Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование.

[Logger]

Наверно, многие уже читали, но пусть будет.
https://geektimes.ru/post/280844/

[Logger]

Комментарии интересные.
Оказывается куча народу верит, что если они со своей сберовской карты платят и подтверждают платеж через СМС, то они защищены от таких сайтов и деньги у них увести не могут.

К сожалению это далеко не так.

[dn]

Цитата:

Сообщение от Logger

если они со своей сберовской карты платят и подтверждают платеж через СМС, то они защищены

Если просто делается перевод на левую карту, то из текста по ссылке не понятно как можно без кода подтверждения снять деньги. Первый раз понятно - сам ввел код, но а в следующий?

[Logger]

Если я правильно все понял то запрос кода подтверждения зависит от двух вещей
1. От банка который выпустил карту (например Сбер)
2. От банка куда пойдет платеж.
И чтобы запрос был, надо чтобы оба банка поддерживали эту возможность.

А мошенники сумели стащить параметры карты на первом платеже. А дальше все было делом техники. (Деньги похоже выводились в банк который не поддерживает СМС запрос пароля)

У меня например Сбер - в большинстве случаев подтверждение через СМС идет. А когда оплачиваешь электроэнергию в мосэнергосбыте - не идет.
Тут видимо что то аналогичное.
Почитайте в комментариях там разбирали этот вопрос.

[dn]

Да, вообще всё весело:

Цитата:

"В случае, если для проведения операций в сети Интернет, сайт не запрашивает подтверждение операции одноразовым паролем, это значит, что сайт не поддерживает технологию безопасного проведения операций 3d secure. Решение о введение данной технологии принимается администрацией сайта. ОАО "Сбербанк России" не может предоставить Вам информацию о технологиях, используемых различными Интернет-сайтами для проведения операций по картам, так как данный вопрос находится вне сферы контроля ОАО "Сбербанка России".

[Vals]

Для мошенничества с подтверждающим кодом злоумышленнийками испольуются уязвимости Мобильных ОС и банковских приложений. А именно - на уровне андроида перехватывались СМС и подтверждались так, что Пользователь их не видел.

Кому интересно, у меня есть несколько отчётов на эту тему.
Кому интересно проверить софт - у меня есть чем

[trud]

А MasterCard-Visa разве не должны возвращать такие операции?

[komar]

Даже если код ввёл сам, то операцию всё равно можно опротестовать.

[Vals]

Для банков , тем более сбера это подлинные операции. Чтобы доказать обратное, нужно изловить мошенника и доказать его действия с вашей картой.
В общем, банки всех посылают

[trud]

для банка да, он тут не причем.
у меня такое было, когда сайт на котором я что-то заказывал сам оформил подписку и когда я ее закрыл продолжал снимать деньги(по их правилам отписаться можно было только через месяц) звонок в банк ничего не дал, они сказали что я сам вводил карту, а они ее только обслуживают. предложили написать в Visa- Visa Dispute Form.
Visa через месяц вернула деньги.
банк был правда не РФ

[komar]

Цитата:

Сообщение от Vals

Для банков , тем более сбера это подлинные операции. Чтобы доказать обратное, нужно изловить мошенника и доказать его действия с вашей картой.
В общем, банки всех посылают

Похоже, не все банки, и не всех посылают. Меня не посылали. Причём, в ситуации, когда код подтверждения я вводил сам. Ошибся, прошу отменить операцию. Бывают же ситуации, когда ошибочно на неправильный номер телефона, например, заплатил - тоже ведь решается вопрос.

[mnt_dx]

Цитата:

Сообщение от trud

А MasterCard-Visa разве не должны возвращать такие операции?

Нет, когда вы позвоните в эту организацию, то в итоге в тональном режиме вводите код своей карты. Они определяют, какому банку принадлежит карта и переводят звонок туда.
Был случай со Сбером - мошенники по данным карты закупались в инет-магазине - через несколько дней после написания заявления в офисе сбера деньги вернули.

[Sancho]

как говорил Чак Норисс, не следует все яйца держать в одной мошо... т.е. корзинке
заводим 2 карты. одной можно пользоваться везде и в интернете, другой в интернете нельзя.
так вот первая карта дебетовая, в минус не уйдет и денег на ней с гулькин хвост.
украдут - не жалко.
если надо что-то оплатить в инете, со второй переводим на первую внутри СбербанкОнлайн, например, минутное дело, платим с первой.
пока СбербанкОнлайн не ломанули считаю себя в безопасности.

[pitersky]

Цитата:

Сообщение от Sancho

заводим 2 карты. одной можно пользоваться везде и в интернете, другой в интернете нельзя.

хороший подход. у меня карты Альфа-банка, примерно так и делаю
+ ещё что хорошо у них можно менять привязку карты к счёту. то есть одной и той же картой можно расплачиваться за покупки в рублях или евро без конвертации