Преступники наглеют

[spamsink]

Сегодня утром была совершена попытка купить что-то на Пейпале на сумму $619 с использованием моей кредитной карточки AmEx. К чести AmEx-а надо сказать, что транзакция была заблокирована немедленно, поэтому мне не придется тратить кучу времени на посылку дурацких факсов.

Что странно - это второй случай за 4 месяца. Я подозреваю саботаж со стороны низкооплачиваемых работников онлайновых маркетеров, которые стремятся создать себе "выходное пособие" на случай сокращения штатов в связи с кризисом.

Comments

[spamsink]

Пейпал сам по себе насчет разных billing/shipping адресов очень настороженный, но транзакцию, которая не требует shipping address, он не сможет отметить как подозрительную, если все данные карточки сходятся. Так что спасибо амексовскому алгоритму.

[galkao.livejournal.com]

У дочки был аналогичный случай недавно, я рассказывала. Подозреваю тоже какой-нибудь онлайн-магазин... Но не работников - они обычно доступа к карточке толком и не имеют, там все прикрыто/закрыто паролями и кодированием... А на "несекьюрных" сайтах ты сам ничего покупать не захочешь:-)

Тут скорее другое - хакание. Освободившиеся программеры начали хакать сайты...

[spamsink]

Так работник, у которого есть по крайней мере физический доступ к внутренней сети компании, всяко находится в лучшем положении, чем хакер.

[galkao.livejournal.com]

Хм... Я, например, даже паролей своих покупателей не знаю, не то, что их карточек и прочего:-) Все кодируется. Если кто-то забыл пароль, я могу его только "сресетить"...

[spamsink]

Если эти закодированные базы можно скачать и раскодировать, найдя дырку в защите веб-сайта, то можно и раскодировать, купив в закодированном виде у работника.

[galkao.livejournal.com]

Теоретически - да. Но куда проще рассылать емейлы типа "ваш аккаунт будет закрыт, если вы не обновите данные, пойдите по ссылке и подтвердите то-то и то-то"... Вариантов подобных емейлов - масса. От Paypal, от разных банков... Думаешь, мало народу ловится?

[spamsink]

Наверное, но мы же обсуждаем мой конкретный случай, а я на подобное не ловлюсь.

[galkao.livejournal.com]

Дочка тоже не ловится, но есть же и "левые" сайты (непроверенные), есть и "левые" магазины (где слипы делают, а не электронную транзакцию проводят).

[spamsink]

Слипы (и списывание CVV2-кода) не помогают проводить электронные транзакции - для них нужно знать billing address.

[galkao.livejournal.com]

Довольно часто к слипам просят или телефон, или водительские права. А там адрес есть:-)

[spamsink]

Чтобы успеть запомнить адрес за те мгновения, на которые обычно показывают права, нужно иметь мозг idiot savant-а.

[galkao.livejournal.com]

У кого-то - хорошая память на цифры, у кого-то - на адреса. Главное, что мошеннику не надо запоминать адреса со ВСЕХ карточек. Достаточно запомнить ОДИН легко запоминающийся адрес в день. Неужели ты бы не запомнил адрес типа 334 main st, roseville (город подставить любой, скорее всего, он окажется тем же, где и магазин). Штат и зип-код запоминать не нужно. Улица - одна единица памяти, если улица знакома, номер дома - столько единиц памяти, сколько цифр в номере дома. ВСЕ!

Я иногда довольно длинные номера запомнить могу, если они вызывают ассоциации. Скажем, число E я помнила с точностью до 27 знаков после запятой. Какие проблемы запомнить номер дома, имея "ассоциативную" память? тем более, что выбор есть. Тогда вообще на улицу и на дом получается ДВЕ единицы памяти:-)

[spamsink]

Ну я не знаю. Мне кажется, что причина проще, чем мы выдумываем - хакнули какой-нибудь торговый сайт, в котором данные хранились открытым текстом.

[galkao.livejournal.com]

Так я же тебе сразу про хакеров сказала:-) Даже на больших торговых сайтах работников, имеющих доступ к базе с _некодированной_ информацией (хотя большие сайты себе такого обычно не позволяют), - раз-два, да обчелся. И они легко вычисляются. Не стали бы они этим заниматься. Это именно "дыры" в защите.

[iime.livejournal.com]

Не очень понял. Откуда у этих работников твой пейпаловский пароль? Может на ибее?

[spamsink]

Эта карточка к пейпалу отношения вообще не имела до сегодняшнего дня, но я ей пользовался на нескольких сайтах для регулярных покупок и месячных взносов.
На пейпале кто угодно, даже не имеющий собственного счета, может заплатить кредитной карточкой, если получатель - premium account.

