{"id":14262,"url":"\/distributions\/14262\/click?bit=1&hash=8ff33b918bfe3f5206b0198c93dd25bdafcdc76b2eaa61d9664863bd76247e56","title":"\u041f\u0440\u0435\u0434\u043b\u043e\u0436\u0438\u0442\u0435 \u041c\u043e\u0441\u043a\u0432\u0435 \u0438\u043d\u043d\u043e\u0432\u0430\u0446\u0438\u044e \u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0435 \u0434\u043e 1,5 \u043c\u043b\u043d \u0440\u0443\u0431\u043b\u0435\u0439","buttonText":"\u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435","imageUuid":"726c984a-5b07-5c75-81f7-6664571134e6"}

Дыра в безопасности, которая позволят украсть деньги исключительно по номеру карты «Сбербанка»

Хочу поделиться с вами историей, которая произошла со мной буквально пару дней назад. Скажу сразу: не знаю, актуальна ли описанная мной проблема для карт других банков. Возможно, проблема глобальная, но лично я столкнулся с этим будучи владельцем карты «Сбера».

В субботу, 17 октября в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.

Думаю, вы уже догадались, что покупок этих я не совершал. Поэтому максимально быстро блокирую карту через приложение Сбербанк. Параллельно пытаюсь понять каким образом мошенники завладели данными моей карты. Перебираю в голове все возможные варианты и понимаю, что сам я данных, достаточных для покупки, никому не сообщал, на подозрительных сайтах покупок не делал, карту сохранял только в Apple Pay.

Тут же звоню в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек.

Звоню по телефону горячей линии. Общаюсь с роботом... жду пока соединят со специалистом...потом со следующим т.к первый оказался не в состоянии мне помочь... примерно через 20 минут удается поговорить.

Небольшое отступление. Насколько же хамоватая поддержка у Сбербанка... Ощущение, что общаешься не с со "специалистом" банка, а просто с каким то быдлом из подворотни. Ребят, вам звонит клиент и у него проблема. Но вместо того, чтобы попытаться как-то помочь, тебе сходу начинают хамить и убеждать, что ты сам дурак и сам во всем виноват.

Оператор №2. Выдержки из диалога ниже, но тон и пренебрежение с которым все это произносилось невозможно передать.

— Вы передавали данные о карте третьим лицам?

— Нет, не передавал

— Тогда, как кто то мог совершить покупку с помощью вашей карты?

— Откуда я знаю как, видимо украли где-то. Вы можете отменить транзакцию?

— Нет, не можем. Потому, что вы сами передали данные или совершили эту покупку.

— Я же говорю, что не передавал никому данные и точно сам ничего не покупал. Почему мне не пришло смс с кодом подтверждения?

— Мы ничего не можем сделать, пишите заявление в полицию

— У вас же на сайте написано про чарджбек

— Нет, у нас ничего такого не написано. Мы не отменяем такие транзакции, потому что вы сами ее сделали, либо передали кому-то данные

— Я же уже 10 раз сказал, что данные никому не передавал и транзакции эти не подтверждаю, даже не знаю, на каком сайте они совершены

— Ничего не можем сделать, пишите заявление в органы

— Т. е вам не показалось подозрительным, 2 покупки сделаные ночью, в США от клиента, находящегося в Москве с неправильно введенным сроком действия карты, настолько что вы даже смс не запросили?

— Нет, не показались. Да срок был введен не верно, но потом верно и был введен CVC код(тут он нагло врет, позже выяснится, что срок и CVC были введены не верные, однако транзакции банк пропустил). Ничем не можем помочь, пишите заявление в органы.

— Тогда почему у вас на сайте написано, что транзакцию можно отменить по заявлению?

— На нашем сайте? Нет, на нашем сайте ничего такого не написано, вы придумываете. и так по кругу

В какой то момент я уже почти смирился и тут вдруг у меня вырвалось: "Соедините с руководством".

— Крайне недовольным голосом: "Вы будете ждать 10 минут?"

— Да, буду

Вот, кстати, что написано на сайте Сбера по этому поводу

А, вот, что пишут на сайте МВД с отсылкой на 161-ФЗ "О национальной платежной системе"

Т. е. сотрудник Сбербанка мне нагло врал, утверждая, что никаких подобных процедур у них не существует. И пытался всячески обвинить меня самого в случившемся и убедить, что это я сам передал кому то данные.

Разговор с руководителем. Тут мне повезло, руководитель оказался сильно адекватнее и вежливее предыдущих товарищей. Я кратко объяснил ситуацию, после чего он стал оформлять заявление на чарджбек, но предупредил что ответ мне дадут по нему только 3 ноября, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.

На вопрос, почему нельзя просто отменить транзакцию, пока она в обработке. Ответил: "если я сейчас отменю транзакцию, то магазин пришлет запрос и нам все равно придется ее провести. Но тогда мы не просто спишем с вас эту сумму, но еще и начислим вам на нее проценты.

Спустя 40 минут телефонного общения, заявление на чарджбек подать у меня все-таки получилось: Ваше обращение №201017-0211-878000 от 17.10.2020 принято в работу. Срок рассмотрения до 03.11.2020 включительно, ответ будет предоставлен по SMS. Проверить статус обращения можно на сайте в разделе «Обратная связь». Сбербанк

Как я понял, весь цирк с предыдущим быдло-товарищем, рассчитан на то, чтобы отсеять большую часть людей и только самые упорные смогут добраться до подачи заявления. Банк не заинтересован в подобных заявлениях т.к. они понижают его рейтинг надежности в глазах платежной системы, поэтому всеми способами пытается их не допустить. Ну а проблемы клиентов их мало волнуют.

Say bye accent. После разговора с банком, решил загуглить информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Меньше всего я надеялся наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными. Но гугл сразу же выдал этот сайт:

Чуть проскроллив, я узнал о некой Лоле(Ольга Климентьева) из Камеди, которая уехала в Лос-Анджелес и запустила там школу по изучению английского языка. Цены на некоторые курсы совпадали с суммами списаний 177$ и 187$.
При этом сам сайт не выглядел мошенническим(ну или кто-то очень сильно постарался). А идея украсть данные с карты, чтобы оплатить себе онлайн курсы, выглядела очень тупой. Поэтому написал им в Фейсбук.
Скрины переписки ниже:

После короткого диалога, деньги мне обещали вернуть, сославшись на некое "недоразумение". Но сам диалог, мне показался немного странным. Сложилось ощущение, что мне что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому я решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.

Выяснилось, что им написал некий "программист", который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты. Скрины его объяснения мне и их переписки между собой ниже:

Из всех данных, что ввел этот товарищ при оплате, реальным был только номер моей банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?

При этом, однажды Сбербанк заблокировал перевод приятелю на 1500 рублей, посчитав его подозрительным, а не так давно заблокировал возможность расплатиться за ужин в ресторане(позже оператор, так и не смог внятно объяснить причину блокировки этой транзакции). Но оплаты почти на 30000 рублей, ночью, с неверными данными карты, Сберу подозрительными почему то не кажутся.

Итог. Деньги, мне уже вернули обратно, но из-за конвертаций валют я потерял почти 2000 рублей. Компенсируют их или нет, пусть будет на совести Лолы. Сама она почему-то считает, что никакой ее вины в сложившейся ситуации нет и сваливает все на "программиста". Хотя на 90% это именно ее вина. Ведь она запустила сервис, через который проходят персональные и банковские данные людей, но не удосужилась обеспечить даже минимальный уровень безопасности.

Фактически любой, может зайти на ее сайт и используя только лишь номер карты человека, создать ему лишних проблем. В моем случае помимо денег это: испорченные выходные, заблокированы все карты Сбера(после моего сообщения их робот до кучи решил заблокировать и остальные мои карты), предстоящие походы в отделение Сбера и перевыпуск карт.

Самое главное. Согласно все тому же 161ФЗ, банк обязан обеспечивать безопасность платежей. Однако как мы видим в данном случае, Сбербанку глубоко положить на безопасность его клиентов. Да, ведь они теперь "больше чем банк" и у них сейчас более серьезные заботы, чем кража денег со счетов клиентов. Логотипчик там радужный нарисовать надо, Боярского пригласить.

Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.

Да, насколько знаю, в России платежная система Stripe запрещена, но ведь никто не запрещает расплачиваться российским картами на зарубежных сайтах! По сути злоумышленникам, достаточно зарегистрировать LLC в США, создать фейковый интернет магазин, подключить Stripe и дальше просто списывать деньги с чужих карт, через покупки в нем.

Думаю, не нужно объяснять насколько легко в России получить номер банковской карты. Он повсеместно используется для переводов. Достаточно пройтись по блогерам в инсте, админам телеграм каналов или даже объявлениям Авито и каждый второй скинет для оплаты номер своей карты. Да сейчас есть СБП, но даже при его наличии, отправлять номер телефона малознакомому человеку мало кто хочет, а вот с номером карты ничего плохого вроде и не сделать. Именно так я и думал, до всей этой истории:)

Небольшое дополнение. Из Сбера позвонили примерно через час после публикации, "служба заботы о клиентах". Обещали провести расследование и даже дали личный номер специалиста который будет этим заниматься. Не особо верю, что там будет что-то путное. Но посмотрим.

Лола, съехала с темы. Потерянные мной деньги(не знаю комиссия это системы или комиссия за конвертацию валют) возмещать отказалась. Посыл, я не при делах, виноват все тот парень "программист" с ним и разбирайся. Позиция так себе, на мой взгляд. Учитывая, что из-за ее сайта пострадал посторонний человек, а сумма там в принципе копеечная. Дороже для репутации выйдет.

0
418 комментариев
Написать комментарий...
Хозяин

- У нас дыра в безопасности.
- Слава богу, хоть что-то у нас в безопасности!

Ответить
Развернуть ветку
ZakatKapitalizma

Самое интересное что этот чоболь башляет немалые деньги Group-IB, как у них работает фрод - это просто атас. Давно ушёл из этого говно банка и не стараюсь не связываться с ним даже косвенно. Хотя в целом банки зло.

Ответить
Развернуть ветку
17 комментариев
Иван Иванов

Недобанком с погонялом "сбер",пользоваться нельзя категорически. Не хочется писать о том,что там происходит в реале.

Ответить
Развернуть ветку
Georgy Naumov

С каждым разом всё более убеждаюсь, что поступил правильно, когда:

1) Завел отдельную цифровую карту "только для покупок". Не держу на ней вообще ничего дольше 1 дня, и ни копейки больше требуемой суммы.
2) Отключил у основной карты возможность покупок в интернете.

То, что приходится чаще перекидывать с одной карты на другую - пережить можно. Нервы дороже.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
1 комментарий
Anton Reut

Я делаю проще - сразу перевожу деньги с карты на счет к которому в принципе нет никакого доступа с пластика, только через приложение или в кассе с паспортом.

Ответить
Развернуть ветку
Sergei Timofeyev

А если у вас будет просто счёт, то увести с него становится совсем нетривиальной задачей. :) Ну и нал, конечно.

