Портмоне срочно ищет лохов. (3/3) / Вирішення побутових проблем

Змей. | member

Re: Теперь более-менее понятно... и удивительно (+)

[Re: Sanya] 17 декабря 2007 в 21:34

В ответ на:

Кстати, позволю себе предложить элементарный (и поэтому гениальный ) вариант, при котором и верификации карт существующих клиентов не требуется, и украденной картой воспользоваться не удастся. Для этого достаточно лишь запретить анонимно расчитываться картой, которая уже добавлена в аккаунт существующего клиента: расчет такой картой позволить только после логина. Все удобно, все довольны.

Можно, конечно же, оставить вариант первичной верификации вновь заведенной карты (а не раз в квартал), чтобы исключить вариант "украл - завел новый аккаунт - добавил карту, потому что предыдущий владелец карты не был клиентом Портмоне" с последующим переходом на вышеупомянутый вариант без повторной верификации... это еще было бы терпимо.

К сожалению этот метод никак не защищает. Наличие регистрации ничего не означает. Это всего лиш удобный способ получения электронных счетов. Дело в том, что ФИО при регистрации никуда не передается и банками не проверяется. ФИО необходимо лишь для того, что бы поддержка знака как к Вам обратится. Но если в системе клиент зарегистрировался как Петренко, а это на самом деле Виктор Ющенко

, то это его личное право.

Кроме того, фишеры по телефону у клиента получают все - ФИО, дату рождения, реквизиты карты, ....

Sanya | V.I.P

Re: Теперь более-менее понятно... и удивительно (+)

[Re: Змей.] 18 декабря 2007 в 10:17

В ответ на:

К сожалению этот метод никак не защищает. Наличие регистрации ничего не означает. Это всего лиш удобный способ получения электронных счетов.

Это не так. Регистрация - это в первую очередь логин и пароль. Если мошенники украли у меня карту, то они при этом не получают моего логина и пароля, а значит - не могут воспользоваться моей картой через Портмоне. Разве это не очевидно?

В ответ на:

Кроме того, фишеры по телефону у клиента получают все - ФИО, дату рождения, реквизиты карты, ....

Ну с таким параноидальным подходом расчеты картой через интернет нужно вообще запрещать. Потому что фишеры точно так же могут получить и сумму авторизации, с которой пройдут верификацию

В итоге я так и не понял логики: зачем проходить верификацию раз в квартал? Почему тот же ПейПал считает достаточным проходить верификацию однократно? И, кстати, замечу, что ПейПал считает достаточным пройти верификацию только по одной карте: все остальные карты добавляются в аккаунт уже без верификации. Наверное, они наивно полагают, что смогут в случае необходимости достать до верифицированного пользователя через банк-эмитент

Змей. | member

Re: Теперь более-менее понятно... и удивительно (+)

[Re: Sanya] 18 декабря 2007 в 22:46

В ответ на:

В ответ на:

К сожалению этот метод никак не защищает. Наличие регистрации ничего не означает. Это всего лиш удобный способ получения электронных счетов.

Это не так. Регистрация - это в первую очередь логин и пароль. Если мошенники украли у меня карту, то они при этом не получают моего логина и пароля, а значит - не могут воспользоваться моей картой через Портмоне. Разве это не очевидно?

Очевидно что мы друг друга не понимаем

. Еще раз - наличие логина никак не защищает. Это раз. (Прямо как по Фандорину

)Потенциально ворованной картой может быть любая - и в существующих логинах и в новых. Это два. Кроме того, оплата зачастую производится вообще без логина - посмотрите на сайты мобильных операторов. На их сайты встроен сервис платежей Портмоне без всякой регистрации.

В ответ на:

В ответ на:

Кроме того, фишеры по телефону у клиента получают все - ФИО, дату рождения, реквизиты карты, ....

