Вот поглядел сайт УА. Там, если платишь картой, то скидки неплохие. Вообще-то этот вопрос уже перетирали, но я немного не об этом...
Попробовал пройти по шагам. Там на последнем шаге просто надо ввести номер карты и имя владельца. А как там построена защита от злоупотреблений? Ну, если я
подгляжу номер чьей-нить карты и введу эти данные? Или введу свою карту вот так, открытым текстом, а какой-нить начинающий хацкер этот номер словит?
Платежные системы уже давно используют SSL для работы с картой - это раз (просто так траффик перехватить-расшифровать будет намного сложнее). Второе - кроме номера, срока окончания карты и фио владельца - нужен CVV код (три цифры), написанные с обратной стороны карты. Если Вы используете чужие
реквизиты - вероятно что владелец заметит списание средств и опротестует транзакцию, после чего СБ банка начнет копать, может быть даже и найдет (ip и время транзакции будет в логе платежной системы). Если же параноя на предмет карты - заведите VISA Virtuon на разовую транзакцию, благо у СК есть
такой сервис в интернетбанке.
Платежные системы уже давно используют SSL для работы с картой
Странно, у меня предупредилка не отобразила переключение на https... Но это и не важно. Даже без хакера - на другом конце, в банке, эта инфа дешифруется? Значит персонал банка
видит ее полностью?
Цитата: От пользователя: doo
CVV код (три цифры), написанные с обратной стороны карты.
вот у меня Сберовская ВИЗА-электрон - там этот код есть. Интересно, а ей заплатить за билет можно?
А кто такой - процессинг? Железяка? Тогда ей деньги не нужны. Персонал? Так пусть видят все, что угодно, кроме ключевой информации, позволяющей легально пользоваться счетом!
Цитата: От пользователя: Bad-001
кроме ПИНа.
Вот именно! Не для того ли придуман этот ПИН? Почему же тогда его так неохотно используют для авторизации? Если бы в магазинах требовалось вводить ПИН, а не роспись на чеке, то для меня это было бы более логичным. Если
оборудование действительно по-честному сертифицировано (без закладок), то ПИН перехватить нельзя. А уж способ динамического криптования найдется.
А так получается, что номер карты - это, в некотором роде, открытая информация. И воспользоваться им многие могут.
Если оборудование действительно по-честному сертифицировано (без закладок), то ПИН перехватить нельзя
давайте рядом с каждой кассой в магазине ставить непрозрачную будку, чтобы никто не видел ввод пина. действительно скрытно
ввести пин-код в публичном месте смогут немногие.
с некоторых карт без пина деньги не снять, поэтому есть терминалы и с пультами.
Могут воспользоваться, но убытки в конечном итоге понесет магазин в котором сделали покупку злоумышленники (ИХМО). Поэтому интернет магазины всегда требуют предъявить документ при получении покупки.
Скорее нет, чем да. Зависит от настроек в вашем банке. Если зарплатная, то с большой вероятностью нет. А так оплачивал билеты - УА работают через Ассист.
Процессинг и так видит данные любой транзакции кроме ПИНа.
как показывает мировая практика всё зависит от политики информационной безопасности банка - есть случаи когда и ПИНы сливают (я думаю ты в курсе - это я так для публики
жареного подкинуть :-) )
2 топикстартер
проблемы известные, пути решения непонятные - платёжные системы вводят методы защиты, мошенники ищут пути их обхода, се ля ви ...
резюме для честных кардхолдеров - не так всё страшно как пишут в интернете
резюме для юнных кардеров
- не так всё просто как пишут в интернете
Лень было смотреть самому как происходит покупка билета через сайт УА, но для меня оказалось странным, что (со слов ТС): не используется https, весь платеж заключается в указании cc_num и first/last name. Ни вышеуказанный cvv, ни exp_date, ни другие доп данные, хотя все это является обычной
практикой зарубежных и-шопов. И смею заверить ТС, что, пустив на свой компьютер трояна, никакие https вас не спасут от кражи введенной информации - все что вы введете на сайте, вплоть до размера обуви, будет известно другому человеку. И поэтому я лично не рекомендовал бы использовать свою карту для
онлайн платежей - это достаточно важный финансовый инструмент в наших руках. Хотя, как известно, вышеозначенные кардеры своих не грабят (но все же есть такие кто грабит - они долго на свободе не остабтся), все же последуйте совету озвученному - заведите визу виртуон или эл.валюту какую-нибудь. С
постоянными взломами и-шопов и ворованием баз данных велика вероятность потери своей карты.
p.s.: и все же как будут процессить то карту только по номеру и фио? я допускаю что карту,эмитированную у нас в городе, вполне можно проверить позвонив кардхолдеру и в банк - но это бред. И как допустим
будут процессить по вышеозначенным данным карту, эмитированную например в Германии или Англии? все таки наверно ТС что-то упустил...
ну не то, чтобы упустил, просто не написал. :-) По https просто не обратил внимание - может у меня предупредилка в браузере заремлена. Скорей всего там https... но ведь, как справедливо отмечено
Цитата: От пользователя: zuzo пустив на свой компьютер трояна, никакие https вас не спасут
но я и не утверждал, что
Цитата: От пользователя: zuzo
весь платеж заключается в указании cc_num и first/last name. Ни вышеуказанный cvv, ни exp_date,
и cvv, и exp_date вводить надо, но это тоже не сильная защита, ибо если моя карта оказалась ненадолго в чьих-то злых руках, то и эти аттрибуты будут известны.
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