Ответить
Развернуть ветку
Mikhail Che

да, сразу так же сделал, это мастхэв по-моему и банки должны по умолчанию выпускать цифровую карту и запрещать покупки в интернете с основной, а юзер должен лезть в настройки только если хочет потерять деньги

Ответить
Развернуть ветку
Эдуард Ашин

А умные мобильный банк смс на номер 900? Дайте ка мне вашу симку)

Ответить
Развернуть ветку
Sergey Orlov

Как у карты отключить возможность покупок в Интернете?

Ответить
Развернуть ветку
dy

Я с основной карты переношу почти все деньги на накопительный счет, они есть во многих банках. Их нельзя снять даже если известне пин-код карты, только через банк-клиент.

Ответить
Развернуть ветку
Jane Do

А мог просто нормальный банк использовать, где нет проблем безопасности и поддержка не сливается отзывать деньги.

Ответить
Развернуть ветку
Чех в чешках

Удивительная история, как серию посмотрел. Сбер мудаки. Хорошо, что все решилось у вас

Ответить
Развернуть ветку
Sergei Timofeyev

Вообще-то решилось всё плохо. С потерями.

Ответить
Развернуть ветку
6 комментариев
Снеговик

Разницу которую вы потеряли так же можно попробовать вернуть. Если Сбербанк не хочет помогать, позвоните в Визу или Мастеркард и объясните ситуацию. Они могут заставить банки вернуть платеж. Особенно если платеж прошел с левым CVV, тут и доказывать ничего не надо.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
7 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
2 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Ольга Павленко

Чума и жесть. автор, респект за настойчивость и подробное описание.

Ответить
Развернуть ветку
Роман Дмитриев

Так подробно описано только потому, что этот пост собирала и прорабатывала целая команда из онлайн школы по изучению английского языка, которую рекламируют в этой статье)

Ответить
Развернуть ветку
4 комментария
Роман Дмитриев

Ребята, ОЧНИТЕСЬ! Это хорошо проработанный и продуманный РЕКЛАМНЫЙ ПОСТ школы по изучению английского языка... В нем указаны цены, темы курсов, официальный сайт, краткая история создания и даже какие-то философские цели от владельца проекта!)

Фразы по типу "Я начала этот проект в 2017 году, сама...", "сегодня он уже вырос до настоящей онлайн школы языка с большой онлайн аудиторией", "нести добро и позитив в массы", "пофиксить перед запуском курса про визы", "тем более в преддверии выхода твоего нового курса" вам ни о чем не говорят? Задумайтесь и прочтите данный пост еще раз, но уже с осознанием того, что это РЕКЛАМА школы!)

Автор затронул такие "вечные" темы для того, чтобы привлечь Ваше ВНИМАНИЕ, тк все любят читать статьи о том, какой Сбербанк плохой, о мошенничестве в сети и тд... Данная проблема реально существует и обсуждается не первый год) Но этот пост писали совсем с другой целью... Я уверен, идея данного поста прорабатывалась очень долго и хорошей командой, но эти "липовые" диалоги выдали вас... 

Всегда с удовольствием читаю проекты vc инкогнито, но тут не смог сдержаться, зарегистрировался и написал этот комментарий для того, чтобы открыть Вам глаза на нечестную игру автора... 

Ответить
Развернуть ветку
Анон Плиз

У Вас шапочка набекрень съехала, поправьте))

Ответить
Развернуть ветку
Sarkis
Автор

что за бред))) в чем реклама, в том что на сайте английского языка у тебя могут украсть деньги? Кто вообще будет рисковать и что-то там покупать после таких случаев?)

Ответить
Развернуть ветку
3 комментария
хуэю

статья - джинса, в ссылке на сайт языковых курсов даже "/?ref=vc.ru" и бОльшая часть страниц на русском.
vc совсем в днище скатывается?

Я бы очень хотел, чтобы сбербанк подал в суд на vc за очернение деловой репутации. Пойду за попкорном.

Ответить
Развернуть ветку
3 комментария
Anton Smets

Тоже резанули офферы в диалогах. Особенно рандомный программист, который якобы волнуется за курс про визы, ох лооол.

Ответить
Развернуть ветку
7 комментариев
Наталья Ушенина

Ну вот тогда реакция фокус группы - гаденькое чувство оставляет школа со своими курсами и безопасностью сайта, а Лола ассоциируется со стриптизершей на ядовито розовом фоне. Ну очень на любителя реклама... 

Ответить
Развернуть ветку
Александр Коломытов

Я думаю, что такая беда не только со Сбером.
Ранее был пост, что Альфа пропускает платежи с указанным неверным CVC. Не удивляюсь, если они тоже окажутся уязвимы.

Ответить
Развернуть ветку
color

Альфа пропускает с кривым CVC только если было подтверждение через 3D Secure. То есть вы сами вводили полученный пушем код на сайте мастеркарда/визы етц.

Тут же совсем другой случай.
Не будем говорить про честность мерчанта или совпадение (ввел правильный номер карты, на которой были бабки. нууу такое, номер то сгенерить ок, BIN коды и тп, половину цифр легко узнать, а остальные ??), вполне вероятно (тк это USA) у них спокойно идет списание без всяких cvc, но при фишинговых и мошеннических операциях банки крайне быстро компенсируют клиенту средства.

Короче - оплата без cvc в США - норма. Мне так какой то лиходей в Wallmart ноутбук на 600$ купил на вынос (но волмарт сам отменил платеж как подозрительный, карта была сохранена в профиле без cvc).

Тут скорее вопрос к Сберу - какого хера они отрицают, что при оплате без cvc по стандартам платежных систем они ОБЯЗАНЫ опротестовать операцию, если клиент их известил об этом и вернуть клиенту деньги (в этом случае сбер направляет поручение возврата в банк мерчанта, тот возвращает деньги, а дальше сам разбирается с клиентом, если у того даже был 0 на счету).

Ответить
Развернуть ветку
Sarkis
Автор

Еще более странно, если это проблема глобальная и никто не берется ее решать. 

Ответить
Развернуть ветку
7 комментариев
Аарон Малис

Я когда в нете оплачиваю, всегда пишу в графе Имя Фамилия всякую фигню: Пися Хуися, Наполеон Хамелеон, Кокаиновый Хуй, Мальберт Вахуе и т. д. Надеюсь, что кто-то получает это дерьмо и я кого-то веселю ))

Ответить
Развернуть ветку
4 комментария
Константин Жуков

Сам занимался разработкой интеграции с платёжными системами и это проблема глобальная. Любой, абсолютно любой банк может пропустить платёж без верного CVV кода. После этого я даже искал информацию, можно ли запретить явно например через банк, чтобы без cvv операции не проходили- ответ нельзя. Это глобальная дара в безопасности, так что берегите данные своих карт.

Но вот насчёт даты выпуска карты странно, это вроде обязательно должно проверяться. Фамилия и Имя вообще всеми банками гнориртся, можете при следующем платеже попробовать там что угодно ввести и платёж пройдёт.

Ответить
Развернуть ветку
8 комментариев
Никита Жулябин

Суть даже не в неправильном CVV или CVC, а в том, что деньги списываются без проверки 3D secure, то есть не приходит смс с одноразовым кодом - это конечно косяк !!!

Ответить
Развернуть ветку
2 комментария
Биткоин Газманова

а вообще где то встречал информацию что платёжная система может так тупить, у меня пару раз было что транзакция банке создавалась, но была отклонена если реквизиты неверны (тинькофф).
может от вашей платёжной системы зависит?
Также не очень понятно как этот программист узнал данные вашей карты (сорри если не увидел этой информации в вашем посте)

Ответить
Развернуть ветку
Тинькофф

Если при оплате ввести неверные реквизиты, мы отклоним операцию в любом случае. Можем проверить вашу ситуацию детальнее, если подскажете ваши ФИО и дату рождения нам в ЛС.

Ответить
Развернуть ветку
51 комментарий
Андрей

Судя по скринам переписки программиста и Лолы (или Лёли), похоже на правду, что были введены случайные данные карты. И если это действительно так, то это лютый пи##$ц. Я уж не знаю, кто тут виноват Страйп или Сбер, но это не дыра безопасности, это дырище.

Ответить
Развернуть ветку
color

Ну ок, 548438001 это дефолт дебетовок сбера, но..
798570 чувак просто подобрал (да при этом еще повезло, что на карте деньги без лимита)?
Мало верится, либо это прям уникальный случай. Короче не верю я в "случайность". Вряд ли кого то хотели нае*ть, но программист видимо накопал не самую плохую базу карт :)

Ответить
Развернуть ветку
4 комментария
Sarkis
Автор

Так притом, что Сбер присылал мне смс о том, что данные введены не верно и тут же смс о списании средств...

Ответить
Развернуть ветку
1 комментарий
Vyacheslav Lyan

У страйпа, действительно, в настройках платежки есть возможность владельцу магазина выбрать уровень безопасности приема платежей. И если они принимает оплату без cvv кода - это либо недосмотр владельца сайта, или адский пофигизм, так как это прямой путь к большому количеству чардж-беков, от которых в конечном итоге пострадает сам владелец, так как платежка может отказаться от работы с его магазином.
Касательно того, что в Штатах не парятся с 3d secure и не внедряют его, потому что смысла особого нет. 3d secure это же для платежей с дебетовых карт, а в Америке 99% онлайн платежей происходит кредитками, а там отменить транзакцию раз плюнуть - все банки дают $0 Liability On Unauthorized Charges на свои кредитки.

Ответить
Развернуть ветку
Дмитрий Распопов

В штатах вроде спокойно отменить транзакцию? Без геморроя. 

Ответить
Развернуть ветку
Александр А.

В России для кредитных карт тоже 3D Secure используют.

Ответить
Развернуть ветку
badResistor

Еще раз убедился.
Сбер - дерьмо.

Автор - хорошо что написали эту статью. 
Удивительно что даже заявление поданное за сутки до мошенничества не помогает... Это прямое нарушение закона.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
3 комментария
Дмитрий Прозоров

@Сбер где официальный ответ?

Ответить
Развернуть ветку
Sarkis
Автор

Они звонили, час назад, кстати. Сказали будут расследование проводить.  Потом скорее всего какую то отписку сделают. 

Ответить
Развернуть ветку
1 комментарий
Bender Rodriguez

Реально, @Сбер , вы там случаем не 

Ответить
Развернуть ветку
Даниил Ульянов

А почему сотрудники, по-вашему, хамили? Это стандартные вопросы для долбоёбов, которые клюют на удочку мошенников либо сами мошенники. Отдал другу карту в США, а сам причитаешь о краже.

Ответить
Развернуть ветку
Sarkis
Автор

Понятно, что сотрудник банка матом тебя не пошлет. 
Хамство скорее в том, каким тоном эти вопросы задавались и с каким пре пренебрежением разговаривал оператор.  Плюс, он откровенно врал и утверждал, что никакой процедуры по возврату у них не существует. Хотя она была и при разговоре с руководителем ее получилось сразу инициировать. 

 Да и когда тебе десятый раз говорят, что ты сам данные передал или совершил эту покупку, когда ты говоришь, что нет это не так. Это крайне напрягает.  По какой причине я должен оправдываться и доказывать банку? 

