Форум Альфа-Банка про диджитал
До начала осталось:
Узнать
Приёмная
Sarkis Antonyan
69 259

Дыра в безопасности, которая позволят украсть деньги исключительно по номеру карты «Сбербанка»

Хочу поделиться с вами историей, которая произошла со мной буквально пару дней назад. Скажу сразу: не знаю, актуальна ли описанная мной проблема для карт других банков. Возможно, проблема глобальная, но лично я столкнулся с этим будучи владельцем карты «Сбера».

В закладки
Слушать

В субботу, 17 октября в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.

Думаю, вы уже догадались, что покупок этих я не совершал. Поэтому максимально быстро блокирую карту через приложение Сбербанк. Параллельно пытаюсь понять каким образом мошенники завладели данными моей карты. Перебираю в голове все возможные варианты и понимаю, что сам я данных, достаточных для покупки, никому не сообщал, на подозрительных сайтах покупок не делал, карту сохранял только в Apple Pay.

Тут же звоню в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек.

Звоню по телефону горячей линии. Общаюсь с роботом... жду пока соединят со специалистом...потом со следующим т.к первый оказался не в состоянии мне помочь... примерно через 20 минут удается поговорить.

Небольшое отступление. Насколько же хамоватая поддержка у Сбербанка... Ощущение, что общаешься не с со "специалистом" банка, а просто с каким то быдлом из подворотни. Ребят, вам звонит клиент и у него проблема. Но вместо того, чтобы попытаться как-то помочь, тебе сходу начинают хамить и убеждать, что ты сам дурак и сам во всем виноват.

Оператор №2. Выдержки из диалога ниже, но тон и пренебрежение с которым все это произносилось невозможно передать.

— Вы передавали данные о карте третьим лицам?

— Нет, не передавал

— Тогда, как кто то мог совершить покупку с помощью вашей карты?

— Откуда я знаю как, видимо украли где-то. Вы можете отменить транзакцию?

— Нет, не можем. Потому, что вы сами передали данные или совершили эту покупку.

— Я же говорю, что не передавал никому данные и точно сам ничего не покупал. Почему мне не пришло смс с кодом подтверждения?

— Мы ничего не можем сделать, пишите заявление в полицию

— У вас же на сайте написано про чарджбек

— Нет, у нас ничего такого не написано. Мы не отменяем такие транзакции, потому что вы сами ее сделали, либо передали кому-то данные

— Я же уже 10 раз сказал, что данные никому не передавал и транзакции эти не подтверждаю, даже не знаю, на каком сайте они совершены

— Ничего не можем сделать, пишите заявление в органы

— Т. е вам не показалось подозрительным, 2 покупки сделаные ночью, в США от клиента, находящегося в Москве с неправильно введенным сроком действия карты, настолько что вы даже смс не запросили?

— Нет, не показались. Да срок был введен не верно, но потом верно и был введен CVC код(тут он нагло врет, позже выяснится, что срок и CVC были введены не верные, однако транзакции банк пропустил). Ничем не можем помочь, пишите заявление в органы.

— Тогда почему у вас на сайте написано, что транзакцию можно отменить по заявлению?

— На нашем сайте? Нет, на нашем сайте ничего такого не написано, вы придумываете. и так по кругу

В какой то момент я уже почти смирился и тут вдруг у меня вырвалось: "Соедините с руководством".

— Крайне недовольным голосом: "Вы будете ждать 10 минут?"

— Да, буду

Вот, кстати, что написано на сайте Сбера по этому поводу

А, вот, что пишут на сайте МВД с отсылкой на 161-ФЗ "О национальной платежной системе"

Т. е. сотрудник Сбербанка мне нагло врал, утверждая, что никаких подобных процедур у них не существует. И пытался всячески обвинить меня самого в случившемся и убедить, что это я сам передал кому то данные.

Разговор с руководителем. Тут мне повезло, руководитель оказался сильно адекватнее и вежливее предыдущих товарищей. Я кратко объяснил ситуацию, после чего он стал оформлять заявление на чарджбек, но предупредил что ответ мне дадут по нему только 3 ноября, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.

На вопрос, почему нельзя просто отменить транзакцию, пока она в обработке. Ответил: "если я сейчас отменю транзакцию, то магазин пришлет запрос и нам все равно придется ее провести. Но тогда мы не просто спишем с вас эту сумму, но еще и начислим вам на нее проценты.

Спустя 40 минут телефонного общения, заявление на чарджбек подать у меня все-таки получилось: Ваше обращение №201017-0211-878000 от 17.10.2020 принято в работу. Срок рассмотрения до 03.11.2020 включительно, ответ будет предоставлен по SMS. Проверить статус обращения можно на сайте в разделе «Обратная связь». Сбербанк

Как я понял, весь цирк с предыдущим быдло-товарищем, рассчитан на то, чтобы отсеять большую часть людей и только самые упорные смогут добраться до подачи заявления. Банк не заинтересован в подобных заявлениях т.к. они понижают его рейтинг надежности в глазах платежной системы, поэтому всеми способами пытается их не допустить. Ну а проблемы клиентов их мало волнуют.

