Електронни разплащания и трансфер на пари

[RaptoR]

24 minutes ago, mIRCata said:

Единственото тъпо нещо на банките, поне ПИБ, не знам дали е специфично за тях или е някаква такава обща политика, но при плащане с КК онлайн, дори да си настроил нещата с 3д парола или динамичен пин, ако сайта, където не си вкарваш данните не е коректен и него иска, банката не го търси. Т.е дори тази включена защита към кредитната карта излиза, че зависи от коректността на търговеца, а не от банката?!?!?!?

Това го разбрах като почнах да плащам на голямата щерка купоните за стола през една електронна система, която се пръкна миналата година. Всеки път ти иска данните за картата, обаче после не иска повторно потвърждение. И от банката казаха - ми така е.

Миро, нямаш си предства какви идиотщини творят банките в електронен аспект. Следват яко пътя на ФБ - всеки следващ ъпдейт е по-голяма трагедия от предишния. Първолашки грешки, зверска некадърност откъм функционалност, всяване на пълен хаос сред потребителите. За два ъпдейта на банковия софт така се изпонасраха в опититие си да бъдат оригинални, че ни скъсиха живота с години откъм нерви и псувни. И като ги подкарам на тая тема ме карат непременно да пиша фермани с препоръки към техническия отдел.... Ама чакайте бе! Аз ли на вас плащам или вие на мене, че нещо не вдянах? Но това, Слакъре мой, са приказки за маса... Хем нагледно ще ти покажа за кви некадърности иде реч... 
 

23 minutes ago, tedy said:

Ок, както кажеш. Ти имаш таланта на всеки опит да се помогне или човек да разбере нещо, което си  описал мъгляво, да се хвърляш с бутонките напред нападателно. Що за човек си ти, ето това няма да разбера. Вероятно има нещо в теб, което отхвърля всичко нормално, с което се срещнеш. Човек като човек ти казва нещо, ти с ножа напред. Евалла! Колкото и да се опитва човек да влезе в нормална дискусия с теб, ти си в състояние винаги да налееш катран във всеки опит.

Настъпвай мотиката, ваша работа, колкото искаш. Само ще кажа, че ако се е стигнало дотам както казваш, това е тотална мърлявщина. Комбинирано с изхвърлянето в кенефа на боклуци от прахосмукачка... явно нещата са адски зле там. Че и се чуди какво "толкова". Просто без думи.

 

Това какво общо има с ПИБ? Това е имплементация по принцип, и ако търговеца не участва в тази "програма" за 3D secure (примерно), не се възползваш от нея. Да, тъпо е, но така е направено, че трябва и търговеца да го имплементира.

Нищо нормално няма при тебе! Сбърках много в преценката си в началото... Има там една форомна опция за блокиране - силно те съветвам да я ползваш спрямо мен. Зоби си зоба и не ме занимавай повече - по възможност никога. 

[mIRCata]

Ми банките не са от най-добре плащащите на програмистите си и донякъде обяснява какви хора им мислят софтуера. Преди врме им писах на ПИБ за това как може да подобрят малко работата на потребителите, ама глас в пустиня. Може ли едно просто подреждане по азбучен ред да не може да сложат където има големи списъци. Или винаги да ми предлага в справката ЧЕЗ при положение, че аз нямам регистрирано никакво отношение с ЧЕЗ а ЕВН.

В булбанк смениха мобилното скоро - и там щуротии. И като чета масово как се оплакват от всякъде с тия нови мобилни и сайтове. Ама това е щото бляха и си чесаха макарите сума време, и в последния момент тръгнаха да правят нещата дето им ги иска ЕС.

[ARPAnet]

Всичко свързано с банки и онлайн плащания е такава пунта мара .. 
Имам приятел който доста време работи пишейки софтуер за банки. И директно си го казваше - имаш стандартното отношение, ръшваме релийзи напред, а това че предишната версия се е справяла по-добре и е била по-богата от към опции е малък проблем. Все едно работиш пишейки уеб геймки, а не банков софтуер. След това поработи в една борса за акции - същата история, решения взети от фенщина, или незнание, или "така е по-лесно"

От моя страна знам какво представлява PCI DSS сертификацията, и въпреки че се опитват да налагат добри стандарти, одитинга след това също е пунта мара, общо взето трябва адски лошо да си сгазил лука след като си вече сертифициран, че да ти отнемат сертификацията. 