Это тоже самое, если бы я пришел в полицию и рассказал, что у меня квартиру вынесли. А они такие, не мы ничего не будем делать, ты сначала докажи, что это ты не сам свои вещи продал.

Ответить
Развернуть ветку
8 комментариев
Дмитрий Кораблёв

Они слишком усердствуют с такими вопросами. Я недавно также звонил, они ПОСТОЯННО меня перебивали, думая, что поняли мою проблему, в итоге заблокировали карту, когда я этого не просил. Просто не дали объяснить в чем конкретно проблема, перебили, придумали свой вариант того, что произошло и заблокировали карту. 
В итоге только больше проблем стало, так как застрял в чужом городе с заблокированной картой)) 

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
1 комментарий
Viktor Mann

Привет, Саркис, это Лёля.

Ответить
Развернуть ветку
Sergei Timofeyev

- А что таким басом? Простыла, что ли?

Ответить
Развернуть ветку
Евгений

Комменты умора))) Особенно от чувака в шапочке из фольги, про рекламные корни поста))) По ситуации - девчуля в теме, как пить дать.

Ответить
Развернуть ветку
Максим Ростокин

Почему зарубежные ресурсы очень вяло внедряют 3d-Secure? Это же решит проблемы с кардингом раз и навсегда! И платёж, подтверждённый смской холдера, вернуть ой как непросто!

Ответить
Развернуть ветку
Dmitry Myachin

Потому что это очень сильно просаживает количество продаж. Кажется Виза публиковала статистику и там выходило, что огромное количество народа отказывается от покупок из-за 3d-Secure. Кому-то дизайн не нравится, у кого-то на экране телефона не влезает, у кого-то страничка не прогружается, кому-то SMS не приходит из-за очередного сбоя ОпСоСа, кому-то просто лень за телефоном идти, кто-то пароль свой не помнит.

Ответить
Развернуть ветку
1 комментарий
Mike Kosulin

3D Secure защищает мерчанта, а не пользователя.
Без 3DS мерчант и его шлюз несут ответственность больше. 3DS перекладывает это на покупателя и банк покупателя
А платежи без 3DS дают бОльшую конверсию

Ответить
Развернуть ветку
1 комментарий
Василий Пупкин

 в ряде стан покупатели не имеют опыта с 3d-Secure  и платежная конверсия потеряна, есть прям целая статистика пользы/вредя от включения/выклечения 3ds по странам. а компенсируется это стандартная процедурой chargeback  котораая там рабоает

https://cdn2.hubspot.net/hubfs/3321122/pdf/Fibonatix-3D-Secure-Overview.pdf?t=1523885479402

Ответить
Развернуть ветку
Александр А.

3D Secure не для безопасности покупателя, а для внушения ему чувства безопасности. 

Собственно, новая движуха с 3D Secure 2.0 в том, чтобы (почти никогда) не слать коды в SMS. Дабы не мешать людям тратить свои (или чужие) деньги с меньшим количеством препятствий.

И, как результат, Wildberries использует 3D Secure 2.0 (его банк), а СМС-ку гарантированно получишь, кажется, от суммы 30 тыс.руб. 

Ответить
Развернуть ветку
Месье Никита
Сама она почему-то считает, что никакой ее вины в сложившейся ситуации нет и сваливает все на "программиста". Хотя на 90% это именно ее вина. Ведь она запустила сервис, через который проходят персональные и банковские данные людей, но не удосужилась обеспечить даже минимальный уровень безопасности.

Что за бред? Какой еще минимальный уровень безопасности? Вы думаете, что у нее там собственный процессинг чтоли и договоры с визой/мастеркардом? Нет, конечно, они используют какой-нибудь сервис и ничего с его функционалом делать не могут.  

Ответить
Развернуть ветку
Sarkis
Автор

Во-первых, она может регулировать это в настройках. 
Во-вторых,   если ты подключаешь какой то сервис, ты как минимум обязан  его проверить и протестировать. Не стоит выпускать в продакшн сырой сайт. Это как бы ее продукт, и она несет ответственность за те проблемы, которые он доставляет людям. 

Ответить
Развернуть ветку
13 комментариев
Олег Николаев

Я часто расплачивался на американских сайтах вводя только номер карты, это особенности многих их платежных систем. И смс также не запрашивают, типа это отдано на откуп платежной системе.

Ответить
Развернуть ветку
Биткоин Газманова

немного не так. это дано на откуп системе через которую работает сайт. Многие сайты например aliexpress, или AirBnb не имеют 3D secure со своей стороны хотя:
1.у банка он есть и включён
2. у платёжной системы (visa|mastercard) он есть  на...ДРУГИХ сайтах работает.

Ответить
Развернуть ветку
1 комментарий
Розарио Агро

В этом нет смысла. Но но карты - это публичный ключ. Если только номер карты, то должна быть подпись на чеке или подтверждение иным способом. Типа с номером карты в платежную систему отсылается ваше имя известное сайту и верифицированное. 

Ответить
Развернуть ветку
Oleg Oleg

что-то странное. в Америке часто ты номер карты введёшь и дату выдачи и кол.. ещё адрес по которому карта привязана и то платеж может быть отклонён.

Ответить
Развернуть ветку
Дрюс Уилис

Все верно. Это именно так и работает. Проверки смс кода, фио, даты, cvv это уже в зависит от настройки конкретного шлюза, через который проходит транзакция. Чем больше доверия к шлюзу, тем меньше второстепенных данных он требует. В европе много где вообще не слышали про смс с кодом подтверждения например. И даже если у вас включено в банке смс подтверждение, это не значит что все транзакции будут с ним. Эпл например опять же снимает в России средства без смсок. 

Ответить
Развернуть ветку
Pavel

Я платил просто диктуя по телефону номер

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Anton Smets

В этой истории всё странно, особенно реферальная ссылка на сайт Лолы.

Ответить
Развернуть ветку
3 комментария
Sarkis
Автор

Ну в основном я в статье пишу про Сбер.   Но и ответственность Лолы тут тоже есть,  как видно из комментариев точно такой же платеж прошел и с Тинькоффа. Т. е. она сознательно поставила у себя на сайте агрегатор с минимальным уровнем безопасности или даже настроила так, чтобы было минимум проверок, лишь бы деньги шли. 

Но больше всего раздражает ее позиция.  Типа ну да, списали деньги, но мы тут как бы не причем, мы сделал возврат, а дальше сами разбирайтесь.  Из-за ее сайта пострадал человек, с ее стороны было бы как минимум порядочно, компенсировать потерянную на конвертации сумму. А она тупо перестала отвечать на сообщения.  

Ответить
Развернуть ветку
4 комментария
Anton Smets

Это все очень интересно, но почему ссылка на магазин в статье с рефом?

Ответить
Развернуть ветку
Sarkis
Автор

Так там реф от vc, он автоматом  ставится когда ссылку в статью добавляешь.  Это ставит сам vc

Ответить
Развернуть ветку
7 комментариев
Роман Дмитриев

Если ты не понял, это был рекламный пост школы английского языка) В этом посте использованы реальные проблемы, для того, чтобы привлечь читателей и "намекнуть" на существование проекта, но сама история выдуманная...

Ответить
Развернуть ветку
Art.Spark

уточнения...

1) во-первых узнайте какой банкинг-билинг подключен на американском сайте для оплаты.
Вы ведь понимаете, что сайты сами не создают системы оплат, а подключают внешние, которые уже в свою очередь принимают разные карты, виза, мастер,и т.д.

2) примечательно что Сбер просто сливает такие ситуации чтобы о них никто не узнал.

3) почему до сих пор не существует организаций коллективных пользовательских требований ? Все юзеров крутят на кую, делают что хотят, а их ро одиночке отсеивают.

Ответить
Развернуть ветку
Sarkis
Автор

Отвечу на вопрос, почему я считаю что Лола тоже виновата в этой ситуации

1) Я не верю в историю, что какой то левый чел вдруг стал тестировать ее сайт и вдруг написал в инстаграм. В комментариях правильно заметили, что тестер из интернета, не стал бы так настойчиво выяснять прошел ли платеж, он бы просто написал, что смог получить доступ введя левые данные.

Скорее всего она наняла человека, для каких то задач по сайту. Т. е по факту это ее сотрудник. И это видно даже по скринам их диалога, слишком они по свойски общаются.

 И по началу Лола активно его выгораживала, утверждая что там не было умысла. Откуда ей знать, если она с ним не знакома?

2) Лола сознательно установила у себя Страйп с минимальными настройками безопасности. Да, она не думала, что могут использовать таким образом, ей просто хотелось легче стричь деньги с потенциальных клиентов. 

3) После этой ситуации она абсолютно ничего не сделала, чтобы не допустить возникновения подобного снова.  Мне по несколько раз в день приходят уведомления, что на ее сайте пытаются совершить покупки с моей заблокированной карты.   Они продолжают что-то там тестировать.  Может ей кажется, что это весело, но мне совсем так не кажется. 

Вина Сбера том, что он не обеспечивает должную безопасность своим клиентам, в его хамском отношении, в нежелании помочь. 

НО и Лола виновата в этой ситуации, это ЕЕ сайт и действия ЕЕ сотрудника привели к ее возникновению.  Она могла бы хотя бы попытаться сделать хоть что-то чтобы компенсировать мои потери.  А ее позиция - я сделала возврат, дальше не моя забота, иди на х...

Кстати, горе-хакер пропал, перестал отвечать после нескольких сообщений. После чего сменил у себя в фб имя и удалил все данные. Понятно, что ничего он не компенсирует.  Он и написал, только после того кака я сказал Лоле про заявление, чтобы отговорить меня его писать. 

Ответить
Развернуть ветку
Максим Басенко

Дружище, вы передёргиваете, причём во всём. Вы тут привели как бы 100% аргументы в пользу вашего довода и теперь вы как бы правы. А вот вам для примера мои контраргументы, как вам?

1. Вы не верите и это ваше право и личная позиция ,но это исключительный ИМХО. По тональности статьи и комментариями я делаю вывод что вы человек дотошный, скурпулёзный, не склонный к излишним эмоциональным поступкам. Возможно вам тяжело поверить в то, что в мире подавляющее большинство людей нормальные, не склонные к преступлениям, живущие в понимании что такое хорошо и что такое плохо. Но это лишь картина мира в призме вашего мышления. "Настойчиво", это спросил 1 раз и потом переспросил? Ну такое... Что же касается стиля общения "по-свойски", так вы просто зайдите в её инстаграм. Посмотрите посты 1-2-3 летней давности. Очень легко понять что она лёгкий, весёлый человек с чувством юмора, а такие люди так общаются со ВСЕМИ, понимаю что это будет трудно принять, но в мире много разных людей.

2. Тут даже комментировать сложно, но я таки возьмусь. "Лола сознательно"  ...стоп стоп. На основании чего такие выводы? Тут вы пытаетесь направить мнение аудитории по вашему руслу, но никакой аргументации. ВЫ не можете знать "сознательно" ли это было, опять таки это ваши "ощущения", не стоит их называть фактами, а тем более делать на их основании выводы.