Say bye accent. После разговора с банком, решил загуглить информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Меньше всего я надеялся наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными. Но гугл сразу же выдал этот сайт:

Чуть проскроллив, я узнал о некой Лоле(Ольга Климентьева) из Камеди, которая уехала в Лос-Анджелес и запустила там школу по изучению английского языка. Цены на некоторые курсы совпадали с суммами списаний 177$ и 187$.
При этом сам сайт не выглядел мошенническим(ну или кто-то очень сильно постарался). А идея украсть данные с карты, чтобы оплатить себе онлайн курсы, выглядела очень тупой. Поэтому написал им в Фейсбук.
Скрины переписки ниже:

После короткого диалога, деньги мне обещали вернуть, сославшись на некое "недоразумение". Но сам диалог, мне показался немного странным. Сложилось ощущение, что мне что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому я решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.

Выяснилось, что им написал некий "программист", который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты. Скрины его объяснения мне и их переписки между собой ниже:

Из всех данных, что ввел этот товарищ при оплате, реальным был только номер моей банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?

При этом, однажды Сбербанк заблокировал перевод приятелю на 1500 рублей, посчитав его подозрительным, а не так давно заблокировал возможность расплатиться за ужин в ресторане(позже оператор, так и не смог внятно объяснить причину блокировки этой транзакции). Но оплаты почти на 30000 рублей, ночью, с неверными данными карты, Сберу подозрительными почему то не кажутся.

Итог. Деньги, мне уже вернули обратно, но из-за конвертаций валют я потерял почти 2000 рублей. Компенсируют их или нет, пусть будет на совести Лолы. Сама она почему-то считает, что никакой ее вины в сложившейся ситуации нет и сваливает все на "программиста". Хотя на 90% это именно ее вина. Ведь она запустила сервис, через который проходят персональные и банковские данные людей, но не удосужилась обеспечить даже минимальный уровень безопасности.

Фактически любой, может зайти на ее сайт и используя только лишь номер карты человека, создать ему лишних проблем. В моем случае помимо денег это: испорченные выходные, заблокированы все карты Сбера(после моего сообщения их робот до кучи решил заблокировать и остальные мои карты), предстоящие походы в отделение Сбера и перевыпуск карт.

Самое главное. Согласно все тому же 161ФЗ, банк обязан обеспечивать безопасность платежей. Однако как мы видим в данном случае, Сбербанку глубоко положить на безопасность его клиентов. Да, ведь они теперь "больше чем банк" и у них сейчас более серьезные заботы, чем кража денег со счетов клиентов. Логотипчик там радужный нарисовать надо, Боярского пригласить.

Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.

Да, насколько знаю, в России платежная система Stripe запрещена, но ведь никто не запрещает расплачиваться российским картами на зарубежных сайтах! По сути злоумышленникам, достаточно зарегистрировать LLC в США, создать фейковый интернет магазин, подключить Stripe и дальше просто списывать деньги с чужих карт, через покупки в нем.

Думаю, не нужно объяснять насколько легко в России получить номер банковской карты. Он повсеместно используется для переводов. Достаточно пройтись по блогерам в инсте, админам телеграм каналов или даже объявлениям Авито и каждый второй скинет для оплаты номер своей карты. Да сейчас есть СБП, но даже при его наличии, отправлять номер телефона малознакомому человеку мало кто хочет, а вот с номером карты ничего плохого вроде и не сделать. Именно так я и думал, до всей этой истории:)

Небольшое дополнение. Из Сбера позвонили примерно через час после публикации, "служба заботы о клиентах". Обещали провести расследование и даже дали личный номер специалиста который будет этим заниматься. Не особо верю, что там будет что-то путное. Но посмотрим.

Лола, съехала с темы. Потерянные мной деньги(не знаю комиссия это системы или комиссия за конвертацию валют) возмещать отказалась. Посыл, я не при делах, виноват все тот парень "программист" с ним и разбирайся. Позиция так себе, на мой взгляд. Учитывая, что из-за ее сайта пострадал посторонний человек, а сумма там в принципе копеечная. Дороже для репутации выйдет.

{ "author_name": "Sarkis Antonyan", "author_type": "self", "tags": ["\u0441\u0431\u0435\u0440\u0431\u0430\u043d\u043a","\u0441\u0431\u0435\u0440","\u0436\u0430\u043b\u043e\u0431\u0430\u0441\u0431\u0435\u0440\u0431\u0430\u043d\u043a"], "comments": 401, "likes": 471, "favorites": 258, "is_advertisement": false, "subsite_label": "claim", "id": 168262, "is_wide": false, "is_ugc": true, "date": "Mon, 19 Oct 2020 15:13:39 +0300", "is_special": false }
Объявление на vc.ru Отключить рекламу
MOAB: кейсы, отзывы и полезные статьи
Ешь, молись, плати: сколько стоит заказ в фудтеке и почему только лишь дешевых лидов недостаточно
Доставка фермерских продуктов, Москва и МО, три месяца работы, лид из контекста подешевел в 10 раз, число лидов…
0
401 комментарий
Популярные
По порядку
Написать комментарий...
239

- У нас дыра в безопасности.
- Слава богу, хоть что-то у нас в безопасности!