Това с 3Д кодовете и аз му се радвах докато не осъзнах, че единият от най-големите ни онлайн магазини не само че не пита вече за 3Д кодове, ами и автоматично плаща след кликване. И си караха така близо година, сега имплементираха собствени СМС като обезопасяване  

Edited October 15, 2021 by ARPAnet

[RaptoR]

Аз тия СМСи ги псувах в началото, но все повече се убеждавам, че е много добре, че ги има... 

[tedy]

3 hours ago, mIRCata said:

мисля, че го написах:

Имам наблюдения само с тяхната КК карта, затова споменавам тях.

Което напълно обезсмисля идеята да си защитен от кражба. За чий чеп е тази 3д парола, ако зависи дали търговеца ще го прави? Ако търговеца го имплементира - значи е коректен и иска нещата да са му точни и да покаже на хората, че е сериозен. Ако искам да крада пари от КК с фалшив сайт, дали ще го имплементирам това? 3д защита за кражби, която е пожелателна за крадеца. Тъпотия.

По тази логика да си направят и сайтовете да искат парола пожелателно, ако въведеш. Само с потребителско име да може да се влиза.

Ако се замисли човек, имплементирано е 3D secure по начин, възможен да не спре действието на милиарди онлайн търговци, които скоро няма да бъдат готови за такава промяна. Човек никога не трябва да е краен, защото по-умни хора от нас ги мислят тия неща - не всичко е чисто техническо изпълнение.

По принцип е твой проблем ако искаш да си защитен, да избираш търговци, които имплементират този метод. За мен лично той е леко излишен в този си вариант, да. Аз лично защита съм си направил по познат метод - ползвам онлайн (и не само) само една карта/сметка, в която не държа много пари, а само колкото ще е нужно в близките няколко дни (примерно), и я зареждам чат пат като се налага. Номер на карта съм дал само на няколко относително сигурни места, където е малко вероятно да стане фал (пейпал, cloudflare, facebook и подобни), където често даже вървят директни дебити без моя намеса. Толкова години не е имало проблем. Държа 200-250 лв макс най-често.

 

При ПИБ (а предполагам не само) има една простотия при плащане онлайн през телефон. Ако се наложи верфиикация, се ползва по принцип техния token апп, който може да сканира QR. Обаче при нужда от 3D secure, на екрана излиза QR код, чрез който да потвърдиш, а него няма как да го снимаш с камерата, което е абсурдна ситуация, за която и те са наясно, многократно е рапортувано, мисля че и при други банки има подобен проблем. Та се налага да се минава през SMS потвърждаване, а аз ненавиждам SMS-ите, при наличие на толкова други по-кадърни методи, да не говорим SMS че е доста несигурен метод.

[w00x]

3 hours ago, mIRCata said:

мисля, че го написах:

Имам наблюдения само с тяхната КК карта, затова споменавам тях.

Което напълно обезсмисля идеята да си защитен от кражба. За чий чеп е тази 3д парола, ако зависи дали търговеца ще го прави? Ако търговеца го имплементира - значи е коректен и иска нещата да са му точни и да покаже на хората, че е сериозен. Ако искам да крада пари от КК с фалшив сайт, дали ще го имплементирам това? 3д защита за кражби, която е пожелателна за крадеца. Тъпотия.

По тази логика да си направят и сайтовете да искат парола пожелателно, ако въведеш. Само с потребителско име да може да се влиза.

 

Те си поемат риска ако през тяхната система се направи кражба и банката изиска парите обратно.

Таксите им за транзакция също са по-високи ако не имплементират 3Д защитата.

[mIRCata]

Говоря за измамнически сайт, който има за цел да си вкараш данните за картата и едни пари да изчезнат от нея.  Все тая какви са таксите. Те парите излизат от моята карта, отиват при тях и като не се усетиш и се осчетоводят след 2-3 дена и от там си купят крипто и ходи търси после парите. Дали ще плати на банката някоя стинка повече, при положение, че ги краде все тази.