Ну с таким параноидальным подходом расчеты картой через интернет нужно вообще запрещать. Потому что фишеры точно так же могут получить и сумму авторизации, с которой пройдут верификацию

Сумму автоизации получить при наличии этих данных не так просто. Дело в том, что для получения суммы фишеру необходим пароль/девичья фамилия матери. Психологически выудить эту информацию с атакованного клиента тяжело. Он начинает подозревать и такую инфу по телефону не выдают.
Кстати Вы обратили что сейчас суммы авторизации две? И ввести а качестве подтверждения необходимо меньшую? Значете почему? Потому что уже на следущий день эту проверку обошли по Приватовским картам. У Привата есть возможность позвонив на телефон поддержки ввести номер карты и дату рождения (эту информацию жертва выдает не моргнув) получить остаток на карте. Догадываетесь алгоритм? Они сначала засекаль остаток на карте до верификации а потом после. ВОт и сумма!
Теперь транзации две и получить сумму не так тривиально.

В ответ на:

В итоге я так и не понял логики: зачем проходить верификацию раз в квартал? Почему тот же ПейПал считает достаточным проходить верификацию однократно? И, кстати, замечу, что ПейПал считает достаточным пройти верификацию только по одной карте: все остальные карты добавляются в аккаунт уже без верификации. Наверное, они наивно полагают, что смогут в случае необходимости достать до верифицированного пользователя через банк-эмитент

Мы повторяемся - возможна атака на существующих клиентов - логин/пароль снимается трояном и добавляются левые карты.

Sanya | V.I.P

Re: Теперь более-менее понятно... и удивительно (+)

[Re: Змей.] 19 декабря 2007 в 12:03

В ответ на:

Очевидно что мы друг друга не понимаем . Еще раз - наличие логина никак не защищает. Это раз. (Прямо как по Фандорину )Потенциально ворованной картой может быть любая - и в существующих логинах и в новых. Это два. Кроме того, оплата зачастую производится вообще без логина - посмотрите на сайты мобильных операторов. На их сайты встроен сервис платежей Портмоне без всякой регистрации.

Да, действительно Вы меня, похоже, не слушаете

Потому что я ранее предлложил отказывать в авторизации карт без регистрации, если данная карта уже зарегистрирована в каком-то аккаунте. Также я ранее согласился с возможностью первичной (однократной) верификации тех карт, которые еще не были заведены в Портмоне ни на одном аккаунте (а если заведены - в повторной регистрации на другой аккаунт, а также авторизации анонимном или от имени другого аккаунта - отказать).

Это означает, что если моя карта зарегистрирована на моем аккаунте, и у меня ее выкрали, то воспользоваться ей никто без моего ведома не сможет (как минимум - через Портмоне).

В ответ на:

Сумму автоизации получить при наличии этих данных не так просто. Дело в том, что для получения суммы фишеру необходим пароль/девичья фамилия матери.

Если мы говорим о фишинге, то ему нужно всего лишь прислать фишинг-запрос "от имени портмоне", в котором будет предложено сообщить эту сумму. И наш наивный фишинг-герой, который уже таким же образом раздал коды своей карты, точно так же раздаст и сумму авторизации. Ведь Вы ведете речь не о звонке в банк, а о фишинге!

В ответ на:

Мы повторяемся - возможна атака на существующих клиентов - логин/пароль снимается трояном и добавляются левые карты.

Ох, как все запущено... Если Ваше предложение зайти к Вам в офис и подписать отказ от антифишинг-защиты моих карт остается в силе, то подскажите, пожалуйста, кого спросить, и в какое время приехать.

Змей. | member

Re: Теперь более-менее понятно... и удивительно (+)

[Re: Sanya] 20 декабря 2007 в 10:35

В ответ на:

Ох, как все запущено... Если Ваше предложение зайти к Вам в офис и подписать отказ от антифишинг-защиты моих карт остается в силе, то подскажите, пожалуйста, кого спросить, и в какое время приехать.

В любое. Спросить Игорь Горина. Там же и продолжим дискусиию

Единственная просьба - перезвонить заранее, хотябы за несколько часов, что бы я не ушел куда-то на встречу. Телефон на http://www.portmone.com.ua/v2/ru/contacts/

Усі сторінки

Портмоне срочно ищет лохов. (3/3)

Портмоне срочно ищет лохов. (3/3)

Додаткова інформація

Модератор: