Форум

Возможностей кражи средств с банковских карт без знания cvc и срока действия стало больше.

Кража денег с карты, зная только номер карты.
Поиск по теме

  • 1
Вот, собственно, прочитал: LiveJournal
Цитата
Итак, история началась с того, что Саркис Антонян в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.
 
silalex_l, не вбрасывайте не понятные истории третьих лиц, да еще и в пересказе.
 
Цитата
silalex_l пишет:
Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.
И что тут такого? Первый раз указали срок действия карты не верно, а второй указали верно.
 
Ну так-то сервисов, где оплата идет только по данным карты без смс, полно.. они и раньше существовали.
Другое дело, что такие оплаты легче оспорить.

тут дело не только в сбербанке
Изменено: Поталицын - 21.10.2020 09:53
 
Цитата
Поталицын пишет:
Ну так-то сервисов, где оплата идет только по данным карты без смс, полно.. они и раньше существовали.
Вы не поняли, ТС утверждает, что транзакция прошла без срока действия и CVC кода.
Цитата
Поталицын пишет:
Другое дело, что такие оплаты легче оспорить.
Это в явном виде транзакции без согласия клиента, они по закону обязаны быть возвращены.
Изменено: hdx1000 - 21.10.2020 09:59
 
Цитата
hdx1000 пишет:
Это в явном виде транзакции без согласия клиента, они по закону обязаны быть возвращены.

Откуда такое категоричное заявление, может быть и с согласия. Например, сервис (или мой банк) не поддерживает 3DS, что все оплаты идут без согласия? Народ пишет, что Али не поддерживает 3DS и при этом активно там покупает и это в принципе нормально.
 
Цитата
m*******@orc.ru пишет:
Откуда такое категоричное заявление, может быть и с согласия. Например, сервис (или мой банк) не поддерживает 3DS, что все оплаты идут без согласия?
Речь идет не про операции без 3DS, а про операции без CVC и срока действия.
 
Цитата
hdx1000 пишет:
Речь идет не про операции без 3DS, а про операции без CVC и срока действия.

И такие в принципе могут быть с согласием (теоретически). По каждому случаю надо разбираться индивидуально, а не устраивать какой-то массовый шум.
 
Цитата
m*******@orc.ru пишет:
И такие в принципе могут быть с согласием (теоретически).
Честно говоря, я никогда в глаза не видел таких расходных транзакций, но то, что я их не видел, конечно, не означает, что их нет. По моему - это просто вброс.
 
Цитата
hdx1000 пишет:
Честно говоря, я никогда в глаза не видел таких расходных транзакций, но то, что я их не видел, конечно, не означает, что их нет. По моему - это просто вброс.

Вброс с чьей стороны? Если про меня - это не вброс. Бывают операции на ПОСе без авторизации и физического присутствия карты и держателя, путем ручного ввода номера, этим часто пользуются отели и прокаты, или например операции на импринтере (правде не знаю где они еще остались), там голосовая авторизация, поле CVC - не обязательное. Это я так, сразу что вспомнилось.
 
Цитата
m*******@orc.ru пишет:
Вброс с чьей стороны?
Со стороны ТС.
 
Цитата
hdx1000 пишет:
Первый раз указали срок действия карты не верно, а второй указали верно.

Его, похоже, вообще не указывали.
 
Цитата
silalex_l пишет:
Его, похоже, вообще не указывали.
Очень сильно сомневаюсь. Только проверять не надо. Возможно сайт фишинговый.
 
Цитата
m*******@orc.ru пишет:
Откуда такое категоричное заявление, может быть и с согласия. Например, сервис (или мой банк) не поддерживает 3DS, что все оплаты идут без согласия? Народ пишет, что Али не поддерживает 3DS и при этом активно там покупает и это в принципе нормально.

Учите матчасть. Конкретно ст. 9 161-ФЗ - изучайте.
То что операция без 3DS само по себе не означает, что она без согласия клиента.
Но вот если клиент заявил в установленном указанным законом порядке о том, что она без его согласия, то тогда банк обязан либо вернуть деньги либо доказать, что операцию совершал клиент (последнее в случае операций без 3DS малореально).
Открытие, МКБ, Юникредит, Уралсиб, Хоум Кредит, ВТБ, Альфа, Райффайзен
 
Цитата
hdx1000 пишет:
Со стороны ТС.

Согласен!
 
Цитата
silalex_l пишет:
Его, похоже, вообще не указывали.