[w00x]

11 minutes ago, mIRCata said:

Говоря за измамнически сайт, който има за цел да си вкараш данните за картата и едни пари да изчезнат от нея.  Все тая какви са таксите. Те парите излизат от моята карта, отиват при тях и като не се усетиш и се осчетоводят след 2-3 дена и от там си купят крипто и ходи търси после парите. Дали ще плати на банката някоя стинка повече, при положение, че ги краде все тази.

 

Не може просто ей така да направиш измамнически сайт и да събираш пари от плащания с карта.
Затова и повечето измамнически сайтове искат плащане с Western Union/Moneygram или пари по Пейпал, но не по редовния канал за плащане към търговец.

Ако искаха плащания с карта, Виза/МастърКард могат да си изискват всичките плащания обратно, заедно с наказателните таксите. А и има проследяемост, все пак трябва да се регистрират като търговец.

Ако приемем, че наистина е измамнически сайт, който по някакъв начин е успял да се верифицира пред Виза/МастърКард, какво ще го спре да ти събира парите, въпреки 3Д паролата? Нали ти си я въвеждаш самичък?

Ако приемем, че е измамнически сайт, в който не се събират пари от плащания, а само детайли за картите, то детайлите си си ги въвел на стъпка 1 и няма никакво значение дали в последствие ще видиш прозорчето за 3Д паролата или не.

[tedy]

Измамнически може да е почти всеки, на който ти плащаш нещо, и примерно не ти пратят нищо насреща . Докато някой се усети да ги спре или да им спре виза акаунта, те ще са бЕгали вече. Варианти има много. Затова не пазаруваш от "измамнически" сайтове, или изобщо от непознати някакви, иначе навсякъде може да им пратиш пари (или ако ти имат вече картата, да ти изтеглят) и да не ти пратят нищо. От това второто защита е примерно странична система като пейпал. Където мога на подобни по-непознати сайтове (ако изобщо се "доверя" на такива) ползвам пейпал. Ако няма, не пазарувам оттам. Нервите и разправиите след това ако стане нещо, за мен е по-големия проблем, защото в картата така или иначе повече от 100-200 лв няма да могат да ми вземат.

Ся, който е достатъчно консуматорски настроен да пазарува от непознати сайтове разни (ненужни) дрешки и играчки.... всеки си преценя.

[plameni]

1 hour ago, tedy said:

При ПИБ (а предполагам не само) има една простотия при плащане онлайн през телефон. Ако се наложи верфиикация, се ползва по принцип техния token апп, който може да сканира QR. Обаче при нужда от 3D secure, на екрана излиза QR код, чрез който да потвърдиш, а него няма как да го снимаш с камерата, което е абсурдна ситуация, за която и те са наясно, многократно е рапортувано, мисля че и при други банки има подобен проблем. Та се налага да се минава през SMS потвърждаване, а аз ненавиждам SMS-ите, при наличие на толкова други по-кадърни методи, да не говорим SMS че е доста несигурен метод.

 

При Пощенска можеш да избереш между потвърждаване чрез сканиране на QR-код или с push-нотификация, когато не можеш да използваш камерата.

[tedy]

22 minutes ago, plameni said:

 

При Пощенска можеш да избереш между потвърждаване чрез сканиране на QR-код или с push-нотификация, когато не можеш да използваш камерата.

Това е много хубаво, но леко не отрича ли предмиствата на токен приложение, където отключваш с пръст (първо), и второ - все пак въвеждаш и пин код? В случая предполагам поне статичния ПИН се въвежда пак, а с пуш получаваш динамичен код. Но все пак.

То всъщност това е като sms кода, който получаваш, даже малко по-сигурно от него.

Добре че много рядко някакво плащане онлайн е толкова спешно че да не може да дочака да седна на десктопа. Скоро не съм пробвал де, може и ПИБ да са направили нещо такова, надявам се.

Edited October 15, 2021 by tedy

[kotora]

При дск освен смс кода имаш и статичен ПИН, който си сетъпваш от самия website на ДСК директ. 