Ответить
6

Самое интересное что этот чоболь башляет немалые деньги Group-IB, как у них работает фрод - это просто атас. Давно ушёл из этого говно банка и не стараюсь не связываться с ним даже косвенно. Хотя в целом банки зло.

Ответить
–1

Ходит мнение, что на Сбере в большинстве сидят пенсионеры и бюджетники. 
С таким отношением, лет через 20 там никого не останется - пенсионеры помрут, а гос-во не захочет тянуть за собой уже никому не нужный банк.
Ну и руководство сбера - это старые динозавры, вынужденно стучащиеся в двери современных трендов и технологий, но в голове у них все равно закалено совковое мышление, которое тянет обратно в мезозойскую эру.

Ответить
3

Ошибочное мнение, на сбере сидит бизнес, ОЧЕНЬ МНОГО БИЗНЕСА.
Просто пройдитесь по округе и увидите хотя бы как широко представлен эквайринг от Сбера. 

Ответить
0

Я больше про физиков, но и в торговле все больше ПСБ вижу, а не Сбер.
Бизнес-же менее лоялен к банкам, и если кто-нибудь из конкурентов предложит более выгодные условия и менее 1,6%, либо, если в ближайшем будущем будет представлена новая технология оплаты, которую Сбер по традиции будет внедрять годами - ему придется заметно подвинуться.

Ответить
1

Как раз по внедрению платежных технологий Сбер один из первых.
Более того он периодически и собственные технологии запускает. ПРО100 не выстрелила, а вот насчет Плати QR и платежей по биометрии ХЗ ХЗ.

Ответить
0

тот же гос банк

Ответить
0

банки в принципе зло, так что не надо на ""совковое мышление" списывать. В СССР проблем не было, хоть и был сбер

Ответить
0

Причем тут совок и сберкасса?

Ответить
0

а причем тут я? Читайте внимательно комментарии и смотрите, на какой комментарий я отвечаю.  Тогда ко мне вопросов меньше будет

Ответить
0

Заканчиваем тупить. Ноотропы попринимайте. К чему вы приплели совок и сберкассу? 

Ответить
0

"Хотя в целом банки зло." А что тогда делать в наше время? Думаю что это безвыходная ситуация. Работать и работать еще над защитой персональных данных.

Ответить
4

Недобанком с погонялом "сбер",пользоваться нельзя категорически. Не хочется писать о том,что там происходит в реале.

Ответить
117

С каждым разом всё более убеждаюсь, что поступил правильно, когда:

1) Завел отдельную цифровую карту "только для покупок". Не держу на ней вообще ничего дольше 1 дня, и ни копейки больше требуемой суммы.
2) Отключил у основной карты возможность покупок в интернете.

То, что приходится чаще перекидывать с одной карты на другую - пережить можно. Нервы дороже.

Ответить

Эффективный пистолет

Georgy
18

Всё правильно сделали.
 
Возможно не мы, но хотя бы наши далекие потомки дождутся когда в @Райффайзенбанк тоже появятся виртуальные карты.

Ответить
4

В Райфе на карте держу только на карманные расходы, остальные суммы - на резервных счетах.

Ответить
15

Я делаю проще - сразу перевожу деньги с карты на счет к которому в принципе нет никакого доступа с пластика, только через приложение или в кассе с паспортом.

Ответить
1

А если у вас будет просто счёт, то увести с него становится совсем нетривиальной задачей. :) Ну и нал, конечно.

Ответить
0

да, сразу так же сделал, это мастхэв по-моему и банки должны по умолчанию выпускать цифровую карту и запрещать покупки в интернете с основной, а юзер должен лезть в настройки только если хочет потерять деньги

Ответить
0

А умные мобильный банк смс на номер 900? Дайте ка мне вашу симку)

Ответить
0

Как у карты отключить возможность покупок в Интернете?

Ответить
0

Я с основной карты переношу почти все деньги на накопительный счет, они есть во многих банках. Их нельзя снять даже если известне пин-код карты, только через банк-клиент.

Ответить

Сибирский космос

102

Удивительная история, как серию посмотрел. Сбер мудаки. Хорошо, что все решилось у вас

Ответить
11

Вообще-то решилось всё плохо. С потерями.

Ответить
5

Потеря могла быть значительно больше..

Ответить
1

А можно было бы и подождать, тогда не было потерь.

