LINUX.ORG.RU
ФорумTalks

Яндекс деньги: Веселятся и списывают деньги

 , ,


2

7

Ща я вам расскажу как потерять много денег и узнать о себе много нового от «милых» сотрудников яндекса. Как говориться учитесь 3,14здеть!!!

Итак, краткая история того как Яндекс есть, а денег нет. Уж наверное как год пользуюсь яндексденьгами удобно-карочка приложения всё гуть. Как только начали приходить на неё большие деньги перевёл основной ящик на мыло с gmail.com с двуэтапной авторизацией: то есть пишешь логин-пароль, после тебе на мобильник приходит код - ты его вводишь и только после этого входишь на почту. Секюрно удобно и просто: нереально увести мыло даже с паролем и так далее.

Всё было хорошо до понедельника до 2х ночи. Начали сыпаться сообщения что мне кто то пререводит суммы невозобразные - проснулся поглядел - списал на глюки. С утра вместо 5000 рублей жалкие 43... Ну хрен с ним - опять глюки системы подумал и отписался на супорт яндекс денег мол глюки у вас смотрите.
О КАК Я ОШИБАЛСЯ
Пароль оказался подменён! Причём пароль платёжный и только он! На почту яндекса входилось нормально...
Внимайте: Результат 20 минут работы каких то засранцев:

http://yamolodoi.ru/upload/blogs/ae88cd642f3a984ca38e3eed436a64a3.jpg

Более 260 операций по пополнению и снятию денег с моего счёта! Пополнения с десятков кошельков и всё уходило во вконтакт. Ушло 5 моих и с 10 тысяч чужих денег! Класс, но как? Как могли украсть пароль? Везде линуксы-андройды - вирусов нет. Сижу через 3G билайна-публичные WiFi сети не пользуются. Вывод был прост: ссылка с восстановлением пароля ушла не на _@gmail.com, а на _@yandex.ru которым я пользуюсь для свалки спама с разных форумов. Но как если во всех платёжных местах стоит адрес с gmail!?
В шоке пишу в сапорт всю ситуацию, пью валидол меняю пароли. С сапорта пишут: последнюю вашу операцию , остаток на момент инцидента и так далее - отсылаю. Молчанье.
Вечером в 8 шлют письмо мол я сам себе дурак и надо пользоваться антивирусами и прочей лабудой. Пишу мол братцы вы прочтите что я вам пишу! Вы ссылки не туда отправили! А не я пароль потерял! Молчат...до утра...
Потом опять говорят мол всё так и должно быть пароли не менялись жизнь хороша а Вы мол Серёжа говно и нам пофиг.
Присылаю письма которые не туда ушли подробно...задумываются до вечера...
Вечером сейчас приходит письмо мол а почту то вы поменяли только с утра когда деньги ушли....
Я говорю мол братцы а не окуели ли вы если мне вся инфа приходила на эту почту уже давно!? Мыло то есть на gmail не отверчиваются!
Включается режим адской паранои!
На глазах идёт замена и подлог данных! И постоянно вдалбливается мне, что денег нет и не жди... мол мы у тебя взяли в долг (а в договоре такая формулировка) проебали деньги, а разбираться должен я...круто... Ну и постоянно пытаются меня уличить во всяких бяках типа я дебил по умолчанию...

Вот такое я злобное буратино блин... Сейчас переписка продолжается выпрашивают всё новые данные... теперь им понадобился мой телефон... жду реакции...

★★★

Ответ на: комментарий от OperaSoftvvare

Если это не я, то да, после покупки я могу вернуть деньги.

В любом случае, операция совершена, деньги ушли. Пусть, ты можешь их вернуть, но это лишний раз доказывает низкую защищённость банковских карт карт.

Это как?

Начиная с того, что можно просто подсмотреть в магазине, когда клиент достаёт и передаёт карту для оплаты кассиру (а сам кассир, случайно, не ведёт свою коллекцию данных с банковских карт?), и заканчивая всякими схемами развода по телефону типа «здравствуйте <ФИО>, банк такой-то, похоже, с вашей карты пытаются снять крупную сумму, продиктуйте номер карты, срок её действия и код CVV2».

