Скажите, что это за развод?

Вот

мда, совсем примитивно... а разве при переводе денег нужен код подтверждения, я 100 раз переводил себе деньги и с яндекс и со сбер, на на другие банки, никаких подтверждений. Да. Ну пусть попросят, в следующий раз....))))

Возможно, потому что себе. Или потому что из приложения на телефоне.

Через веб-морду каждый раз просит код из смс, если перевод третьему лицу.

сказать номер моей карты

В принципе этого достаточно что-бы закончить разговор. Сам по себе номер карты это уже добыча. На сколько я понимаю имея номер карты всё-ещё можно списать с неё бабло, нужно только найти интернет-магазин который не поддерживает всякие там модные 3dsecure. Обратная совместимость такая обратная совместимость

А я считал что запрос на смс при оплате online это api банка который работает для всех...

Да уж, одно радует, чутье не подвело. Да и в каждой старой инструкции по безопасности от банка написано не передавать номер карты третьим лицам... а новых я не читал)))

На сколько я понимаю имея номер карты всё-ещё можно списать с неё бабло, нужно только найти интернет-магазин который не поддерживает всякие там модные 3dsecure.

нет такого

Интернет-магазина такого нет, или в принципе нельзя списать без пина/кода? Бабло с 3dsecure вроде тырят по номеру через легасёвые api

нет такого

Я встречал. URL'ов только сейчас не вспомню. Снимали без СМСки, и вроде даже без CVC2-кода.

Без пин-кода и смс можно, а без CVC-кода с обратной стороны нельзя.

Думал может эта тема больше для Security,

И как связаны развод лохов и безопасность? Ну может хоть тебе кто-нибудь из FSF это предлагает провернуть (ну чтоб как-то хоть притянуть это к теме форума и раздела security)?

На сколько я понимаю по большому счёту всё это можно-нельзя зависит от банка который проводит списание, банк-эмиттер можно просто по ставить перед фактом что «вот вам счёт» (при-чём произойти это может через несколько дней после совершения покупки). Так-что вопрос в том чтобы найти магазин который работает с достаточно отмороженным банком который ещё поддерживает устаревшие протоколы

всё это можно-нельзя зависит от банка который проводит списание

Не уеврен. Возможно, что от платежной системы.

Я встречал. URL'ов только сейчас не вспомню.

Ну не может такого. Может ещё была привязка на какой-то фактор

PS: подсказка, если выход в интернет через SIM карту, например.

если выход в интернет через SIM карту, например.

Нет, обычный системник через PPPoE(провод).

«вот, держи, я себе еще нагенерирую» (с) Папандопуло, а затем на разъярённые сообщения о том, что номер карты не корректный вспомнить бородатый анекдот про админа и сообщить злоумышленникам что проблема не на твой стороне.

А банк-эмиттер не может сказать «что-то ваш счет смахивает на х*нь»?

Сдается мне что это какой-то развод, но я голову сломал в чем он заключается. А может у меня паранойя?

А чего тут голову ломать-то? Неизвестные, номер карты - сразу слать нах.

Не факт что эмиттер может чётко отличить х* от не х*. На сколько я понимаю в этих делах всё держится на шаманстве вроде гадания по бигдаде.

Вообще текущая система в принципе кривая. По-хорошему, при оплате по карточке надо бы чтобы запрос посылался не в банк того, у кого терминал, а в банк, чья карточка. И он бы уже переводил деньги.

#cast dk-

Спасибо, кэп (:
Текущая система это наследие тех времён когда в магазине можно было просто сказать «запишите на счёт мистера Пупкина», а неграм нельзя было садиться на передние сидения в автобусах

идиотская идея и если по настоящему-хорошему, то при оплате неким цифровым счётом не должно быть вообще каких-то запросов\подтверждений\смс\etc.

Зависит от банка видимо.

я не понял. они зарегали чью-то карту в своем ЛК Сбера?

Ну деньги то хранятся не на самой карточке, а на связанном с ней счете

Так создай виртуальную и скажи им номер. Вдруг бабки таки переведут.

https://autoteka.ru/ http://permenergosbyt.ru

Но это вроде наоборот не легаси API. А доверенные контрагенты, прошедшие дополнительные проверки и получившие привилегию списания средств без подтверждения СМС,

Сам по себе номер карты это уже добыча. На сколько я понимаю имея номер карты всё-ещё можно списать с неё бабло, нужно только найти интернет-магазин который не поддерживает всякие там модные 3dsecure.

Каким образом, интересно? Помимо номера нужно знать имя владельца, срок окончания действия карты, CVC-код. И это без всякого 3dsecure...

Так-что вопрос в том чтобы найти магазин который работает с достаточно отмороженным банком который ещё поддерживает устаревшие протоколы

Ну так это будут проблемы банка - любую транзакцию по карте владелец может заблокировать в течение нескольких дней.

И именно поэтому «отмороженных банков» давно уже нет - никто не хочет свои деньги терять...

Возможно, что от платежной системы.

Именно так.

Уверен что прямо нужно, а не «нужно в большинстве случаев»?
Конкретный сайт или терминал может требовать много чего, но это не значит что все остальные тоже этого требуют

«у Сбербанка на сайте есть регистрация Сбербанка Онлайн через мобильный банк» - что сие вообще значит?

а разве при переводе денег нужен код подтверждения

Причём тут «код подтверждения» :) Судя по статье, они по номеру карты узнают номер телефона, восстанавливают доступ к сберонлайн (или его регят) и просят код подтверждения его регистрации. И я тут совсем не пойму, зачем этот код подтвеждения отправляют незнакомым человекам, когда в смс-ке написано (дословно) «Никому не сообщайте пароль. Если вы не совершали регистрацию, позвоните по номеру 900». Алгоритм должен быть простой - тебе переводят деньги, приходит смс-ка о поступлении. Ты переводишь деньги, сам вводишь код из присланной смс-ки в сберонлайн :)

Уверен что прямо нужно, а не «нужно в большинстве случаев»?