Ответить
1

"проггер" же хотел вернуть % - не вернул 2000?

Ответить

Автомобильный Илья

АМ
1

А он чем виноват ?  Ну если не врет что вводил рандомные номера. В том что у сбера совершенно идиотский антифрод?
Ну не должны такие транзакции проходить в принципе.
Кстати вот интересно - Лола возвращала как?  делали refund или именно отмену операции? (в первом случае обычно и бывает веселье из-за курсов)

Ответить
0

Он не знал, что такое рубли

Ответить
0

интересно - теперь хорошо бы протестить списания, когда у них день, а у нас - ночь...

Ответить
78

Разницу которую вы потеряли так же можно попробовать вернуть. Если Сбербанк не хочет помогать, позвоните в Визу или Мастеркард и объясните ситуацию. Они могут заставить банки вернуть платеж. Особенно если платеж прошел с левым CVV, тут и доказывать ничего не надо.

Ответить

Эффективный пистолет

Снеговик
36

По хорошему ещё в stripe надо написать, или оформить такой же пост где-нибудь на Reddit

Ответить
6

Кстати да, напишите в Stripe. Очень быстро этим курсам отключат возможность принимать любые платежи за мошенничество. 

Ответить
3

для америкоса возврат сделать это 5 минут делов, наши банки говном исхолят хотя обязаны и страховать и возвращать.

в авангард более менее адекватная схема возврата и споров, и вроде в тиньке чтото сделали

Ответить

Автомобильный Илья

Алексей
1

У них специальный закон есть что если сумма больше 50 USD на кредитке(с дебетовками чуть хуже) - сначала вернуть а потом разбираться(и если таки виноват клиент - трясти с него). 
А у нас вместо того чтобы принять такое - сделали что банк обязан извещать клиента об операция бесплатно (причем удобным банку способом) и в срок до суток можно обжаловать. Может быть. Если банк захочет.

Ответить
1

у платежных систем свои правила и там какраз возврат по умолчанию если клиент говорит что не тратил, просто банки у нас по своему трактуют. это не в законе дело а в страховке и сути кредитных карт

Ответить
0

Я также в альфе вернул за 5 минут

Ответить
0

В авангарде тоже мошенники еще те, поэтому не надо из нахваливать. Лично меня они кинули почти на 9 тыс. 
Счет ип, открыт давно, обслуживание бесплатно, оплата только за транзакции и выдачу выписок-бумажек. Без уведомления меняют условия обслуживания и в итоге выставляют счет на 8 с чем то тыс. 
Спросил, почему не предупредили и не оповестили, ответ - а мы и не обязаны, это вы должны читать новости и т. п банка и своевременно на них реагировать. 

Ответить
0

тут ничего не могу сказать, ип там не вижу смысла открывать, если есть точка

Ответить
8

Тоже не понял. Если CVV не воспадает - вина Сбера и Сбер по правилам Визы вернул бы все как миленький. Если же автор лукавит (и CVV были введены правильно), то здесь никакой дыры нет. Аналогично можно заплатить в Амазоне - никакого подтверждения по СМС не потребуется. 

Ответить
0

А если карта уже в профиле, то вообще ничего не потребуется

Ответить
0

Точно так же и Алиэкспресс. никаких подтверждений. Как было выяснено, если продавец крупный, авторитетный и та, ему разрешено проводить такие операции. 

Ответить
5

Да, тут сбер не отвертится

Ответить
84

Чума и жесть. автор, респект за настойчивость и подробное описание.

Ответить
–12

Так подробно описано только потому, что этот пост собирала и прорабатывала целая команда из онлайн школы по изучению английского языка, которую рекламируют в этой статье)

Ответить
0

и чем мне это мешает? 

Ответить
0

Тем, что с вероятностью заметно выше нуля история о прошедшем платеже с невалидным сроком действия карты выдумана.

Ответить
0

это легко вскроют представители банка и автор будет в крайне неприятном свете представлен, мы тут на медни с представителями тинькова выясняли о звонке давностью в несколько месяцев - проверку инициировали ребята, потому что все пишется

кроме того, лично для меня, подобная неприятная история совершенно точно негативно "рекламирует" онлайе курсы. Я, конечно, выборка нерепрезентативная.

Ответить
0

Один вопрос, который не дает покоя: что такое медни?

Ответить
22

Ребята, ОЧНИТЕСЬ! Это хорошо проработанный и продуманный РЕКЛАМНЫЙ ПОСТ школы по изучению английского языка... В нем указаны цены, темы курсов, официальный сайт, краткая история создания и даже какие-то философские цели от владельца проекта!)

Фразы по типу "Я начала этот проект в 2017 году, сама...", "сегодня он уже вырос до настоящей онлайн школы языка с большой онлайн аудиторией", "нести добро и позитив в массы", "пофиксить перед запуском курса про визы", "тем более в преддверии выхода твоего нового курса" вам ни о чем не говорят? Задумайтесь и прочтите данный пост еще раз, но уже с осознанием того, что это РЕКЛАМА школы!)