Проблема форумных "знатоков" - они фантазируют "как должно быть", а не обсуждают как есть в реальности. Чтобы знать как есть в реальности - надо читать мануалы МПС.

Для CNP транзакций срок действия карты не является обязательным элементом авторизационного запроса. Более того, в последнее время в МПС появились т.н. "бессрочные" карты, на которых срок действия вообще не указан.
 
Цитата
slowpoke пишет:
Для CNP транзакций срок действия карты не является обязательным элементом авторизационного запроса.
Да, бог с ними, с форумными знатоками, Вы до Банков сначала данную информацию донесите, чтобы они мануалы МПС читали. Это ведь они до сих пор выдают Отказ, в случае неверного указания срока действия карты.
Изменено: hdx1000 - 22.10.2020 12:03
 
Цитата
slowpoke пишет:
Для CNP транзакций срок действия карты не является обязательным элементом авторизационного запроса

И? Что это меняет?
Будет не обязательный, а дополнительный... элемент. Фиолетово....
И в реале его запрашивают и проверяют. smile:uncap:
 
".....Клиент решил провести собственное расследование. Он нашел получателя денег в интернете (магазин был указан в эсэмэс), связался с владельцами сайта BYEACCENT NKR LLC и выяснил странное. Они заявили, что готовы вернуть деньги и сослались не некое недоразумение. Из разговора мужчина предположил, что они знают того, кто расплатился по его карте. Он все-таки выяснил подробности истории.

Некий программист написал владельцам, что нашел «уязвимость» на сайте. Она заключалась в том, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам, которые продается на сайте. Он думал, что сайт дает доступ к продукту без оплаты. Но оказалось, что деньги реально могут списаться у владельца карты, номер который случайно подобрали.

В истории с клиентом вышло так, что программист наугад набрал реальный номер карты. При этом срок действия и CVC (три цифры на обороте) не совпали. Но Сбербанк пропустил такую операцию.

Получается, что достаточно знать номер банковской карты, чтобы расплатиться ею в магазине. Предположительно, если в них подключена платежная система Stripe, которая позволяет принимать оплату в разных валютах. Мошенникам достаточно зарегистрировать LLC в США, создать фейковый интернет-магазин, подключить Stripe и через покупки в магазине они смогут списывать деньги с чужих карт."
 
Чтобы не вляпаться в аналогичную историю, приходится всегда держать на карточных счетах Сбера в остатке НОЛЬ.
Закинул деньги - сразу все потратил...
Иначе - в Сбере кирдык.

PS причина этого безобразия - отсутствие в Сбере лимита на доступный остаток.... у него все просто - лимит доступного остатка равен 100 % реального остатка денег на картсчете
Изменено: камо - 23.10.2020 04:26
 
Цитата
камо пишет:
Получается, что достаточно знать номер банковской карты, чтобы расплатиться ею в магазине. Предположительно, если в них подключена платежная система Stripe, которая позволяет принимать оплату в разных валютах. Мошенникам достаточно зарегистрировать LLC в США, создать фейковый интернет-магазин, подключить Stripe и через покупки в магазине они смогут списывать деньги с чужих карт."


У меня подобная история была в 2012 г. Мне нужно было как то дистанционно оплатить услуги посольства США. Когда я разговаривал с ними, они спросили у меня номер карты Виза. У меня уже все сжалось, что сейчас потребуют иные реквизиты, но они обошлись только этим номером. Деньги сразу списали со счета лишь по названному номеру; никакие другие реквизиты не сообщал (теоретически они еще знали мои ФИО). Тогда меня это очень удивило.

PS Это не была карта Сбербанка
Изменено: Rotman - 23.10.2020 14:52
 
Не пойму в чем паника. Оплата услуги по телефону с карты как и КОВИД известна с 60 годах прошлого века. В частности в 2020 году так покупал авиабилет и оплачивал страховку. Для этой услуги хватает номера карты, так как продавец еще и идентифицирует покупателя по другому документу.
Изменено: ya-vasn2017 - 23.10.2020 16:30
 
Цитата
slowpoke пишет:
Чтобы знать как есть в реальности - надо читать мануалы МПС.

За бугром все проще, в загранице куча старых терминалов в глубинке, которые вообще не знают про чип в карте... работают по магнитной полосе.
Изменено: камо - 24.10.2020 02:47
 
  • 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Продукты Банки.ру