И второй момент, к слову. Мне бы и в голову не пришло проверять  какие-то штуки с оплатой на сайте, ведь я для этого нанимаю компанию-посредника, которая отвечает за это направление и берет свою комиссию, зачем мне это? У владельца сайта своя зона ответственности, у эквайера своя. А насчет легкости "стричь" как вы выражаетесь, так это любому, кто хоть как-то с е-коммерс связан понятно, что чем меньше шагов и чем проще потратить деньги на вашем сайте, тем выше конверсия в продажу. Извините, не вижу криминала.

3. Здесь посложнее, но я попробую. Возможно я неверно вас понял, поправьте если так. Вы утверждаете, что после всего этого были повторные попытки списания средств с вашей карты? Ок, но почему вы считаете , что эти попытки происходят именно на ЕЕ сайте? Есть пруфы? 

И что по-вашему можно сделать в данной ситуации? Сменить эквайера или заделать дыру в сбербанке? Я погуглил про Страйп, известная и популярная в США платформа, смысл менять? Тут надо разобраться с ними, как такое возможно, что ниже в комментах она и сделал, на что получен довольно ответ "проблема на стороне банка выпустившего карту и пропустившего операцию".В мою картину мира вполне укладывается.

И вы опять передергиваете насчет "действия ЕЕ сотрудника", вы не у ведущих  гос. каналов учились методом манипуляций? Сначала  высказываем ваши предположения "скорее всего она наняла человека, для каких то задач по сайту. Т. е по факту это ее сотрудник ", а затем на уже повторяем эти предположения как факты. Ну не красиво как-то совсем.

Ну и последнее, парня-"программиста" мне лично легко понять. Если в здесь, в публичном поле общаетесь своеобразно, то в личным наверняка позволяли себе больше. Он понял, что вы человек сложный в коммуникации и проще слиться, так как вероятность нормального диалога с вами стремится к нулю. Единственное , что тут стоило ему сделать - это конечно вернуть те самые несчастные 2000 рублей вам, всё-такие это его инициатива , а вы не должны были нести убытки из-за излишней рьяности.

Я конечно сочувствую вам в этой ситуации, деньги не должны пропадать с счетов владельца но они к вам вернулись и без особых проблем. Возместить комиссию тот "программист" я считаю был должен, но это уже на его совести. С чем не согласен, так это с вашими попытками обвинить Лёлю и поисками теорий заговора, их при желании можно напридумывать и гораздо больше. Тут вон какие-то товарищи вообще утверждают, что всё это реклама курсов. Глубина скептицизма и размер шапочки из фольги у каждого свой. Вам желаю больше позитива. верить в хорошее и пусть эти 2000 рублей будут самой большой потерей в вашей жизни. 

Ответить
Развернуть ветку
Андрей Опториус

Сберу по фиг на своих клиентов! А сотрудники давно уже сливают инфу по картам мошенникам. Ни с одним банком нет столько проблем, сколько из есть со сбером.

Ответить
Развернуть ветку
Oleg Peres

Честно говоря, история с программистом это какой-то наивный бред. "Привет, я программист, сейчас тут всё у вас проверю". Серьёзно?
Скорее всего они нашли уязвимость в сбере (что карты можно чарджить без дополнительных данных) и стригут их пачками. А нескольким наивным, посылают заранее созданную историю.
Я бы на вышем месте попросил Stripe проверить этот кейс с их стороны. Там всё очень строго с fraud'ом.

Ответить
Развернуть ветку
Аарон Малис

А я удивился к концу статьи, после озвученной оплаты 30 000 рублей. Вроде читал про 170 и 180 долларов. Курс, конечно, ахуеть стал. Рубль вообще не стоит нифига :(

Ответить
Развернуть ветку
Станислав Александров

тоже тупанул.. 200 баксов 30к че? :)

Ответить
Развернуть ветку
2 комментария
Владислав Брючко

Предлагаю отправить эту остросюжетную историю в нетфликс. Пусть снимут детектив

А ситуация страшная конечно

Ответить
Развернуть ветку
Михаил

Да Нетфликс сейчас даже купит сценарий похода в магазин за продуктками.

Ответить
Развернуть ветку
Роман Дмитриев

Ситуация страшная, но выдуманная...  Если ты не понял, это рекламный пост школы английского языка) В этом посте использованы реальные проблемы, для того, чтобы привлечь читателей и "намекнуть" на существование такого замечательного проекта

Ответить
Развернуть ветку
Лианита Гутин

У пожилой мамы украли карту в аптеке, она сразу опомнилась и побежала в Сбербанк. Банк, соседнее крыльцо с аптекой... Попросила заблокировать карту, ей ответили звоните по номеру 900! Пока она требовала блокировки карты, деньги сняли в банкомате через дорогу. Буквально 6-7 минут прошло с момента её обращения в банк. А смогла бы она дозвониться до оператора за это время? Почему работники банка не в состоянии заблокировать карту? 
Удивляюсь, почему люди продолжают пользоваться услугами этого #овнобанка?

Ответить
Развернуть ветку
Александр А.

Не защищая Сбер...

Разве деньги можно снять без пин-кода? Только не говорите мне, что пин-код был записан на карте. 

Ответить
Развернуть ветку
1 комментарий
Герд Ахцигер

Автор, тут проблема не в Сбере и точно не в Лоле, а в Stripe. Мы столкнулись с подобной ситуацией впервые около месяца назад, как только через страйп начали залетать по 200-300 попыток провести платеж за короткий промежуток времени, после чего злоумышленнику удавалось провести успешную транзакцию. 3DSecure, конечно же, был активен в настройках Stripe.

Напряглись мы после подобных обращений в техподдержку: "Я не знаю что такое fornex.com и почему вы сняли у меня 20 долларов". В итоге, нам пришлось переписывать модуль взаимодействия со Stripe, чтобы вычислять злоумышленников и блокировать их на лету. 

Stripe рекомендуют сразу включать проверку 3DSecure и большинство ее включают, но проблема скорее в американских банках. В Америке до сих пор, мало где требуют вводить PIN-код, при наличии физической карты и еще уйма онлайн-магазинов, которые могут снять деньги с карты даже без CVV2.

Ответить
Развернуть ветку
Игорь

Ушел со сбера не жалею. Столько приключений с ним было, тут можно целую книгу написать в двух томах. Гнилая контора с гнилыми сотрудниками.

Ответить
Развернуть ветку
Александр Полозов

Подскажи, куда ушёл. Я тоже хочу уйти.

Ответить
Развернуть ветку
1 комментарий
Анна Яковлева

На прошлой неделе произошла ситуация ОДИН В ОДИН!!! Все как под копирку: 2 транзакции в магазинах в США, хамоватая служба Сбера, и в итоге чарджбэк от магазинов, которым я самостоятельно рассылала письма во все соц.сети. 
От банка ни помощи, ни разъяснения ситуации, ничего. Тоже сделала выводы, что это дыра в безопасности.

Ответить
Развернуть ветку
Я не скажу свое имя машине

Совсем скоро Stripe заставит всех перейти на Stripe Elements, там безопаснее будет 

Ответить
Развернуть ветку
Mike Kosulin

В целом да. В России это взлетело у Cloudpayments.

Ответить
Развернуть ветку
1 комментарий
Полина Корзина

Страйпу чем меньше проверок, тем лучше, так как падает конверсия и их выручка. Они могут 3Д включать по умолчанию, но у них это отключено.  

Ответить
Развернуть ветку
Птиц

Подтверждение через смс магазин может отключить по договорённости с банком. Я так понимаю в этом случае риск чарджбека больше ложится на магазин, а вот чтобы без cvc проходили платежи не слышал. Это явное нарушение правил платежной системы и банку за такое может прилететь.

У меня был случай, что я то ли cvc не ввел, то ли смс код, транзакция около суток висела на холде, но потом отменилась.
Ещё был случай когда через мобильный терминал платеж на 8000 провели без пин кода. Вот тогда я удивился.

Ответить
Развернуть ветку
Алексей С.
Ответить
Развернуть ветку
Андрей Антонов

Зато, с*ка, блокируют, когда 1000 рублей переводишь клиенту: «мама» за подозрительную операцию

Ответить
Развернуть ветку
Алексей Романов

Спасибо за пост. Отключил онлайн оплату со сберовской карты. Заведу пожалуй цифровую. 

Ответить
Развернуть ветку
Игорь Горячев

Для надёжности надо ещё банк сменить.

Ответить
Развернуть ветку
1 комментарий
Джо Брэдли

Как? У них же только заблокировать можно.

Ответить
Развернуть ветку
4 комментария
Ilya Lapenkov

Имхо, схему спалил программист спрашивая "прошла ли транзакция"?  Добрый самаритянин убедившись, что рандом подошел для оплаты и курс стал доступен - просто покажет это владельцу магазина, но не станет проверять прошла ли транзакция....

Ответить
Развернуть ветку
Sarkis
Автор

я думал об этом, но не смог понять в чем логика его действий, если умысел был именно вывести деньги.
 
Допустим, ты где то нарыл данные карты. Купил там базу или еще откуда то вытащил. Зачем тебе использовать это на сайте с онлайн курсами, а потом еще и признаваться  и возвращать деньги? 

Единственное, в чем мне кажется они обманывают. Это, то что они якобы раньше не были знакомы.  Уверен, программист это работник/фрилансер проекта. А не просто чел, который что-то хотел протестировать. 

Ответить
Развернуть ветку
3 комментария
No Name

Дружище написав последние строки ты сейчас кучу людей подверг на свою же учесть, поверь уже сегодня был создан, а возможно и не один фейковый магазин по твоей подсказке

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Евгений

Ну нужно признать, что чисто юридически косяк не Лолы, а банка, если в договоре не указаны возможности транзакции просто по номеру в некоторых случаях (банк находится в системе Виза или Мастер, а они уже подключают Стипл к системе), а если в договоре с вами указано, что банк осуществяляет транзакции в соответствии с правилами платежной системы Виза, юнион пэй или Мастркард и вам нужно с этими правилами ознакомится самостоятельно, то косяк вообще клиента. Но, повторюсь это по закону. А по человечески - это проблема учреждения которое взяло к себе на хранение ваши деньги. Сайт тут вообще причем? Он использует согласованную и законную схему оплаты.

Ответить
Развернуть ветку
Andrew van de Kamp

Виза и Мастеркард напрямую с физиками не работают и поэтому очень сомневаюсь, что они какие-то правила для физлиц в принципе пишут. Поэтому если там с чём-то нужно ознакомиться, то это должно быть где-то у банка выложено или опубликовано. 

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Andrew van de Kamp

Платежные системы не работают с физлицами, их клиенты - банки. Они вас слушать не будут и пошлют в банк 

Ответить
Развернуть ветку
1 комментарий
Asya Conto

Не один банк не отменит операции по оплате, нужно писать заявление на опротестование суммы. Это занимает время, рассматривает отмену платежная система а не банк, и да у меня также пропали деньги с кредитной карты Альфа банка 60000₽, банк пропустил 4 операции и на 4 оплате позвонили, магазины странные зарубежные. Картой редко пользовалась, и в самом отделении банка. В полиции приняли заявление и тишина, попутно написала в цб и тишина, прошло больше месяца уже. Когда была в полиции таких как я пришли ещё 3 человека и все альфа банк. Недавно у знакомого украли с дебетового счёта больше миллиона рублей и это был ВТБ, сохранность денег банки не дают гарантии. И как сказали в полиции сокращение сотрудников банка привело к потери личных данных. А мне теперь пока идёт проверка по счету придётся платить.