Автор затронул такие "вечные" темы для того, чтобы привлечь Ваше ВНИМАНИЕ, тк все любят читать статьи о том, какой Сбербанк плохой, о мошенничестве в сети и тд... Данная проблема реально существует и обсуждается не первый год) Но этот пост писали совсем с другой целью... Я уверен, идея данного поста прорабатывалась очень долго и хорошей командой, но эти "липовые" диалоги выдали вас... 

Всегда с удовольствием читаю проекты vc инкогнито, но тут не смог сдержаться, зарегистрировался и написал этот комментарий для того, чтобы открыть Вам глаза на нечестную игру автора... 

Ответить
29

У Вас шапочка набекрень съехала, поправьте))

Ответить
21

что за бред))) в чем реклама, в том что на сайте английского языка у тебя могут украсть деньги? Кто вообще будет рисковать и что-то там покупать после таких случаев?)

Ответить
–3

Тебе ли не знать...)

Ответить
9

статья - джинса, в ссылке на сайт языковых курсов даже "/?ref=vc.ru" и бОльшая часть страниц на русском.
vc совсем в днище скатывается?

Я бы очень хотел, чтобы сбербанк подал в суд на vc за очернение деловой репутации. Пойду за попкорном.

Ответить
4

полностью согласен! а меня еще и минусят за правду)

Ответить
1

Я бы очень хотел, чтобы сбербанк подал в суд на vc за очернение деловой репутации. Пойду за попкорном.

Ответить
0

Какой бред)
ref пришивают все сайты комитета на любые внешние ссылки.

Ответить
9

Тоже резанули офферы в диалогах. Особенно рандомный программист, который якобы волнуется за курс про визы, ох лооол.

Ответить
1

плюсану. сразу подумал что дичь какая-то. меня бесит когда можно рассчитаться без смс подтверждения, но без кода и даты.. лол ШТА??

Ответить
1

это особенность платежных систем в штатах.

Ответить
0

уже увидел комментарии и понял. не думал, что до сих пор такое есть.

Ответить
0

Там автор начал угрожать заявами в ментовку, а прогер сидел не через десяток анонимных проксей, вот и очканул

Ответить
1

а как вообще автор и прогер встретились я не вбехал, сама Лола прогера сдала? слабо верю.
Ну или Сбер на столько обосрался. не не так. ОБОСРАЛСЯ, что даже не верится.
Увидеть бы официальный ответ Глефа!

Ответить
1

Леля сказала, что чел извиняется, автор начал угрожать полицией, Леля и сама очканула, и очканувшему "тестеру" скинула контакт потерпевшего)

Ответить
–1

Ну хорош уже в каждом комментарий оправдывать поведение вымышленных персонажей) Пост написан технически верно, основная цель не бросается в глаза, но сам сценарий оставляет желать лучшего)

Ответить
–1

Ну вот тогда реакция фокус группы - гаденькое чувство оставляет школа со своими курсами и безопасностью сайта, а Лола ассоциируется со стриптизершей на ядовито розовом фоне. Ну очень на любителя реклама... 

Ответить
19

Я думаю, что такая беда не только со Сбером.
Ранее был пост, что Альфа пропускает платежи с указанным неверным CVC. Не удивляюсь, если они тоже окажутся уязвимы.

Ответить
36

Альфа пропускает с кривым CVC только если было подтверждение через 3D Secure. То есть вы сами вводили полученный пушем код на сайте мастеркарда/визы етц.

Тут же совсем другой случай.
Не будем говорить про честность мерчанта или совпадение (ввел правильный номер карты, на которой были бабки. нууу такое, номер то сгенерить ок, BIN коды и тп, половину цифр легко узнать, а остальные ??), вполне вероятно (тк это USA) у них спокойно идет списание без всяких cvc, но при фишинговых и мошеннических операциях банки крайне быстро компенсируют клиенту средства.

Короче - оплата без cvc в США - норма. Мне так какой то лиходей в Wallmart ноутбук на 600$ купил на вынос (но волмарт сам отменил платеж как подозрительный, карта была сохранена в профиле без cvc).

Тут скорее вопрос к Сберу - какого хера они отрицают, что при оплате без cvc по стандартам платежных систем они ОБЯЗАНЫ опротестовать операцию, если клиент их известил об этом и вернуть клиенту деньги (в этом случае сбер направляет поручение возврата в банк мерчанта, тот возвращает деньги, а дальше сам разбирается с клиентом, если у того даже был 0 на счету).

Ответить
22

Еще более странно, если это проблема глобальная и никто не берется ее решать. 

