Jump to content
BulForum.com

Електронни разплащания и трансфер на пари


plameni

Recommended Posts

24 minutes ago, mIRCata said:

Единственото тъпо нещо на банките, поне ПИБ, не знам дали е специфично за тях или е някаква такава обща политика, но при плащане с КК онлайн, дори да си настроил нещата с 3д парола или динамичен пин, ако сайта, където не си вкарваш данните не е коректен и него иска, банката не го търси. Т.е дори тази включена защита към кредитната карта излиза, че зависи от коректността на търговеца, а не от банката?!?!?!?

Това го разбрах като почнах да плащам на голямата щерка купоните за стола през една електронна система, която се пръкна миналата година. Всеки път ти иска данните за картата, обаче после не иска повторно потвърждение. И от банката казаха - ми така е.


Миро, нямаш си предства какви идиотщини творят банките в електронен аспект. Следват яко пътя на ФБ - всеки следващ ъпдейт е по-голяма трагедия от предишния. Първолашки грешки, зверска некадърност откъм функционалност, всяване на пълен хаос сред потребителите. За два ъпдейта на банковия софт така се изпонасраха в опититие си да бъдат оригинални, че ни скъсиха живота с години откъм нерви и псувни. И като ги подкарам на тая тема ме карат непременно да пиша фермани с препоръки към техническия отдел.... Ама чакайте бе! Аз ли на вас плащам или вие на мене, че нещо не вдянах? Но това, Слакъре мой, са приказки за маса... Хем нагледно ще ти покажа за кви некадърности иде реч... 
 

23 minutes ago, tedy said:

Ок, както кажеш. Ти имаш таланта на всеки опит да се помогне или човек да разбере нещо, което си  описал мъгляво, да се хвърляш с бутонките напред нападателно. Що за човек си ти, ето това няма да разбера. Вероятно има нещо в теб, което отхвърля всичко нормално, с което се срещнеш. Човек като човек ти казва нещо, ти с ножа напред. Евалла! Колкото и да се опитва човек да влезе в нормална дискусия с теб, ти си в състояние винаги да налееш катран във всеки опит.

Настъпвай мотиката, ваша работа, колкото искаш. Само ще кажа, че ако се е стигнало дотам както казваш, това е тотална мърлявщина. Комбинирано с изхвърлянето в кенефа на боклуци от прахосмукачка... явно нещата са адски зле там. Че и се чуди какво "толкова". Просто без думи.

 

Това какво общо има с ПИБ? Това е имплементация по принцип, и ако търговеца не участва в тази "програма" за 3D secure (примерно), не се възползваш от нея. Да, тъпо е, но така е направено, че трябва и търговеца да го имплементира.


Нищо нормално няма при тебе! Сбърках много в преценката си в началото... Има там една форомна опция за блокиране - силно те съветвам да я ползваш спрямо мен. Зоби си зоба и не ме занимавай повече - по възможност никога. 

Link to comment
Share on other sites

  • Replies 608
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Posted Images

Ми банките не са от най-добре плащащите на програмистите си и донякъде обяснява какви хора им мислят софтуера. Преди врме им писах на ПИБ за това как може да подобрят малко работата на потребителите, ама глас в пустиня. Може ли едно просто подреждане по азбучен ред да не може да сложат където има големи списъци. Или винаги да ми предлага в справката ЧЕЗ при положение, че аз нямам регистрирано никакво отношение с ЧЕЗ а ЕВН.

В булбанк смениха мобилното скоро - и там щуротии. И като чета масово как се оплакват от всякъде с тия нови мобилни и сайтове. Ама това е щото бляха и си чесаха макарите сума време, и в последния момент тръгнаха да правят нещата дето им ги иска ЕС.

Link to comment
Share on other sites

Всичко свързано с банки и онлайн плащания е такава пунта мара .. 
Имам приятел който доста време работи пишейки софтуер за банки. И директно си го казваше - имаш стандартното отношение, ръшваме релийзи напред, а това че предишната версия се е справяла по-добре и е била по-богата от към опции е малък проблем. Все едно работиш пишейки уеб геймки, а не банков софтуер. След това поработи в една борса за акции - същата история, решения взети от фенщина, или незнание, или "така е по-лесно"

От моя страна знам какво представлява PCI DSS сертификацията, и въпреки че се опитват да налагат добри стандарти, одитинга след това също е пунта мара, общо взето трябва адски лошо да си сгазил лука след като си вече сертифициран, че да ти отнемат сертификацията. 