[tedy]

Да да, както писах, и ПИБ има статичен пин, наскоро май всички банки го въведоха. Просто се надявах на решение на горния проблем, който не включва динамичен код, пращан от тях, а някак локалния токен да се ползва, подобно както се ползва при оторизиране на платежни нареждания примерно - връзката е директна и не се минава през сканирания на кодове и т.н.

[ARPAnet]

1 hour ago, tedy said:

Измамнически може да е почти всеки, на който ти плащаш нещо, и примерно не ти пратят нищо насреща . Докато някой се усети да ги спре или да им спре виза акаунта, те ще са бЕгали вече. Варианти има много. Затова не пазаруваш от "измамнически" сайтове, или изобщо от непознати някакви, иначе навсякъде може да им пратиш пари (или ако ти имат вече картата, да ти изтеглят) и да не ти пратят нищо. От това второто защита е примерно странична система като пейпал. Където мога на подобни по-непознати сайтове (ако изобщо се "доверя" на такива) ползвам пейпал. Ако няма, не пазарувам оттам. Нервите и разправиите след това ако стане нещо, за мен е по-големия проблем, защото в картата така или иначе повече от 100-200 лв няма да могат да ми вземат.

Ся, който е достатъчно консуматорски настроен да пазарува от непознати сайтове разни (ненужни) дрешки и играчки.... всеки си преценя.

Не е толкова лесно да се регистрираш към някой Payment GW, за да добавиш плащания с карти през сайта си. 

Сам да обработваш ти плащания с карти - иска се PCI DSS сертификация. 

[tedy]

12 minutes ago, ARPAnet said:

Не е толкова лесно да се регистрираш към някой Payment GW, за да добавиш плащания с карти през сайта си. 

Сам да обработваш ти плащания с карти - иска се PCI DSS сертификация. 

Да, но това не противоречи на обсъжданото в темата. Иначе нямаше да има нужда да се въвежда все повече 3D, нали. Измами стават, хората са изобретателни, други са наивни (не само потребителите), има "несъвършенства" в контрола на различните правила, най-общо казано. Знаем, че често се случват измами от най-различен тип.

[ARPAnet]

4 minutes ago, tedy said:

Да, но това не противоречи на обсъжданото в темата. Иначе нямаше да има нужда да се въвежда все повече 3D, нали. Измами стават, хората са изобретателни, други са наивни (не само потребителите), има "несъвършенства" в контрола на различните правила, най-общо казано. Знаем, че често се случват измами от най-различен тип.

Смесваш 2 различни проблема

3D secure и т.н. са начини да се намали абюза на откраднати карти.

Към което ти добави сайтове които са минали през процедурата за добавяне на плащания с Карти, но мамят и не ти пращат продукт след като са получили парите.

 

[tedy]

3D Secure решава и засяга отчасти няколко проблема, но Ок.

А дали непратен продукт след плащане или друго, измами се случват. Иначе ще трябва да дефинираме и определим точно какво наричаме измама, конкретно, и да обсъждаме конкретно.

След като минеш каквато и да е сертификация, след това наблюдението е намалено (грубо казано), и измами се случват. Не един и два примера можеш да срещнеш като влезеш в произволен форум (конкретно дадени са данни за карта и след това оплаквания от източени карти! - това обясни как се случва, моля, след като нали всичко е сертифицирано..). Добър пример според мен е  сертифицирането на захранванията - пращаш някъв семпъл (може да е специален), сертифицират го 80 PLUS Gold, след това знаеш е пълно с "не съвсем" Голд масово от същия модел, по един, два или повече показателя на сертификацията.

PS. А да, "открадната" карта също е разтегливо понятие. Въвеждаш някъде данните за картата си, и тези данни вече са напуснали личния ти "domain", те вече са достояние на дадения ... търговец. Това за директните дебити примерно. Аз например както съм си дал данните на cloudflare (на тях, не на картовия оператор), там дали от теч или някой бъг или недоволен служител или... (choose), могат да бъдат източени пари!

Edited October 15, 2021 by tedy

[RaptoR]

Случайно виждате ли в коя тема водите тия дискусии, другари? Щото гледам задълбавате, не че нещо...