Black_Shadow ★★★★★
()
Ответ на: комментарий от winddos

Но все это проблемы процессинга и продавца товара и это вполне правильно.

Это не проблемы процессинга, это проблемы безопасности.

Ничего лучше и удобнее не придумали.

Или тебе по нраву всякие одноразовые пароли и прочая неудобная лабуда?

Да, лучше, чтобы при любой операции, не требующей пин-кода, был одноразовый пароль.

Black_Shadow ★★★★★
()
Ответ на: комментарий от chapay

Просто много доков проходит которые ненадобно святить вот :)

Ну, это не от хорошей жизни. Мне-то проще, я с такой документацией дела не имею :)

KRoN73 ★★★★★
()
Ответ на: комментарий от Black_Shadow

В любом случае, операция совершена, деньги ушли. Пусть, ты можешь их вернуть, но это лишний раз доказывает низкую защищённость банковских карт карт.

Это ничего не доказывает. Деньги вернуть можно? Можно. То что ты засветил свою карту так это ты ССЗБ, банк предоставляет возможность возврата.

Расскажи мне а что защищено?

OperaSoftvvare ★★
()
Ответ на: комментарий от Black_Shadow

Да, лучше, чтобы при любой операции, не требующей пин-кода, был одноразовый пароль.


man Сбербанк. Там такое реализовано. Пароль приходит на телефон, привязанный к сбер-онлайн.

OperaSoftvvare ★★
()
Ответ на: комментарий от Black_Shadow

Это не проблемы процессинга, это проблемы безопасности.

Если капнуть, то получится как в рассказе про хакера и солонку.

Дело в том, что единственный способ побороть такие виды фрауда - сажать и наказывать.
Изменение системы работы карт сделает их неудобнее на клиента и потребует миллиардов президентов для реализации.
А бабло так и будут сливать, просто методы сменятся.

Да, лучше, чтобы при любой операции, не требующей пин-кода, был одноразовый пароль.

Это просто перекладываение проблем на клиента.

Одноразовые пароли на бумажечке это самый АДЪ из того что можно было придумать, сразу ясно почему они появились в России.
Скажем двухфакторная авторизация - ок, но эти пароли это полный бред.

winddos ★★★
()
Ответ на: комментарий от OperaSoftvvare

Пароль приходит на телефон, привязанный к сбер-онлайн.

Против такого я мало что имею.

Просто некоторые банки в рашке выдают клиентам просто листик с одноразовыми паролями для онлайн платежей о_О

winddos ★★★
()
Ответ на: комментарий от winddos

Просто некоторые банки в рашке выдают клиентам просто листик с одноразовыми паролями для онлайн платежей о_О

Гугле тоже выдает)) при двух-этапной авторизации, но там и смс высылается, а этот можно таскать на всякий случай, есть вдруг с телефоном неполадки.

OperaSoftvvare ★★
()
Ответ на: комментарий от OperaSoftvvare

Это ничего не доказывает. Деньги вернуть можно? Можно. То что ты засветил свою карту так это ты ССЗБ, банк предоставляет возможность возврата.

Ты помнишь баланс карты с точностью до копейки? SMS уведомление есть не у всех, а снять могут и не большую сумму, если таких жертв много.

Расскажи мне а что защищено?

Идея с CVV2 - очень плохая. А почему, блин, они PIN не напечатали на карте? Почему PIN догадались в конверт положить а CVV2 - нет? И потом, с точки зрения безопасности, нельзя делать данные авторизации постоянными. Если я доверяю банку, и могу ввести PIN в банкомате, это не значит, что я готов доверять продавцам, и сообщать им CVV2. Должна быть система на основе тикетов. То есть, я, как владелец карты должен выдавать разрешения на каждую операцию. Например, с помощью одноразовых паролей. Но, блин, они не обязательны, и продавец может их не использовать.