Абсолютно :). Есть требования, задаваемые самими платежными системами (не терминалами, не банками-эмитетами карт). По номеру карты деньги снять невозможно. Именно поэтому сейчас такую популярность получают взаимные расчеты между физ. лицами по номерам карт (переводы с карты на карту)...

И я тут совсем не пойму, зачем этот код подтвеждения отправляют незнакомым человекам

Социальная инженерия. Я тоже сталкивался с подобными людьми пару лет назад. Продавал зимние колеса от старой машины на Avito, позвонили, после уточняющих вопросов предложили перевести деньги на карту (якобы для того, чтобы я не продал колеса другим клиентам), а за самими колесами подъехать вечером. Я отправил им номер своей карты, после чего получил SMS-уведомление о попытке зарегистрировать доступ в Сбербанк-online :).

Здесь, как и в других случаях мошенничества, расчет идет на «стрельбу по площадям» - если хотя бы один человек из тысячи поведется и пришлет им код подтверждения, это окупит все затраты на аферу. И есть куча способов спровоцировать на это технически малограмотного человека - например, в случае того же Avito предложить за продаваемые вещи высокую цену, заболтать человека, не давать ему времени на осмысление ситуации (деньги надо перевести прямо сейчас, уходит поезд/самолет, нужно прямо сейчас позвонить кому-то и т. д.)...

Социальная инженерия.

Ну я как бы в курсе, что это такое и как это работает. Но никак не пойму, как можно прочитать код, рядом с которым написано «НИКОМУ НЕ СООБЩАЙТЕ!111»

Но никак не пойму, как можно прочитать код, рядом с которым написано «НИКОМУ НЕ СООБЩАЙТЕ!111»

Ваш вопрос из той же серии, как и вопрос, почему остались курящие люди, когда на каждой пачке сигарет крупными буквами написано, что курение убивает :).

Люди - очень странные создания. В первой половине 90-х годов в Питере была новостная программа на TV - 600 секунд. Основное содержание - поток чернухи - тут убили таких-то, на стройке нашли расчлененные трупы ну и все в таком роде. И вот в одной из передач ведущий программы (А. Невзоров) предстал перед зрителями абсолютно потрясенным человеком. И сообщил, что накануне в Питере мошенники умудрились собрать крупную сумму денег на озеленение Луны :). Но меня поразило не это, а то,что через неделю эти же мошенники воспользовались этой передачей как рекламой и собрали еще в два раза больше денег на тоже самое мероприятие :).

почему остались курящие люди, когда на каждой пачке сигарет крупными буквами написано, что курение убивает

У Ярославского вокзала куча народу курит непосредственно у знака «курение запрещено». Видимо, не вдаваясь в подробности беглым взглядом видят нарисованную сигарету, а что она перечёркнута - нет.

Есть мнение, что все эти рассказы про озеленение луны - выдумка самого Невзорова.

Есть мнение, что все эти рассказы про озеленение луны - выдумка самого Невзорова.

Не думаю - тогда, как, впрочем, и сейчас, хватало «горячих» информационных поводов, плюс полное отсутствие цензуры - ничего выдумывать не нужно...

код из СМС просит банк-эмиттент, как правило. просто защита от кражи денег с карты.

Сдается мне что это какой-то развод, но я голову сломал в чем он заключается.

заводите новую карту (или любую старую ненужную) чтобы без кредитного лимита и без бабла и экспериментируете - кто кого разведет

просто защита от кражи денег с карты.

Это при совершении платежей онлайн. В случае веб версии клиент-банка от банка-эмиттента это скорее защита банка от претензий со стороны держателя карты.

просто веб-версия, особенно со всяких там гаджетов - это та ещё мишень для хацкеров. поэтому и проверяют дополнительно через СМС. в принципе, это не напрягает, зато даёт некоторую защиту на случай дырявых клиентов и прочих возможных утечек. для финансовых операций это вполне оправдано. я в любом месте в онлайн расплачиваюсь - и мой банк запрашивает подтверждение операции через СМС. кстати, вот ещё одно применение телефона. я им практически не пользуюсь, но в данном случае он бывает полезен.

просят сказать номер моей карты чтобы перевести на нее деньги

через несколько дней буду должен вернуть деньги на их новую карту

Что-то тут не так, да.

как можно прочитать код, рядом с которым написано «НИКОМУ НЕ СООБЩАЙТЕ!111»

Очень просто. На андроиде смс выводится в области уведомлений. Кусочками по 2-3 слова. Сначала появляется строка со словом Сбербанк, далее кад, а далее можно не читать.

У Ярославского вокзала куча народу курит непосредственно у знака «курение запрещено».

Тут еще и другой момент есть. Запрет вызывает макростресс, а стресс - желание закурить.

На сколько я понимаю имея номер карты всё-ещё можно списать с неё бабло, нужно только найти интернет-магазин который не поддерживает всякие там модные 3dsecure.

Не знаю как там в сбербанке, но у меня, например, можно настроить дневные лимиты на разные виды операций, в том числе интернет-платежи с 3dsecure и без. В последнем стоял 0 по-умолчанию, так что не думаю, что прокатит...

нужен номер карты, срок действия и CVC ну и написанное имя владельца карты

Веб-версия только с десктопа с федорой и с одного и того же IP (для таких целей vpn домой). С девайсов клиент. Он, как раз, не просит СМС. Вернее, может и просит, но молча сам получает.

Главное, что переводы тебе подтверждений от тебя не требуют, о чём ТС спрашивал. Если я правильно его понял.