[plameni]

2 hours ago, tedy said:

Това е много хубаво, но леко не отрича ли предмиствата на токен приложение, където отключваш с пръст (първо), и второ - все пак въвеждаш и пин код? В случая предполагам поне статичния ПИН се въвежда пак, а с пуш получаваш динамичен код. Но все пак.

То всъщност това е като sms кода, който получаваш, даже малко по-сигурно от него.

 

Мисля, че нещо не си разбрал. Push-нотификацията е към токен приложението на Пощенска

[tedy]

17 minutes ago, plameni said:

 

Мисля, че нещо не си разбрал. Push-нотификацията е към токен приложението на Пощенска

Ок, това ясно, пуш нотификацията така или иначе все трябва да дойде през някое приложение, в случая ясно че в приложение(то) на банката.

Но пак нещо ме гложди.

В нормалния случай с токен приложението сканирам qr код, и то генерира динамичния one time код, локално. В другия случай получавам просто код отдалечено в приложението, без да сканирам нищо. Това може да стане и локално да си генерирам просто този код, защо те го генерират отдалечено и ми го пращат? Защото съм заредил iframe-а с qr-а ли и те веднага спрямо него ми пращат кода.. Тогава защо изобщо се минава през QR код, като може и без, ПИБ да вземе да го направи така, и да ни спести това.

[w00x]

1 minute ago, tedy said:

Това може да стане и локално да си генерирам просто този код, защо те го генерират отдалечено и ми го пращат? Защото съм заредил iframe-а с qr-а ли и те веднага спрямо него ми пращат кода.. Тогава защо изобщо се минава през QR код, като може и без, ПИБ да вземе да го направи така, и да ни спести това.

 

Как да го заверят ако го генерираш локално? Трябва специално за твоето приложение да върви определена редица от кодове, която те да заверяват.
Ако те ти го изпратят, могат лесно да заверят дали ще им върнеш това, което те са ти пратили.

[plameni]

13 minutes ago, tedy said:

В нормалния случай с токен приложението сканирам qr код, и то генерира динамичния one time код, локално. В другия случай получавам просто код отдалечено в приложението, без да сканирам нищо. Това може да стане и локално да си генерирам просто този код, защо те го генерират отдалечено и ми го пращат?

 

Бъркаш понятията и логиката. И в двата случая потвърждаваш нещо генерирано от тях само за теб и само за тази операция.

С Push-нотификацията - ДА или НЕ за описаната операция

С прочитане на QR-кода - потвърждаваш кодираното съдържание. (При сканиране не се генерира код, а се прочита какво е кодирано) 

Edited October 15, 2021 by plameni

[tedy]

И двамата нещо леко се бъркате.

W00x, локалното токен приложение е инициализирано в банката на място, подобно на totp. Предполагам ползват подобен алгоритъм с ключ, кпйто стои при тях. Изцяло локално се генерира код, важащ 30 секунди. Този код се генерира (И) на база сканирания qr код, като входни данни, и именно кодът, стоящ вътре в qr кода могат примерно да го експортират ако трябва като файл, който да се прочете от токен приложението за да генерира кода (динамичния), който вече да се въведе в 3DS-a.

С това мисля отговарям и на пламени.

 

За сканирането признавам не съм много сигурен, наскоро не ми се е налагало, та е възможно при сканирането токен приложението директно да се свързва с банката да потвърди транзакцията, но имам спомен че въвеждах код, изписан в приложението..

Edited October 15, 2021 by tedy

[plameni]

Динамичният код се генерира от банката. Приложението го използва като вход и не генерира, а с помощта на функция или хеширащ алгоритъм (известни само на банката) се изчислява резултатен стринг или число, които след това се сравняват за потвърждение.  

 

2 hours ago, plameni said:

Бъркаш понятията и логиката.

и последователността.

[tedy]

Вероятно просто говорим за различни неща.

Поне при ПИБ, Fibank Token апп-а замести хардуерния токен, който предлагаха преди. Аппа генерира 6-цифрени кодове, които се използват при активни операции или за вход в основното приложение. Технически погледнато естествено то ползва алгоритъм на банката и се инициализира в клон на банката за дадената инсталация и телефон.