[galkao.livejournal.com]

Я запретила "неподтвержденные" платежи через пейпал. То есть никто не может мне сейчас заплатить кредитной карточкой, если у него нет своего аккаунта на Paypal. У меня - бизнес-аккаунт на Paypal (то есть даже расширение от premium).

[spamsink]

Долгое ли дело завести промежуточный аккаунт, который принимает любые платежи, а потом тут же "отмывает" деньги, платя "честным" продавцам?

[galkao.livejournal.com]

Ты не понял. Я _принимаю_ платежи в основном. Так вот, я при этом не принимаю платежей, "не авторизованных" пейпалом. С левой кредитки мне не заплатишь. И биллинг адрес должен быть тоже "подтвержден". Если что - запрещу заказы, где биллинг-адрес не совпадает с адресом доставки (муж так давно сделал, он еще и IP проверяет).

[spamsink]

Я ж говорю - заводится "левый" аккаунт, который потом тут же платит кому-то с баланса.

[galkao.livejournal.com]

Там это не мгновенно делается, авторизация включает в себя много чего, ты, наверное, забыл уже. Короче, аккаунт с левой кредиткой там не заведешь.

[spamsink]

Раз попытки что-то сделать на пейпале с левой кредиткой делаются - значит, где-то есть дыра.

[tan-y.livejournal.com]

А если бы вы сами купили что-то, он бы тоже заблокировал? Как ам. ем. понимает, что это не вы?

[spamsink]

Видимо, какие-то признаки этой транзакции не совпали с моделью, построенной на основании многих лет, в течение которых у меня была эта карточка.
Или проще, позавчера вечером я ей платил в ресторане рядом с домом, а IP адрес, с которого пытались совершить транзакцию вчера утром, находится в какой-нибудь глуши.
Степеней защиты, соответственно, как минимум две: или транзакция не проходит и карточка блокируется без уведомления владельца по телефону (в том маловероятном случае, когда это действительно он хотел что-то купить, он сам позвонит), или транзакция проходит, но тут же эмитент пытается связаться с владельцем карточки, чтобы подтвердить транзакцию.

[tan-y.livejournal.com]

да, про адрес я еще понимаю, хотя - сегодня чел. здесь, а завтра улетел в отпуск или командировку. Какая может быть у них модель, я никогда не представляла, а интересно. Какие там вообще могут быть признаки - вроде на кнопки все нажимают одинаковые. Место, время, сумма и товар? Даже человек не разберется, а уж программа что там отличает... Два года чел. покупал книги по программированию, а потом купил камасутру - это вписывается в модель? Вот я с севера приеду летом в италию в маленький городок и пойду в превый день все покупать...

[spamsink]

Чего не знаю, того не знаю, но наука умеет много гитик. Транзакции с физической карточкой проверяются не так, как интернетовские - возможность отпуска или командировки предусмотрена, а вот если дважды заправиться на одной и той же заправке в течение получаса с помощью одной и той же карточки, звонок с вопросом "не потеряли ли вы карточку" практически гарантирован.

[iime.livejournal.com]

Мне однажды после отпуска горячо порекомендовали перевыпустить карточку (за счет банка), причем с нее была одна-единственная транзакция - снятие в банкомате примерно 30 долларов. Там у них какая-то своя жизнь.

[spamsink]

Возможно, тот регион был известно skimming-ом (второй абзац насчет банкоматов).

[stumari.livejournal.com]

я как-то писал в комментах, кажется, в этом же журнале, так что прошу прощения у хозяина за повтор :)
На одной из карточек Ситибанка стоит какя-то супер-чувствительная система, которая уже 5-6 раз выдавала нам "фалсе-алерт", на наши реальные покупки (в интернете, по телефону, в поездке), один раз из-за этого заказ мебели сильно задержался :(
Но один единственный раз, когда номер моей карточки указал кто-то другой (мне не сказали, кто, но адрес был точно другой, не знаю про имя), она не сработала, и пришлось опротестовывать (деньги вернули без проблем, сумма маленькая, да и странная покупка для вора - оплатить свой интернет-счет, так что вполне возможно, человек честно ошибся в номере своей карточки),
но как можно было такое пропустить (адрес покупателя не соответствует адресу хозяина карточки) - не знаю :(
Может, сумма слишком маленькая, $50?

[tan-y.livejournal.com]

я не представляю их работы, надеюсь кто-нибудь когда-нибудь нам тут все расскажет