту функцию.

[Eldan]

При попытке оплатить билеты через сеть мне пришло сообщение о том, что транзакция запрещена банком.
После того как отправил смс, платеж прошел. Потом отправил смс с запросом "выключить" возможность интернет платежей.

Могут ли каким-то образом списать деньги, узнав номер карты и СVV через интернет-кафе (либо через нечистоплотный интернет-магазин и т.п.)?

Сообщение отредактировал Eldan: 08 августа 2009 - 12:48

[kaa]

Могут ли каким-то образом списать деньги, узнав номер карты и СVV через интернет-кафе (либо через нечистоплотный интернет-магазин и т.п.)?

... через нечистоплотного продавца, банковского работника, отельера...

Могут. Спрашивайте в банках услугу страхования убытков от таких вот рисков. Глядишь, и появится как на западе.

[Eldan]

... через нечистоплотного продавца, банковского работника, отельера...

Можно поконкретнее, каким образом?

Если через интернет транзакция пройти не должна.
Если через личную подпись - теоретически можно доказать, что подпись не твоя, и тебя там вообще не было. Деньги должны вернуть.

Вообще, я так понимаю, есть 3 способа авторизации для снятия денег.
1. пин-код
2. личная подпись
3. CVV код.
Что-то ещё есть?

Могут. Спрашивайте в банках услугу страхования убытков от таких вот рисков. Глядишь, и появится как на западе.

А это что за зверь и как действует?
Кажется, если доказано что деньги сняиы без твоего разрешения - их должны вернуть.
Если этого не доказано - то случай не страховой

[kaa]

Можно поконкретнее, каким образом?

Можно. Например, скимминг или фишинг.

Вообще, я так понимаю, есть 3 способа авторизации для снятия денег.
1. пин-код
2. личная подпись
3. CVV код.
Что-то ещё есть?

Это вы про авторизацию со стороны клиента? Ну тогда я вас огорчу. В рамках платежных систем существуют методы, которые позволяют практически любую карту, за исключением разве что Маэстро, вне зависимости от остатка на ней, загнать в минус без присутствия карты и клиента.
Далее. Наверное, все видели как в кино заказывают пиццу по телефону с помощью кредитки. Для этого, конечно, используются не терминалы, а более доверенные устройства. В отелях и рент-а-карах на card-not-present операциях допускаются транзакции без авторизации со стороны клиента. Опять-таки, не во всех таких организациях, а лишь в тех, где банк-эквайрер такие операции разрешил.

А это что за зверь и как действует?
Кажется, если доказано что деньги сняиы без твоего разрешения - их должны вернуть.
Если этого не доказано - то случай не страховой

Доказывают в суде. Судебная практика по возврату неправомерно списанных денежных средств неоднозначна и зависит от правоприменения в разных странах. Не в каждом случае деньги будут возвращены, да и в банковских правилах часто утверждается, что ответственность снимается с картхолдера лишь после сообщения в банк об утрате карты. Риск есть и его можно застраховать. Цена вопроса, как я помню, невелика - что-то около 15-20 долларов в год.