Ответить
–2

у тинька точно такого нет, в смс явно пишут что реквизиты не верные (дата действия карты или cvv)

Ответить
12

Ну мне они тоже прислали такую смс одновременно с смс о списании денег)

Ответить
4

Слабо проверить свою карту на указанном сайте? 😏

Ответить
1

Пополнял алипей с тинькова на 100 юаней. Без смс

Ответить
0

Они так пишут, потому что платежная система с которой совершается покупка попросил их эту информацию проверить и если неверно, то отклонить платёж. Если скажет игнорите cvv-они проигнорят 

Ответить
1

Несколько лет назад на Амазоне карту привязывал (Тинькофф, или Альфа) и очень удивился что процедура ограничилась указанием номера карты. И дальнейшая покупка прошла. Может быть это особенности оплаты в американских магазинах? 

Ответить
0

это особенность оплаты в крупных ретейлеров, типа амазона, али и тп, у кого то просто номер карты, у кого то без подтверждений по смс. 

Ответить
16

Я когда в нете оплачиваю, всегда пишу в графе Имя Фамилия всякую фигню: Пися Хуися, Наполеон Хамелеон, Кокаиновый Хуй, Мальберт Вахуе и т. д. Надеюсь, что кто-то получает это дерьмо и я кого-то веселю ))

Ответить
4

При несовпадении магазин может отменить заказ(это делает не платежная система).
Обычный KYC, на который многие кладут

Ответить
2

 Обычный KYC

KFC я бы поел, а после наложил на KYC :)

Ответить
2

А что так можно было 😂

Ответить
1

всегда пишу в графе Имя Фамилия всякую фигню

на неамериканских картах не проверяется имя владельца

Ответить
9

Сам занимался разработкой интеграции с платёжными системами и это проблема глобальная. Любой, абсолютно любой банк может пропустить платёж без верного CVV кода. После этого я даже искал информацию, можно ли запретить явно например через банк, чтобы без cvv операции не проходили- ответ нельзя. Это глобальная дара в безопасности, так что берегите данные своих карт.

Но вот насчёт даты выпуска карты странно, это вроде обязательно должно проверяться. Фамилия и Имя вообще всеми банками гнориртся, можете при следующем платеже попробовать там что угодно ввести и платёж пройдёт.

Ответить
4

“можно ли запретить явно например через банк, чтобы без cvv операции не проходили- ответ нельзя.”
- нельзя, но можно. Рокет. Наши дни

Ответить
1

Для Вас нет разницы между 3DS+CVV2 и CVV2?😂

Ответить
0

Это «или» не «и», оплата без ввода CVV. И в этом магазине тоже. В некоторых местах при списании с привязанных карт, например godaddy

Ответить
0

С каких пор "+" — это "или"?

Ответить
0

это все на стороне платежной системы, а не банка к сожалению

Ответить
0

Никита, Настройки платежной Системы позволяют не запрашивать то о чем писали выше.
На равне с этим банк может проводить или не проводить эти операции.
При некорректном или отсутствии ввода CVV, мой банк в данном случае, Рокет отклоняет транзакцию.

Нельзя с этой опцией активной, расплатиться через Страйп или ещё какую жопу - без ввода: с некорректным CVV и без кода 3D Sec.

Я же проверил бл прежде чем писать.
Ну @Рокетбанк ребят, скажите им а.

Было утверждение, что нет такой опции, ее вероятно нет в сбере и некоторых ещё банках с которыми сталкивался автор утверждения.

Но она есть. Прошу фактчекать и все)

Ответить
1

Именно! Платежной системы, а не банка. К сожалению (я не знаю почему) ограничения банка могут игнорироваться (особенно это заметно с картами из РФ в США и ЛА)
Если рокет это 100% гарантирует то это просто прекрасно и офигительно. Но чую что нет

Ответить
0

Вообщем, возвращаюсь. Я поступил как примат. Зашёл, зарегался, попытался купить там по вышеописанному кейсу - хрен. Банк операцию отклонил.

Пример с godaddy немного другого, но соседнего поля ягода. Там карта привязана.
Набираешь корзину, выбираешь карту прияаязанную - отказ - нельзя платить без ввода CVV и 3D secure

Ответить
1

Суть даже не в неправильном CVV или CVC, а в том, что деньги списываются без проверки 3D secure, то есть не приходит смс с одноразовым кодом - это конечно косяк !!!

Ответить
3

3D secure по-умолчанию отключен в Stripe и в США мало используется. При этом возникают риски фрода, как в случае с топикстартером.

В целом на уровне Stripe доступно управление всеми антифрод настройками и сам продавец (магазин или сервис) решает, проверять CVV/почтовый индекс/соответствие страны и IP/запрашивать 3DS или нет. При этом в России у эквайрингов (Яндекс Касса/CloudPayments и прочие) по умолчанию жесткие настройки антифрода и ослабить их можно только по запросу и не во всех случаях (например убрать 3DS).

Ответить
0

Это не косяк, алиексрресс, амазон и пр не присылают запрос подтверждения по смс, ввел данные карты и моментально списалось.