Ответить
Развернуть ветку
Sarkis
Автор

Так по закону они как раз обязаны давать гарантию и обязаны возвращать средства! Единственное исключение, если вы сами сделали перевод мошенникам или передали данные своей банковской карты.  Тогда они имеют право отказаться. 
НО банк старается тебя убедить, что ты сам дурак и сам во всем виноват. Именно потому, что ничего возмещать не хотят.  

А если банки не дают гарантию сохранности твоих денег, тогда какой вообще в них нафиг смысл?? 

Ответить
Развернуть ветку
5 комментариев
Sergei Timofeyev
 Недавно у знакомого украли с дебетового счёта больше миллиона рублей и это был ВТБ, сохранность денег банки не дают гарантии

С карты, привязанной к счёту. Чтобы такого не было, достаточно иметь другой счёт, непривязанный ни к какой карте. Тогда операция по краже будет куда сложнее.

Ответить
Развернуть ветку
Dmitry Ilyin

Автору - моё почтение. Вы не из отдела по борьбе с киберпреступлениями ФСБ?
Реально, так додолбать Сбер и потом еще сам этот "сомнительный" сервис - это очень круто и настойчиво!

Ответить
Развернуть ветку
Роман Дмитриев

Если ты не понял, это был рекламный пост школы английского языка) В этом посте использованы реальные проблемы, для того, чтобы привлечь читателей и "намекнуть" на существование проекта, но сама история выдуманная...

Ответить
Развернуть ветку
1 комментарий
Lola Nekrasova

Всем добрый вечер, друзья, Лёля BYEACCENT на связи ✌️!

Ох, давно хотела попрактиковаться в написании статей. Вот Вселенная и подкинула возможность :) Благодарю 🙏. Увидела эту статью сегодня, и, вуаля, вступаю в открытый диалог.

Подготовила аж 4 ответа (старалась для любителей лонгридов 😀). 

Вот предлагаемое меню ответов на сегодня:

1. Короткий. Для людей с юмором.
2. Длинный. Для людей технических, любящих подробности.
3. Душевный. Лично для Саркиса :) (которому мы вежливо ответили на каждое его сообщение, но он почему-то решил, что мы съезжаем с темы). 
4. Философский. Для парня, который заварил эту кашу.

(занавес открывается, погнали)

Ответ “Первый”.

Лёля на связи. Всем добра! 
Все чарджи сразу вернули, как только пришёл запрос. Как говорится, “бабе - цветы, детям - мороженное”.

К людям, это затеявшим, не имеем никакого отношения.

Со Stripe всё перепроверили. С нашей стороны, как была, так и осталась - надёжная верификация. Stripe - одна из самых надёжных платёжных систем в мире. Ей пользуются такие компании, как Google, Amazon, Zoom, Lyft, Slack, Instacart, Shopify и т.п. За время нашей работы с ними, у нас не было оснований им не доверять.

Знаю, что всегда будут такие Саркисы, которые любят громко покричать. По делу или нет. 

По мне, главное чтобы они кричали без акцента :) На английском 🙌😂 Так, что кто хочет научиться хорошему произношению и позитиву - Welcome to BYEACCENT 😎 https://www.instagram.com/byeaccent ✌️ Всем, дочитавшим пост до конца - ссылка на бесплатный урок. Ура!

(аплодисменты, занавес, смена декораций)

Ответ “Второй”.

Привет, друзья!
Всем доброго дня.

После того, как к нам пришёл запрос о ситуации, я отправила полный refund запрошенных платежей. 
Далее я обратилась к нашей платёжной системе Stripe, дабы понять, как это произошло, и как подобную ситуацию предотвратить в будущем. Кусок диалога:

(05:49:16 PM) Lola: My question, is it possible for the payment to go through if the cvc code and the expiration date are wrong?

(05:50:38 PM) Support: Got it Lola, I understand your doubt
Let me tell you that Stripe has a software called Radar, and this tool based on Machine learning doesn't accept payments with cvc wrong

(05:51:33 PM) Support: Of course, without the correct expiration, the system doesn't accept the charge.

После чего я описала произошедшую ситуацию, что подобный платёж с неправильным cvc всё-таки прошёл, и запросила расследование этой ситуации. 

Из отчёта Stripe:

“That being said, the rule in Radar to block charges based on failed postal code verification only blocks charges when the bank says they failed.

The way the checks work are this, when the customer creates the charge they enter the information required on your checkout form. This information is then passed to Stripe through your integration. When we receive the postal code, billing address, and CVC we send it to the bank. If the bank offers any of the three checks then they will send back a 'pass' or 'fail'. If the bank doesn't do the checks, or there is an issue then you could get back 'unavailable’.”

То есть данная операция прошла потому, что её не отклонил банк используемой карты.

Все платежи, проходящие на нашем сайте проходят верификацию. Так, к примеру, я в отчётах, вижу отклонённые платежи “high risk fraudulent”, когда такое случается. В том числе платежи, которые отклонены по причине неверного cvc или zip code. Это нормальная практика. В листе данной операции не было, её одобрил банк.

По поводу молодого человека Х, представившегося программистом и сделавшего эти операции. 
Мы не имеем к нему никакого отношения. 

Откуда он взялся?

В Instagram аккаунт нашего проекта @byeaccent и мне в личный аккаунт @lolanekrasov (что я увидела позднее), пришли сообщения от @karachev.oo (все скриншоты с этим молодым человеком под постом):

“Лола, добрый день. Работаю программистом нашёл несколько багов на твоём сайте из-за которых можно получить любой курс бесплатно советовал пофиксить их перед запуском курса про визы #баги на сайте прочти меня”. 

Ах, да, а я говорила вам, что мы запустили новый курс? :) Давайте поподробнее расскажу. Шутка. 😀😂Реклама позже. Возвращаясь к нашей истории. Мы правда запускаем новый продукт, и сообщение такого рода, конечно же, обратило внимание. 

После диалога с нашим админом (я мирно спала в другом часовом поясе, потому как проект у нас - международный 😴), выяснилось, что этот молодой человек Х воспользовался чужой картой для совершения платежа. А когда увидел, что получил доступ к купленным курсам, написал нам в Instagram об ошибке сайта, не понимая, что платежи прошли (смотри скриншоты).

Молодой парень, явно сделал глупость/правонарушение, воспользовавшись чужой информацией. Как он её получил? Процитирую его сообщение, опять же из скриншотов “Мы недавно рекламу в одном паблике вк покупали, нам скинули номер карты.” Тут, кстати, Саркис может вступить и прорекламировать свой паблик, why not? 😉

(продолжение статьи  в комментариях)

Ответить
Развернуть ветку
Lola Nekrasova

Так вот, молодой человек сам Х, лично, сразу же после чарджей, написал нам о ситуации, поэтому у нас не было оснований полагать, что это какая-то трёхуровневая мошенническая схема. 

Мы всегда находимся в дружеском диалоге со своими подписчиками, поэтому факт того, что кто-то захотел сообщить нам о какой-то ошибке на сайте или опечатке - не вызвал у нас какого-то особенного удивления. Кстати, о нашем проекте BYEACCENT (здесь в тему, чес-слово 🤗) - это комедийный языковой блог об американском разговорном языке и сленге. Он известен своим позитивом и добрым отношением к миру. Наши подписчики это знают, мы не раз помогали людям, которые обращались к нам с просьбой о помощи (будь-то сбор средств или что-то подобное). Поэтому, когда так же помогают нам - это нас не удивляет, для нас это нормальный ход вещей. 

За всё время существования проекта у нас не возникали ситуации с жалобами или чем-то подобным. Даже интересно, откуда Вселенная послала нам такого Саркиса? 🤔Но об этом позже. С ситуацией подобного рода, я сталкиваюсь впервые (поздравьте меня с медиа-почином), поэтому и отвечаю на неё лично. Саркис, видите какие вам почести, а вы сердитесь :)

Потому, после выяснения всей этой ситуации и возврата денег, мы дали молодому человеку Х контакт Саркиса, у нас имеющийся (на тот момент Саркис написал нам в Facebook), чтобы молодой человек лично и по-человечески извинился за свои действия, и объяснил сложившуюся по его вине ситуацию, взяв ответственность (скриншоты вам в помощь).

В защиту этого парня Х (о нём в ответе 4) - он действительно, сразу связался с Саркисом, и объяснил ему ситуацию, предложив восполнить его утраты.

Я лично верю, что некоторые моменты в жизни, можно просто решить по-человечески, не устраивая скандала. 

Я думаю меня поймут те, кто работает с людьми. 

Но меня не понял Саркис.

(занавес, смена декораций)

Ответ “Третий”.

Саркис, милый мой, дорогой! 
Это всё никак происки злого Цукерберга: я вам на каждое сообщение ответила, вежливо, по делу, но диалог вам “показался немного странным”. Что же мне, горемычной, поделать?
А мне вот показалось, что вы тоже немного не в себе были…Вы выспались? Вы поели? А то всякое же бывает. Короновирус злобствует. Аккуратнее!

А у вас вот “cложилось ощущение, что вам что-то не договаривают”. 

Уж простите, ежели, я потратила всего лишь день на разбирательство с этой ситуацией лично, а ночью спать легла. Это не я - это природа во всём виновата! Она тоже зловещая, всё у нас отнять что-то хочет. Украсть! Мне вообще кажется, что солнце в сговоре с луной! 🌝🌛 Какая халатность творца. Вам, наверно, тоже покажется, что это “на 90% именно моя вина”. Ведь я тоже живу на этой планете 🌏. 

Я, знаете, до сих пор ведь напугана, вы ведь меня “припугнули”. Вот капли пью, думаю, подавать ли на вас в суд за запугивание и причинение морального ущерба, порчу репутации? Надо бы, но да Бог с вами. 

Я вас прощаю, Саркис.

Мне кажется, вам тоже хотелось попрактиковаться в написании статей. Поэтому, поговорив со мной в воскресенье, проигнорировав извинения молодого человека Х, заварившего кашу, не дождавшись ответа от Stripe, и не разобравшись до конца в этой ситуации, вы сели творить, и уже в понедельник выдали целую статью.

О, творчество - это прекрасно! Я понимаю.

Главное, чтобы профессионально и экологично 🌱. 

Как это?

Это когда вы опираетесь на факты, а не на “ощущения”, прежде чем публично кого-то в чём-то обвинять.

Ну, да, Бог с вами.

Кстати, молодой человек Х, который нас с вами так вот познакомил, сводник-негодник, насколько мне известно, лично перед вами извинился и предложил восполнить утраты, но вы почему-то этот момент упустили. 

Ведь тогда бы не было утрат! И статья не имела бы веса! А вам же так хотелось статью! В мир! Людям! Это похвально . Ах, милый мой, ну, что же с вами поделаешь! Все мы люди, ничто человеческое нам не чуждо.

Обнимаю вас крепко, дорогой мой.