Black_Shadow ★★★★★
()
Ответ на: комментарий от KRoN73

с киви баланс пополнить не проблема.

светить - согласен. к тому же на той что свечу - денег не держу. (карт 2. одного банка)

dk-
()
Ответ на: комментарий от OperaSoftvvare

man Сбербанк. Там такое реализовано. Пароль приходит на телефон, привязанный к сбер-онлайн.

У меня сбер. Можешь не рассказывать. Где-то просят одноразовый пароль, где-то - нет.

Black_Shadow ★★★★★
()
Ответ на: комментарий от uspen

я в мск несколько раз уже был в магазинах\кафе где по ним типа скидки. заказал. через 5 дней заберу (в доме напротив. удобно). но... просто потому что основная дебетовая кончится в декабре.

dk-
()
Ответ на: комментарий от Black_Shadow

Ты помнишь баланс карты с точностью до копейки? SMS уведомление есть не у всех, а снять могут и не большую сумму, если таких жертв много.

Мне на почту приходят сообщения обо всех операциях, в режиме реального времени. Я не совершаю по 20 операций в день, чтобы не помнить что я покупаю. К тому же в деталях платежа есть инфо о том где происходила отплата. Поэтому левые операции заметить не сложно.

OperaSoftvvare ★★
()
Ответ на: комментарий от Black_Shadow

У меня сбер. Можешь не рассказывать. Где-то просят одноразовый пароль, где-то - нет.

Я так понимаю это от механизма авторизации зависит.

Честно говоря не совсем понимаю, что ты пытаешься доказать.

OperaSoftvvare ★★
()
Ответ на: комментарий от OperaSoftvvare

Мне на почту приходят сообщения обо всех операциях, в режиме реального времени.

Мне приходят SMS. Но это отдельная услуга, по-умолчанию её нет.

Я не совершаю по 20 операций в день, чтобы не помнить что я покупаю.

Ключевое слово - «Я».

Black_Shadow ★★★★★
()
Ответ на: комментарий от OperaSoftvvare

Я так понимаю это от механизма авторизации зависит.

Я не знаю, чем отличаются способы оплаты с одноразовым паролем и без оного (естественно, помимо наличия или отсутствия пароля). Факт в том, что при оплате онлайн, пароль иногда просят, а иногда - нет.

Честно говоря не совсем понимаю, что ты пытаешься доказать.

Ничего. Просто многие тут говорят, что банковские карты - это типа безопасно. С моей точки зрения, это не так.

Black_Shadow ★★★★★
()
Ответ на: комментарий от dk-

к тому же на той что свечу - денег не держу

Вот и я на ЯД много не держу :)

KRoN73 ★★★★★
()

на хабр пости историю срочно

greyl
()
Ответ на: комментарий от Black_Shadow

Просто многие тут говорят, что банковские карты - это типа безопасно.

Это безопасней, чем всякие сервисы типа ЯД. Нет абсолютно безопасных сервисов, пока в цепочке есть звено «человек».

OperaSoftvvare ★★
()
Ответ на: комментарий от chapay

Была статья на хабре, не могу найти.

Удалили. История мутная там.

Яндекс попросил.

ymuv ★★★★
()
Ответ на: комментарий от dk-

в чем профит яндекс.денег. вебманей. пайпала. ? вот я правда не понимаю.

Не знаю зачем вебмани и пайпал, а яндекс.деньги сильны существованием заполненных шаблонов для платежей в 100500 организаций. Если чего-то готового в родном psbank'е нет, то я перевожу деньги в яндекс.деньги (мгновенно и без комиссии) и плачу ядами.

Reset ★★★★★
()
Ответ на: комментарий от Reset

При пользовании картами есть аналогичное небезопасное звено.

Здравствуй К.О.