Ответить
0

а вообще где то встречал информацию что платёжная система может так тупить, у меня пару раз было что транзакция банке создавалась, но была отклонена если реквизиты неверны (тинькофф).
может от вашей платёжной системы зависит?
Также не очень понятно как этот программист узнал данные вашей карты (сорри если не увидел этой информации в вашем посте)

Ответить
54

Если при оплате ввести неверные реквизиты, мы отклоним операцию в любом случае. Можем проверить вашу ситуацию детальнее, если подскажете ваши ФИО и дату рождения нам в ЛС.

Ответить
92

Когда тиньк на ЦП отвечает быстрее чем сбер на горячей линии)

Ответить
–22

ЦП? Опечаточка по-Фрейду? ))

Ответить
0

Что не так с ЦП?

Ответить
1
Ответить
30

Ох уж эти ньюфаги, никакого уважения к истории. Тьфу.

Ответить
13

Задумайтесь. 

Ответить
2

А можно вопрос, я до сих пор не могу понять, что изображено на той картинке с омоном?

Ответить
10

Намек на то, что ЦП  - чилдрен прон, на который агрится омон. 

Ответить
0

Как они вламываются в квартиру на задании

Ответить
0

Ньюфаг в треде?

Ответить
41

Здравствуйте!

Специально проверил на Тиньке. Результат тот же. Успешное списание с неправильным кодом безопасности и сроком действия.
В вашей тех поддержке ответили что да, можно списать только по номеру.

Ответить

Эффективный пистолет

Igor
14

Главная дыра у тинькофф это то, что карты привязаны к одному счёту что сводит на нет весь смысл «отдельных» виртуальных карт. Они постоянно здесь парируют что можно устанавливать лимиты, но это неудобный атавизм. 

Да блин, даже в злополучном сбере у виртуальных карт свои отдельные счета, а тинёк  зачем то упорно держит все яйца в одной корзине.

Ответить
0

Не неси бред в массы. У каждой карты можно выставить свой лимит. 

Ответить

Эффективный

Пластик…
3

Я разве утверждал обратное? (поднимаю брови)

Перечитай плиз

Ответить
–5

Перечитал, всё еще вижу противоречия:
 сводит на нет весь смысл «отдельных» виртуальных карт

 можно устанавливать лимиты

И субъективный бред:
 неудобный атавизм

Ответить

Эффективный

Пластик…
2

Плохо прочитал ))
Наличие установки лимитов никто и не отрицал. так что именно ты опровергаешь?

Претензия к тому, что они хостятся на одном счёте.

Ну камон ((

Ответить
0

Можно открыть счет, не привязанный к картам, и все основные деньги хранить там, а на карточном счете держать вообще какую-нибудь тысячу рублей и пополнять по мере надобности. Это сделано у тинькова уже минимум года два или три назад!
Ну и лимиты тоже стоит использовать.

Ответить

Эффективный

Makar
6

Можно, но это говно.

Главная претензия в том, что люди хотят повесить виртуальную карту в Apple/Google Pay БЕЗ привязки к основному счету, закидывать на нее денег по случаю, а не заниматься этой ебаниной с выставлениями лимитов туда сюда, обнулениями и прочее.

Понимаешь? ))

Ответить
0

В чём проблема привязывать пластик и почти не держать на нём денег?

Ответить
2

а лимиты абсолютные выставить тебе кто мешает? 

Ответить

Эффективный

badResi…
0

Поясни

Ответить
0

открывая вирт карту ты на нее можешь выставить как месячный, так и абсолютный лимит. Если месячный то каждый месяц уровень денег будет поддерживаться до определенного уровня(допустим в нач месяца было 6тр, вы потратили 1500 потом 2000 потом еще 1000, в итоге в нач следующего месяца на карту докинется 1500р). Если лимит абсолютный то вы закинули 6тр тратите их и за пол года истратили, потом решили что надо ничего не покупать в инете и на карте остается 0, потом решили купить что-то за 12тр, поставили лимит в 12тр - средства закниулись, купили на 12тр и на карте снова 0, который сам не пополняется.

Ответить

Эффективный

badResi…
0

А это… ну вот к этому и претензия. Слишком заморочено, туда сюда, следить за этими лимитами.

Виртуальная на своём счёте в миллион раз удобней, и безопаснее - сразу видно сколько на ней, без вот этой нервотрепки. (Народ лайками подтверждает).
Одна из причин почему я не стал их адептом.
После Рокета у меня вообще ломка, нет никого близкого по фичам и эргономике приложения. 

Ответить
–1

Народ лайками подтверждает

Интересный способ измерения правоты... А вот то что кто-то еще не знает как использовать - вполне.

Слишком заморочено, туда сюда, следить за этими лимитами.

Опиши как предполагается использование вирт карты?
Вот реально, как безопасно с ней работать если не вот вариантом с абсолютным лимитом? 