Хорошего вам творчества! 

И добрых статей.

🤗❤️🙌

(аплодисменты, занавес, смена декораций)

(ответ четвёртый, завершающий, ниже)

Ответить
Развернуть ветку
13 комментариев
Artem Borodinov

ВТБ, один из сайтов решил подобрать дату выпуска: 4 смс о не проходе платежа, 5 все прошло. Написал заявление в ВТБ, написал заявление в МВД, ФСБ, деньги вернули. МВД как всегда расследовать не стал, раз деньги вернули, просили написать отказ.

Но теперь эти ребята из Израиля возвращают деньги.

Ответить
Развернуть ветку
Евгений Анисимов

Прямо детектив получился!
По теме - Лола ни в чем не виновата. Платежи обрабатывает платежная система/банк, а не пользователь. Соответственно уязвимости платёжной системы/банка это их проблемы. Клиент ПС может и не знать о проблемах конкретной ПС. 
Ну а сбер в очередной раз подтвердил свою репутацию. Ничего нового.. 

Ответить
Развернуть ветку
ave ego

как раз вина лолы очевидна.. тесты платежных шлюзов/сайтов делают по тестовым номерам карт с тестовыми настройками, где нет реального списания и зачисления денег. никто никогда не тестирует реальными картами, ну может только сами владельцы сервиса..

Ответить
Развернуть ветку
1 комментарий
Сергей Михалёв

Какие данные проверять - выбор мерчанта (магазина). Например, 3дс снижает конверсию в оплату, и если вы уверены в своих покупателях, можете его отключить. Только при этом расписываетесь, что по любому чарджбэку эквайер у вас отберет деньги без разбирательств плюс оштрафует.

Но в России, чтобы 3дс отключить, мерчанту надо довольно сильно попросить своего эквайера об этом. Мелкому, наверное, просто откажут. Потому что, хотя вы и взяли риски на себя, эквайеру просто неохота возиться с вашим фродом, к тому же у него свои KPI по конверсии.

Далее, если договориться, можно, видимо, отключить и проверку cvv. Но небольшому магазину в России такое вряд позволят. Со Страйпом, значит, проще договариваться, ну или он по умолчанию такой. Лола, разрешив не проверять cvv, взяла на себя риски. Но это ее выбор. И даже можно понять почему: у нее услуги языковых курсов, а не продажа товара, поэтому вероятность фрода невысокая.

Банк же плательщика (в данном случае Сбер) просто следует команде от связки эквайер/платежная система - если те аппрувят платеж без 3дс, или если там только номер карты совпал, банк его выполняет.

Ответить
Развернуть ветку
Dmitry Dubov

перешел на сайт с этого поста.рефссылка,серьезно?

Ответить
Развернуть ветку
Sarkis
Автор

Я уже писал про это выше, vc  ее сам ставит. Если есть сомнения, протестируйте на черновике. Вставьте в тело статьи ссылку и перейдите по ней в режиме предпросмотра.  

Ответить
Развернуть ветку
Inna Sychugova

А как выяснилось, что и CVC код был введен неверно? Сотрудники сбера сами подтвердили?

Ответить
Развернуть ветку
Anton Smets

К сожалению, вопрос на этот ответ в сценарии не прописан :)

Ответить
Развернуть ветку
Sarkis
Автор

Со слов все того же "программиста". Из данных, которые он назвал совпадает с моим только номер карты. 

Есть конечно вероятность, что он обманул и у него реально мои настоящие данные карты, которые куда-то утекли. Но мне кажется это маловероятным.  

Ответить
Развернуть ветку
Николай Новиков

Автору спасибо за интересный рассказ о такой ситуации. Настойчивость - это классно.
И вопрос всем мамкиным финансовым экспертам в этом чатике - про виртуальные карты и сберегательные счета - вы жертвам насилия, например, тоже в глаза тыкаете "херли юбку короткую надела, сама виновата" ?

Ответить
Развернуть ветку
Анон Плиз

Почему нет? Или вы считаете, что сексуальных провокаций не бывает, только сексуальные домогательства? 😏

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Ivan Vishnyakov

Была с тиньковым ситуация несколько лет назад.
Оплачивал картой в крошке картошке заказ, а потом следующий заказ с той же кассы следующего человека снимали с моей карты, пока она лежала у меня в кармане и пин-код я разумеется не вводил.

Так и не удалось узнать какая "ошибка" оборудования могла привести к такому интересному повороту

Ответить
Развернуть ветку
Александр

Друг поправь заголовок, текст то фиг с ним, но заголовок читать больно..

Ответить
Развернуть ветку
Sarkis
Автор

Спасибо, подправил вроде, Сорри за ошибки)

Ответить
Развернуть ветку
Сергей Подливчук

В этом вся ирония всех этих Сберов Почт хуёчт. Они занимаю всем кроме своих прямых обязанностей. Тебе посоветуют что угодно, но если ты спросишь об услугах банках или затруднения, то в ответ на тебя польется какая-то дикая дичь. Даже тут, по правилам платежной системы, если продавец не требует подтверждения 3-D Secure, то платеж может быть возвращен. Даже тут Сбер ебет мозги.

Ответить
Развернуть ветку
Sergey Panferov

Автор:
1. Очень познавательно и по делу. Пожалуй после вашего текста высьавлю лимит у себя в сбере по карте :)
2. Я давно со сбером, да... вы правы - посл время у них усилился непрофессионализм. Так стремятся стать ИТ компанией что видимо забыли как быть банком :)
3. Согласен с вами что вы не должны нести ответственность за то что сбер общается по телефону с неадекватными бабульками
4. Ваша настойчивость в разговоре с оператором и в контактах с сайтом в сша вызывает уважение

Ответить
Развернуть ветку
Илья Ефимов

Лютая жесть. Ребрендинг прошёл успешно!

Ответить
Развернуть ветку
Анатолий Емелин

Надо быстрее переходить на платежи по динамическим QR кодам. Там карточные данные вводить не надо.

Ответить
Развернуть ветку
Порфирий

Вообще реально всё: я тоже иногда на сайтах проверяю как реализована оплата картами, данные карт беру с кредит кард генератор, например. И вот однажды, введя такие данные, случайный цвв и дату, попал на странице 3д секьюр какого-то испанского сайта.
Другой вопрос, как сбер пропустил.
Страйп в России не запрещен, он просто не работает с русскими компаниями, и не собирается. Сам использовал его на нескольких сайтах, и ни разу не замечал чтобы они пропускали платежи с неверным цвв. Тут больше вопрос к сберу.
Их нежелание помогать с чаржбеками тянется десятилетиями, хамло на первой линии везде встречается, от физиков до ипотечников на первой линии. Так и смысл им нести свои деньги?

Ответить
Развернуть ветку
Вячовскi

Щас к тебе придёт сбербанк и расскажет про своего опупенного бота, эджайл, блокчейн, забудет только рассказать про огромные госинвестиции, хреновую тех. поддержку, постоянные баги то тут то там, и то что по сути весь фейерверк на ваши, уважаемые налогоплательщики, рублишки.

Ответить
Развернуть ветку
Станислав Одинцов

У меня такое случилось в аэропорте , списали две суммы в дютике. Я только в него зашёл. Карта Рокетьанка была. Карту сразу заблокировали . Потом я узнал, что кто-то купил билеты на зарубежном сайте. Через 3 месяца деньги все же вернулись

Ответить
Развернуть ветку
Aleks B

мне паскуды из сбера втихаря не включили кредитные каникулы, после подачи заявления, выяснил только сейчас спустя пару месяцев, как продолжили доначислять проценты по кредиту, причем с удвоенной силой

Ответить
Развернуть ветку
Влад Орлов

Я уже и со счета сбился, сколько раз хвалил себя за то, что ещё несколько лет назад закрыл все свои отношения со сбером. Сейчас лишь угораю с жены, которая на сбер зп получает и по ряду причин соскочить с него не может.
Мне кажется, что в рамках ребрендинга им можно было ещё сильнее сократить свое название и это реальнее описывало бы контору. ДНО.

Ответить
Развернуть ветку
Make Luv

Открою секрет - по стандарту подтверждение по смс не обязательно и защищает только магазин. Оно не для нашей безопасности и магазин может ее не включать.
А Лола по-моему правда ни при чем. Горе-хакер же пишет, что может компенсировать комиссию, вот пусть и платит за переконвертацию.

Ответить
Развернуть ветку
Эдуард Ашин

Сбер спонсор киберпреступников номер 1 в России. Это всем известный факт.
К примеру, при получении карты вам предлагается «пописать вот здесь» .
А там содержится текст про мобильный банк, суть термина не разъяснена, смотрите на сайте. По факту, мило улыбаясь глупой улыбкой, сотрудница сбера открывает доступ к вашему счету всем желающим. Вернее тем, кто завладеет вашей сим картой или номером телефона. Это без вашего ведома, распоряжения и информирования о возможных грустных для вас последствиях. По умолчанию, как учили. В первом варианте, проходил на себе, у меня украли смартфон, клавиатура заблокирована, вроде хрен с ним. Но тут на выручку преступникам приходит Сбер. Ребята, говорит он, я как слуга тьмы #1 в банковской отрасли в россии, сейчас вам помогу. Вытаскивайте симкарту и отправляйте смс на номер 900. Ведь номер телефона сотрудница сбербанка тайком привязала к вашей кредитной карте. Которую вы спрятали дома и даде cvc код стерли.
Когда вы обращаетесь в сбер со словами -че за на? Сотрудники сбера выпучивают глаза и разыгрывают сценку из фильма Буратино, изображая Дуремара-а я тут не причем...)
Мало того, что вам навязали платную услугу, отправка смс на номер 900, так и еще за вас приняли решение о методах доступа к Вашему счету. По умолчанию. Ответственности то никакой) дуремар)
Во второму пункту. Поизучав инет на предмет похожих случаев, нашел интересное решение верховного суда. У одной женщины была кредитка, также с тайно привязанным мобильным банком сбера, которым она не пользовалась, не просила подключать и не была проинформированна о всех его функциях и основаниях для подключения. Так вот, кредит она закрыла и забыла. Номер телефона сменился, и был передан партнером сбера по развитию киберпреступности-сотовым оператором, другому пользователю. Тот попробовал смс на 900, и о чудо! Списал со счета женщины в сбере порядка 300тыс в сумме. Мудрые сотрудники сбера сообщили женщине, что ее звонок очень важен и неплохо было бы занести 300 штук в кассу. Короче, только в верховном суде пострадавшей удалось отбиться от упырей. Что то изменилось? Нет.
Чарлджбэк. Ото слово в сбере считают ругательством. Я раз обращался по поводу незаконно списаных средст. Получил отказ естественно. Позвонил в мастеркард. Оказалось, что заполнял я не форму на чарджбэк. А на процедуру отводится 2 месяца. Поддержка мастеркарда позвонила в сбер, отыскала там того, кто слышал про чарджбек. В итоге, заполнил специальную форму на чарджбек и получил отказ. В правилах мастеркарда кстати написано, что чарджбек в рф на усмотрение банка.
В итоге решил восстановить справедливость не вернув сберу кредит. На телефоне установил функцию звонков только из списка, внес в заблокированные номера порядка 300 номеров. Эти уроды стали звонить жене. Проблему решили также. Пусть еще потратят усилия и средства на суды и адвокатов))) имущество всегда записано на родственников, зп в инете.
Кстати, если кто недавно родился или подзабыл. У сбера, работающего с какого там1800 года, есть огромные обязательства по облигациям. Исполняются через решение Европейского суда.
Так что, обходите стороной эту контору. Сбер. Создано быллом для быдла.