OperaSoftvvare ★★
()

facepalm
больше мне сказать нечего, можешь дальше обвинять яндекс

xtraeft ★★☆☆
()
Ответ на: комментарий от bhfq

На яндексе до сих пор не могут прикрутить подтверждение платежей СМСкой? Ну чтож, продолжайте жрать кактус, у киви это сто лет в обед.

И все эти трехэтажные авторизации без толковщина если на последней миле дыра размером с аэродром.

bhfq ★★★★★
()
Последнее исправление: bhfq (всего исправлений: 1)

У меня просто заблокировали около 20тыщь рублей,сославшись на то что я житель украины.Держал как дополнительный кошелек...после этого не связываюсь с яндекс деньгами.

Коненчо предложили приехать в москву,собрав кучу бумаг.Подругому никак.

tester9999
()

Дополню-откуда пароли на «харер ру»-их сливают сотрудники яндекса. У меня было 2 взлома ящика,причем внезапных-когда там именно большая сумма денег лежала.

Только недельное разбирательство с саппортом и требование сменить все мои пароли-перестали трогать.Был также подобран(хацкерами) мой совсем простой 20 символьный пароль как к акку так и к самим деньгам(разные были конечно)...конечно нигде не палился.

tester9999
()
Ответ на: комментарий от winddos

мобильный банк 30 рэ/месяц.

при подключении моб. банка одноразовые пароли кидаются на телефон. Отключить пароли полностью невозможно (кажется).

// ах да, карта Maestro :)

DoctorSinus ★★★★★
()
Ответ на: комментарий от DoctorSinus

мобильный банк 30 рэ/месяц.
Отключить пароли полностью невозможно

Ну мне так и говорили.

Это и есть показатель рашн сервиса.
Либо плати деньги, либо ходи как идиот с бумажечкой. :)

winddos ★★★
()
Ответ на: комментарий от dk-

когда твоя виза классик научится по всему миру п2п делать моментальные - тогда приходи

xtraeft ★★☆☆
()
Ответ на: комментарий от Kindly_Cat

брекинг ньюс - яндекс украл 5 тыщ рублей у кастомера!

xtraeft ★★☆☆
()
Ответ на: комментарий от winddos

плюсую
термсы не читают, соглашаются - а потом плачутся

xtraeft ★★☆☆
()
Ответ на: комментарий от anonymous_sama

Серьезно недавно пробовал ради интереса на загрузке маркет на голом андройде закрывается или полоска так и весит.

ростелекомо-проблемы.
Проблемы с google play
у меня то работает, то не работает

xtraeft ★★☆☆
()
Ответ на: комментарий от KRoN73

Как раз недавно была аналогичная история про карту Альфа-банка.

очередной неосилятор не стал разбираться с банком о проблеме?

xtraeft ★★☆☆
()
Ответ на: комментарий от KRoN73

Помню, как тётка на улице на телефоне пыталась доказывать, что с банкомата сняла 40 тыс. руб, операция прошла, со счёта снялось, но денег так и не получила.

этой тетке в течение 1-30 дней (обычно 1-2) деньги вернулись на карту - правила визы и мастеркард.
подобные глюки от карты и банкомата не зависят

xtraeft ★★☆☆
()
Ответ на: комментарий от KRoN73

так и через палку у народа деньги уводили.
это же не говорит о том, что paypal плохой.

xtraeft ★★☆☆
()
Ответ на: комментарий от Black_Shadow

Покажи мне, где возможность отката любой операции гарантируется.

это гарантируют виза и мастеркард

xtraeft ★★☆☆
()
Ответ на: комментарий от Black_Shadow

Предположим, ты оплачиваешь через интернет некий товар или услугу, которую получаешь сразу. Ты можешь откатить операцию уже после получения товара или услуги?

да. но постоянно так делать тебе не даст банк

xtraeft ★★☆☆
()
Ответ на: комментарий от winddos

хм, а я еще удивлялся, почему в россии карты не приходят в широкие массы
менталитет :(
этот товарищ - яркий тому пример

xtraeft ★★☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.