Ответить

Эффективный

badResi…
0

Ой, если не сложно разверни плиз эту ветку.
Я соседу как раз отписал.
И тут же в ветке Герман Воронов и Александр А. с их представителем перекинулись парой слов по этому поводу.

Ответить
0

так операция перекидывания средств аналогична обнулению или чего-то там. Количество нажатий пальцем одно и то же.

Ответить

Эффективный

badResi…
0

Ну плюс минус да, наверное…
но кажется (возможно психологически) закинуть сумму проще, чем зайти в карту в ее настройки в лимиты, выставить там чего-то.

Это скорее вопрос “Stay Sane”, закинул сколько надо на покупку и знаешь что в остальное время там ноль. И даже если данные этой карты из этого магазина утекут или что-то ещё, ты знаешь что с деньгами ничего не случится, как минимум потому что она на отдельном счёте, закрыл - открыл новую. А когда виртуальная на том же счете что и основная как у тинькофф, начинаешь невольно напрягаться.

В общем мой мозг стремится к наименьшему сопротивлению.
Поэтому я в другом банке пока.

Ответить
1

Раньше, кстати, все было норм и был отдельный счет у виртуальной карты, потом какому-то продакту моча ударила в голову и это убрали :)

Ответить
0

Мне приходится Тинькофф рублем наказывать - я вынужден не оплачивать с их виртуальной карты интернет-покупки, ибо это геморройно. 

Это же нужно лимит специально "двигать", а потом 1-го числа нового месяца не забыть его обратно его обнулить.

Хотя бы сделали тогда автоматический сброс лимита в начале месяца, если не хотят отдельный счет под вирт.карту обслуживать.

Ответить
–1

Вы можете поставить бессрочный лимит и поднимать его, когда закончится.

Ответить
2

Смысл в том, чтобы перед покупкой положить на карту денег ровно столько, сколько нужно и не высчитывать каждый раз лимиты для этого. И вы это прекрасно знаете. 

Ответить
0

Поняли вас. Возможно, в будущем что-то изменится, спасибо за фидбэк.

Ответить
2

Смысл прежде всего в том, что в полночь 1-го числа лимит должен автоматом срезаться до установленного порога.

Иначе все это очередная профанация.

Я не хочу, чтобы каждый месяц лимит подрастал и оставался таким. 

Это к безопасности имеет только насмехательское отношение.

Ответить

Эффективный

Тинькофф
1

Если бы вы это передали дальше в отдел, это был бы фидбек, а так вы просто отписались в очередной раз. О возможном будущем.
Это ни о чём.

Ответить

Автомобильный

Тинькофф
0

у Альфы кстати достаточно удобно сделано. 
Есть счета.
Есть привязанные к ним карты (в смысле пластик, с виртуалками у Альфы плохо).
Счетов можно насоздавать сколько угодно (и это денег не требует само по себе).
Карты можно перепривязать к другому счету (у меня даже изначально рублевые карты к валютным счетам привязывались и наоборот). 

Ответить
0

[удалено  комментатором]

Ответить
0

согласен
а второй рублевый счет они не хотят открывать - просто потому что.

Ответить
0

Как минимум мне открыли.

Ответить
11

Зато все запомнят, что Сбер виноват, хотя Тинькофф даже в комментариях к этому посту зафейлился по полной.

Ответить
2

Причём, даже ТП из чата в двух соседних комментах обосралась: сначала написали, что можно по одному номеру, потом - что верная дата нужна 🤦‍♂️

Ответить
5

Ответили, что по номеру и сроку действия, а не только по номеру

Ответить
11

Но потом передумали.

Ответить
23

а можно такие настройки сайта, чтобы даже номер карты не нужно было водить?

Ответить
5

Это Вам в Англию - там джентльменам верят на слово

Ответить
2

Это у "семьи" Тинькова семейный навык: переобуваться в прыжке))

Ответить
5

Спасибо, всё понятно.

Ответить
0

На скрине верные ответы. Под реквизитами мы имели в виду номер/срок. Операции без кода безопасности допустимы правилами платежных систем, но тут больше рискует продавец, поскольку такие операции легче оспариваются.

Ответить
0

Так человек написал, что срок действия был неправильный.

Ответить
0

уже всё хорошо. речь шла про ситуацию когда я сам при вводе ошибался реквизитами.

Ответить
18

Судя по скринам переписки программиста и Лолы (или Лёли), похоже на правду, что были введены случайные данные карты. И если это действительно так, то это лютый пи##$ц. Я уж не знаю, кто тут виноват Страйп или Сбер, но это не дыра безопасности, это дырище.

Ответить
10

Ну ок, 548438001 это дефолт дебетовок сбера, но..
798570 чувак просто подобрал (да при этом еще повезло, что на карте деньги без лимита)?
Мало верится, либо это прям уникальный случай. Короче не верю я в "случайность". Вряд ли кого то хотели нае*ть, но программист видимо накопал не самую плохую базу карт :)

Ответить