Ответить
Развернуть ветку
Алексей Андреев

Лола то тут причём? Это в банке дыра - они должны компенсировать

Ответить
Развернуть ветку
Дмитрий Азаренков

Зато блин операцию, проведенную по номеру телефона из контактной книги, могут заблокировать, так как "чёта подозрительна" 😒

Ответить
Развернуть ветку
Михаил Зеленин

Автор отвали от несчастной Лолы, она такой же клиент как и ТЫ.
Гони на stripe!  

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
1 комментарий
Мощный

Держу на сберегательном счету деньги. При необходимости что-то купить — перевожу на карту. Сплю спокойно.

Ответить
Развернуть ветку
Аарон Малис
Держу на сберегательном счету деньги.
 Сплю спокойно.

Чет посмеялся. То, что хорошо спите, это плюс, а вот безопасность такая под вопросом. Раз в 20-30 лет в России обнуляется все. 

Ответить
Развернуть ветку
4 комментария
Семен Смирнов
Возможно, проблема глобальная

Можно же попробовать ввести данные карты без денег и посмотреть на ответ. Неправильные реквизиты или недостаток средств

Ответить
Развернуть ветку
Sarkis
Автор

Думаете этим должен я заниматься?) Я лишь описал, свой кейс с картой Сбербанка. В комментариях писали, что похожее происходило с Альфой, Тинькофф утверждает, что с их картами такое невозможно.  У меня нет большого желания заняться тестированием карт всех возможных банков)) Думаю такие проблемы с безопасностью, должны сами банки проверять и предотвращать. 

Ответить
Развернуть ветку
Полина Корзина

Это не дыра, это система. Как продавец регyлярно вижу в страйпе оплаты без  cvc, с проваленной проверкой улицы или зип кода (американские карты). Страйпу важно чтобы транзакция состоялась. Он не внакладе в любом случае. Если будет чарджбек, он все равно удержит комиссию за платёж. 3д по умолчанию выключено и еще поискать надо, где включить. Все ради прибыли. Уроды

Ответить
Развернуть ветку
Sarkis
Автор

ну а Сбер, то почему не может на своей стороне такие транзакции пресекать? 

Ответить
Развернуть ветку
1 комментарий
Anton Reut

Я так и не понял почему система списывает средства если период действия карты и код на оборотной стороне указан неверно?

Ответить
Развернуть ветку
Sarkis
Автор

ну в этом и есть основной вопрос, почему банк пропустил такой платеж. 

Ответить
Развернуть ветку
Михаил Колама

Прочитал переписку как автор общался с милой владелицей проекта и на 100% уверен, что специалист Сбера не был каким-то хамлом.
Автор сам то еще хамло, которое дерзит людям пытающимся помочь ему.

Ситуация, конечно, неприятная, но автору бы своё бомболейло направить создание комфортной социальной среды вокруг себя, чтобы не быть таким агрессивным ханжой.

Ответить
Развернуть ветку
Эдуард Ашин

Согласен с автором статьи. Проходил на своем опыте. Вы походу из сбера. У ваших есть одна характерная черта-отрицать факты и делиться предположениями, выдавая их за действительность.

Ответить
Развернуть ветку
2 комментария
Tyson Yerkes

Был опыт с кражей карты Сбера во Франции. Чтобы заблокировать карту, сотрудник службы поддержки предложил посетить офис. ))) Т.к. вылетать ради этого не предполагалось, то украденной картой воспользовались похитители. Были совершены покупки на сумму 12 тысяч руб. - то что было на карте. По приезду после посещения офиса и заявления, через некоторое время банк вернул всю сумму. И это было удивительно!

Ответить
Развернуть ветку
Gre Li

Проще в банкомате три раза неправильно ввести пин-код.

Ответить
Развернуть ветку
5 комментариев
Павел

Прям детектив, подобная дичь вылезла в связке со страйпом, который более менее популярен и ставлю 10ку, что в подобной связке карта сбер с верным номером и неверными остальными данными тестировалось кучу раз различными разрабами и тестировщиками, как минимум потому, что вполне вероятный кейс который нужно корректно обрабатывать. 

Ответить
Развернуть ветку
Игорь Горячев

Ситуация жесть конечно. Вам пятёрку за настойчивость. Надеюсь после этого случая вы не станете пользоваться услугами этого говно банка 

Ответить
Развернуть ветку
Sarkis
Автор

Спасибо. Я пользуюсь картами разных банков. У Себра тоже есть пара плюсов. Например много банкоматов и люди привыкли переводы делать. 
Все средства в одном банке стараюсь не хранить. 

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Александр А.

Проверено на примере Wildberries - точно так же с карты МИР списывается без смс-кода.

Предполагаю, дело в том, что банк-эквайер летом внедрил 3D Secure 2.0, а там смс-ка высылается не на каждый платеж, а на усмотрение банка.

Ответить
Развернуть ветку
4 комментария
Mikhail Lazarev

Есть такая штука, как крипта :)) Посмотрите, там интересные вещи происходят. И никакой Сбер не нужен :)

Ответить
Развернуть ветку
Alexander Mikhaylov

Эмитент карты и не должен проверять CVV/CVC код. Плюс PCI DSS не позволяет продавцу его хранить, поэтому если врубить на стороне банка обязательную проверку CVV/CVC, то думаю отрубится часть рекуррентных платежей. 

Ответить
Развернуть ветку
Denis Manchenko

Как бы там дела не обстояли, а покупки возможны без CVC.
И, правильно, Stripe на это также способен, ПС Amazon'а и Google профиль.

Ответить
Развернуть ветку
Dariya Yaufman

В который раз убеждаюсь, что клиентский сервис и клиентская поддержка решает многое. В первую очередь, отношение  клиента к проблеме и к продукту. У Сбера, кажется, тут с сервисом все очень плохо. Поэтому, какой бы крутой продукт не стороили, хочется уйти куда-нибудь в более "гостеприимное' место.
Прям о наболевшем со Сбором и их чудесной поддержкой :))
P.s. автору спасибо за статью ) пошла заводить теперь карты для онлайн транзакций. 

Ответить
Развернуть ветку
Абубакар Сергеевич

Спасение утопающего, дело рук самого утопающего. Как говорил один мой драгоценный шеф - всегда нужно рассчитывать на долбо....в. Советую всем читателям поста, не хранить всю сумму на счете карты, а создать отдельный счет. В случае покупки, через сб-онлайн переводить на счет каоты нужную сумму. Так же онлайн покупок создать онлайн карту и не хранить на ней деньги вообще. Автору большое спасибо за очень подробный и интересный пересказ. Ждем продолжения истории.

Ответить
Развернуть ветку
Артем Калашников

Прощай Сбер. Нам не по пути...

Ответить
Развернуть ветку
Эдуард Ашин

Запроси мастеркард прокоментировать ситуацию. Кто что кому и почему должен с их точки зрения.

Ответить
Развернуть ветку
Canapsis

Данные карты могло спиздить какое-нибудь расширение в хроме, которое записывало все данные вводимые в браузере

Ответить
Развернуть ветку
Bulat Ziganshin

ещё раз - сайт позволяет платить БЕЗ данных карты, просто по её номеру, который секретной инфой не считается

Ответить
Развернуть ветку
1 комментарий
Эдуард Ашин

Могу еще рассказать страшную историю про сбер. Раньше для вывоза валюты надо было справку из банка, то есть формально продать валюту и купить обратно. Сбер нехило наживался на горе граждан, имея лавочку в аэропорту. Люди с пачками баксов стояли в очередь за справкой, что они не верблюды. Это привлекало мошенников. Прилично одетые, они представлялись или сотрудниками сбера, или просто такимиже пассажирами, готовыми помочь и показать куда идти и что делать. Взяв пачку денег у жертвы они тупо заламывали половину, клали в карман и скрывались. Дневной оборот преступной группы составлял десятки тысяч долларов в день. Разумеется это невозможно было делать в аэропорту без платы за крышу в мвд и фсб. От туда же кормились и сотрудники службы безопасности сбера, бывшие сотрудники. А что мы можем сделать? - Сбербанк с заботой о людях

Ответить
Развернуть ветку
Сергей Некрасов

Недавно тоже забавная история со сбером случилась. Я уже реально начал думать, что у меня крыша поехала. Хотел сделать покупку в интернете, купить билет в театр, но передумал. Карту сразу заблокировали, сумма была примерно 3к. Звоню разблокировать, кодовое слово не вспомнил. Поехал на след утро в банк менять слово, запомнил его, звонил 3 дня, слово не подходит. Поехал во второй раз менять слово, обьясняю, что накануне менял слово на такое же, но его не поменяли. На что сотрудник банка ухмыльнулась и сказала, что впервые такая ситуация в их отделении. Подумал, ну наверно я всю память потерял где-то. Звоню в этот же день разблокироваать карту, называю слово, оно подходит, алилуя и тут начинаются допросы. Кому передавал данные карты, кто совершал покупку, короче еле разблокировали. Очень все долго и запутанно.

Ответить
Развернуть ветку
K R

Nice.

Банк не проверяет ничего, кроме номера карты. Зачем вообще кому-то нужны CCV и дата окончания действия карты?

Вопрос к вам. Причем тут Stripe? При чем тут Лола и ее программист? При чем тут баг на ее сайте? И при чем тут "получить бесплатно"?

Представьте себе - у вас есть интернет-магазин, вы используете сторонние сервисы (типа Stripe) чтобы проводить оплату. Когда API этого сервиса получает данные от покупателя, он сам ничего не проверяет, да и не может, так как он - всего лишь связующее звено между банком и вебсайтом. Сервис отправляет полученные данные в банк и тот должен верифицировать их. Как только верификация проходит, сервис производит саму транзакцию.

Если банку начхать, какие данные вводятся, то ни сервис, ни вебсайт ничего не могут поделать. Это огромная дыра в банке, а не в Stripe. Это не способ получить что-то за бесплатно. Это способ расплатиться чужой картой. И единственное, что может сделать Лола - это попросить Stripe запретить ввод данных кард от сбера или удалить сбер из списка поддерживаемых банков. 

Как в анекдоте: огромная дыра в сбере, а запрещен почему-то страйп.

Пруф, с сайта Страйпа:

The card issuer checks this against the information they have on file for the cardholder. 

Card issuer - это тот, кто выпустил карту, то есть банк.

Лола, конечно, могла бы извиниться за действия своего программиста, ну или хотя бы объяснить автору статьи, что произошло, но, с другой стороны, программист обнаружил дыру в самом сбере и теперь ясно, что такое списание может осуществиться с ЛЮБОГО сайта, имеющего электронные платежи (если карта сберовская).

Ответить
Развернуть ветку
Bulat Ziganshin

эээ, по-моему дело не в сбере. это платёжная система (подключающая сайт Лолы) проверяет те или иные параметры карты и берёт на себя ответственность если проверка оказалась недостаточной. так что грубо говоря или Лола или её платёжная система выбрали такой наименее защищённый вариант - в принципе внутри США такой слабой проверки вполне достаточно. у Амазона тоже проверки слабые. но вот дальше в Америке люди легко делают чарч, а у нас это mission impossible (и поэтому обычно требуют больше параметров при оплате картой)

Ответить
Развернуть ветку
2 комментария
Александр Прилипко

Оччень интересно, схема похожа, на обычный обычный кардинговый с использованием магазина как дропа.  Аккаунт бизнеса блокируется в случае 3-5% проблемных транзакций, которые затребованы обратно. Так что думаю тут либо действительно реклама. В чем я сомневаюсь. Либо кусочек большой схемы. 

Ответить
Развернуть ветку
Александр Поляков

А что, в Сбере можно запретить оплату в инете?
Мне вот сегодня поддержка написала, что нельзя запретить!

Ответить
Развернуть ветку
Светлана Котосонова

Мдаа....

Ответить
Развернуть ветку
Виктор Улановский

А я тот сотрудник, который не зарегистрировал обращение на чарлдж бек, так как по процедуре которой я действовал изначально, нет возможности отменить операцию, с чарлджбеком никогда не сталкивался и при переключении на другого оператора клиенту помогли и составили обращение, кстати когда начал уточнять про чалджбек клиент именно в этот момент попросил перевести на руководство, меня уволили без каких либо везких причин, зная что у меня имеется ипотека и показатели которые требует выполнять руководство выполнялись систематически, за 4 года и 6 месяцев работы нет ни одного дисциплинарного взыскания и выговоров, имеются награды за хорошие показатели и награда за навыки ведения диалога, руководство настояло на написании заявления на увольнение, отношение к сотрудникам мерзкое если честно, Сбербанк еще нарушает трудовые кодексы, видимо они написаны для других стран. Я надеюсь что теперь клиентов Сбербанка будут консультировать более компетентные сотрудники, которые работают в нем менее года. Мне даже не предоставили подтверждающую информацию о том по каким именно нарушениям я буду уволен, сказали что пиши заявление по собственному желанию, так как к работе не будешь допущен в любом случае из за этой ситуации. 

Ответить
Развернуть ветку
No Name

За 4 года и 6 месяцев работы так и не научились выполнять операцию chargeback (Вы пишете неправильно: "чарлджбек")?
Тогда очень странно, что так долго смогли продержаться - сколько обиженных клиентов в результате некомпетентных консультаций.
.
Я уверен, что профильные сотрудники осуществили проверку и увидели явные просчеты в Ваших действиях при консультации клиента.
Могу ошибаться, но пока все именно так.

Ответить
Развернуть ветку
1 комментарий
Bulat Ziganshin
меня уволили без каких либо везких причин,

если вас уволили ни за что - то причём здесь мы? что большим компаниям срать на линейных сотрудников - мы и так в курсе

Ответить
Развернуть ветку
Avdotii Pedishnii
Ответить
Развернуть ветку
Илья Казаков

Сколько же ботов Сбера сюда нахлынуло😤 автор молодец! 👍

Ответить
Развернуть ветку
Bulat Ziganshin

вы так наивны... подумайте снова - кто единственный человек, которому есть смысл что-то фиктивно покупать на сайте этой Лолы??? и случайно ли, что этот сайт продаёт вещи, у которых нет вообще никакого материального выражения так что невозможно проверить, получил оплаченное покупатель или нет?

Ответить
Развернуть ветку
Евгений Порошенко

афигеть, дайте две

Ответить
Развернуть ветку
Анатолий Суханов

24 октября, сижу дома, 19: 00  приходит смс о списании 90 руб, но на карте всего 38 руб, не достаточно средств. Звоню в сбер(900) карту заблокировали, иди в офис , 25 -26 выходные.  26 в 15-16 часов приходит та же смс  о списании. 27 пришел в сбер, приняли заявление на перевыпуск

Ответить
Развернуть ветку
Daniel Vygolov

Это значит чё, берём, регаемся в Страйпе, на какого-нибудь дропа оформляем банковский счёт. Далее парсим из интернетов список карт сбера, либо генерим его, алгоритм Луна собсна не секретный. Далее прогоняем их все потихоньку от мелких к крупным суммам через Stripe.
......
Profit!

Ответить
Развернуть ветку
Катя Смирнова

5 лет назад на Каширском дворе (строительный рынок в Москве) покупала стройматериалы , в очередном магазине прокатали карту сбера и терминал выдал чек «недостаточно средств» (суммы в 5000 рублей уже действительно не хватило для оплаты и я отдала наличными) . Спустя три дня на эту мою карту пришла зарплата и о чудо мне приходит смс с номера 900 о покупке в 5000 рублей из того самого магазина. Мне повезло , что каким-то образом я не выкинула тот отказной чек и сбер мне вернул эти деньги чуть позже , но скан  чека они запросили , с тех пор я никогда не выбрасываю отказные чеки , а вот магазин , кстати, вообще что-либо отказался комментировать (сказали: «мы ни причём»).

Ответить
Развернуть ветку
salman abasov

Сегодня в 8 утра без кода подтверждения сняли 3000 steam без моего уведлмления без смс уведомления. Кто то купил себе игру за мой счет. Потом часов после 2 приходили 2 смс с кодом на списание суммы 12789 и 2970 , естественно я ничего не покупал был на работе думаю, код не знают что беспокоится, через 15 мин проходит другой платеж на 2500 ,благо деньги с утра сперевел на другую карту, операция отменилась из за не хватки денег. Сбербанк сказал идите в органы.
Ребята я закрыл карту и не хочу иметь дело с этим  сбербанком Ничего он не сберегает. Открою карту в другом. Посоветуйте банк?

Ответить
Развернуть ветку
Антон

В статье есть данные касательно национальной платежной системы, но позвольте, разве у вас карта системы МИР? Ведь национальная платежная система именно так называется, а у вас, на сколько видно из скринов, карта платежной системы Master Card.

Единственное что странно, это то, что сбербанк пропускает такие транзакции, видимо, уверовав в безупречность репутации иностранных платежных систем и магазинов ))

Ответить
Развернуть ветку
tamerlan seitov

банки выгружают и для МПС и для НСПК данные по мастеру и визе. 

Ответить
Развернуть ветку
El Urbik

Я так и не понял, в чем девушка то виновата? Пошла навстречу, вернула деньги. Ну если история с рандомным человеком из инстаграмма правдива.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Dmitry Lyubosey

Я уже года 3 как отказался от услуг Сбера.

Ответить
Развернуть ветку
Kirill Sadovnikov

Сбербанк - хапни горя. Виноват сбер, пускай он и возмещает проценты, раз у них такая система. Лола тут на мой взгляд не причем, но это не точно.

Ответить
Развернуть ветку
Демид Антипин

У меня только что случилась подобная ситуация: примерно часа 2 назад пришло смс о списании 3$ на неизвестном мне сайте fndmve.com. Номер карты был угадан скорей всего случайно, так как это моя первая карта и пользовался я её только в проверенных банкоматах и steam. 

Ответить
Развернуть ветку
Izis Stor

Выскажу мнение. Напоминает ситуацию, которая происходила несколько лет назад. Ко мне обратилась соседка, пожилая женщина с "бабушкофоном", (чб экран и большие кнопки), у которой неожиданно списались деньги с баланса и она осталась без связи. Общение с техподдержкой оператора выяснило следующее: была автоматически подключена бесплатная услуга, без подтверждений, кажется "мелодия вместо звонка", затем услуга стала платной без дополнительных подтверждений. СМС женщина не читала и не умела это делать, к тому же плохо видела, поэтому не собиралась научиться. Звонила, нажимая кнопки номера, записанного на бумаге, а не из адресной книги телефона. Если уведомления были, она их не видела. Деньги вернули. Попросил принять меры, чтобы не повторилось больше никогда. Через несколько недель ситуация повторилась. Деньги снова вернули. Я был настойчивее, чем в первый раз, требуя отключить "в настройках со стороны оператора" любые возможности повторения подключения каких бы то ни было платных или бесплатных услуг без явного запроса со стороны абонента. Отключили, добавили компенсацию "за причинённые неудобства", кажется 100 рублей на баланс, и больше ситуация не повторялась. Думаю, дальше всё поняли сами.

Ответить
Развернуть ветку
Izis Stor

Кто не понял, поясню: не все станут требовать возврата денег и не все будут в этом достаточно настойчивы. Соответственно, "10 старушек - рупь". А посмотреть данные сим-карты для выбора подходящей "ца для этой кампании" не проблема "изнутри" оператора. А уж какими путями дальше движутся эти списанные с балансов абонентов суммы (речь может идти о 7-9 значных цифрах в рублях), зависит от того, кто, где и какие преследует интересы.
В ситуации из статьи выше также вполне возможны несколько сценариев сговора сотрудников организаций и-или других лиц с целью личного обогащения.
Если автор окажется настойчив и у него примут заявления в милиции и банке и отчитаются о результатах, возможно, что-то выяснится, и тогда, будем надеяться, автор поделится этой информацией с читателями этой статьи. Желаю автору успехов в этом неприятном и хлопотном деле и выражаю уважение решению не пожалеть на это время и силы!

Ответить
Развернуть ветку
Анна Добрынская

боже, какая убогая реклама сайта... 

Ответить
Развернуть ветку
Александр Зверев

Моё мнение - Лола не виновата :) . Она же нанимала подрядчиков(тестировщика и Stripe) не для того, чтобы заниматься мошенничеством. Виноваты (возможно) Сбербанк, новый стандарт 3DS 2.0, который поддерживает и Stripe и Сбер и случай. Эмитент может проводить операции по новому стандарту без запроса смс кода, но проверять соответствие CVV/CVC и Expiry Date он всё равно должен, как раз для отбивки попыток оплаты на дурака. Не увидев на сайте Лолы ничего подозрительного, он подтвердил списание. Но если Сбер подтвердил оплату с неверным CVV и Expiry Date то тут косяк Сбера. Если же тестировщик реально угадал CVV и Expiry Date, то тут виноват случай.

Ответить
Развернуть ветку
Алена КИЯМОВА

Что это означает? Я не догоняю

Ответить
Развернуть ветку
Руслан

Шалом, друг мой Саркис. Прочитал твою статью от и до. Спасибо!

Ответить
Развернуть ветку
Maksim V.

Оккуеть... 

Ответить
Развернуть ветку
юзер

Больше похоже на истерику и поиск виноватого в том, что кто-то не позаботился о безопасности своих денег.

Выводы:

1. включаем 3d secure всегда
2. оплачиваем в сети только отдельной картой, у которой указан лимит на использование средств в сети, либо включаем оплату картой в сети только непосредственно в момент оплаты (делаю так в Revolut, в остальное время платежи виртуальной картой заблокированы).
3. прекращаем истерику и если бабки ушли пишем в банк. 

Ответить
Развернуть ветку
415 комментариев
Раскрывать всегда