Това с 3Д кодовете и аз му се радвах докато не осъзнах, че единият от най-големите ни онлайн магазини не само че не пита вече за 3Д кодове, ами и автоматично плаща след кликване. И си караха така близо година, сега имплементираха собствени СМС като обезопасяване :D 

Edited by ARPAnet
Link to comment
Share on other sites

3 hours ago, mIRCata said:

мисля, че го написах:

Имам наблюдения само с тяхната КК карта, затова споменавам тях.

Което напълно обезсмисля идеята да си защитен от кражба. За чий чеп е тази 3д парола, ако зависи дали търговеца ще го прави? Ако търговеца го имплементира - значи е коректен и иска нещата да са му точни и да покаже на хората, че е сериозен. Ако искам да крада пари от КК с фалшив сайт, дали ще го имплементирам това? 3д защита за кражби, която е пожелателна за крадеца. Тъпотия.

По тази логика да си направят и сайтовете да искат парола пожелателно, ако въведеш. Само с потребителско име да може да се влиза.

Ако се замисли човек, имплементирано е 3D secure по начин, възможен да не спре действието на милиарди онлайн търговци, които скоро няма да бъдат готови за такава промяна. Човек никога не трябва да е краен, защото по-умни хора от нас ги мислят тия неща - не всичко е чисто техническо изпълнение.

По принцип е твой проблем ако искаш да си защитен, да избираш търговци, които имплементират този метод. За мен лично той е леко излишен в този си вариант, да. Аз лично защита съм си направил по познат метод - ползвам онлайн (и не само) само една карта/сметка, в която не държа много пари, а само колкото ще е нужно в близките няколко дни (примерно), и я зареждам чат пат като се налага. Номер на карта съм дал само на няколко относително сигурни места, където е малко вероятно да стане фал (пейпал, cloudflare, facebook и подобни), където често даже вървят директни дебити без моя намеса. Толкова години не е имало проблем. Държа 200-250 лв макс най-често.

 

При ПИБ (а предполагам не само) има една простотия при плащане онлайн през телефон. Ако се наложи верфиикация, се ползва по принцип техния token апп, който може да сканира QR. Обаче при нужда от 3D secure, на екрана излиза QR код, чрез който да потвърдиш, а него няма как да го снимаш с камерата, което е абсурдна ситуация, за която и те са наясно, многократно е рапортувано, мисля че и при други банки има подобен проблем. Та се налага да се минава през SMS потвърждаване, а аз ненавиждам SMS-ите, при наличие на толкова други по-кадърни методи, да не говорим SMS че е доста несигурен метод.

Link to comment
Share on other sites

3 hours ago, mIRCata said:

мисля, че го написах:

Имам наблюдения само с тяхната КК карта, затова споменавам тях.

Което напълно обезсмисля идеята да си защитен от кражба. За чий чеп е тази 3д парола, ако зависи дали търговеца ще го прави? Ако търговеца го имплементира - значи е коректен и иска нещата да са му точни и да покаже на хората, че е сериозен. Ако искам да крада пари от КК с фалшив сайт, дали ще го имплементирам това? 3д защита за кражби, която е пожелателна за крадеца. Тъпотия.

По тази логика да си направят и сайтовете да искат парола пожелателно, ако въведеш. Само с потребителско име да може да се влиза.

 

Те си поемат риска ако през тяхната система се направи кражба и банката изиска парите обратно.

Таксите им за транзакция също са по-високи ако не имплементират 3Д защитата.

Link to comment
Share on other sites

Говоря за измамнически сайт, който има за цел да си вкараш данните за картата и едни пари да изчезнат от нея.  Все тая какви са таксите. Те парите излизат от моята карта, отиват при тях и като не се усетиш и се осчетоводят след 2-3 дена и от там си купят крипто и ходи търси после парите. Дали ще плати на банката някоя стинка повече, при положение, че ги краде все тази.

Link to comment
Share on other sites

11 minutes ago, mIRCata said:

Говоря за измамнически сайт, който има за цел да си вкараш данните за картата и едни пари да изчезнат от нея.  Все тая какви са таксите. Те парите излизат от моята карта, отиват при тях и като не се усетиш и се осчетоводят след 2-3 дена и от там си купят крипто и ходи търси после парите. Дали ще плати на банката някоя стинка повече, при положение, че ги краде все тази.

 

Не може просто ей така да направиш измамнически сайт и да събираш пари от плащания с карта.
Затова и повечето измамнически сайтове искат плащане с Western Union/Moneygram или пари по Пейпал, но не по редовния канал за плащане към търговец.

Ако искаха плащания с карта, Виза/МастърКард могат да си изискват всичките плащания обратно, заедно с наказателните таксите. А и има проследяемост, все пак трябва да се регистрират като търговец.

Ако приемем, че наистина е измамнически сайт, който по някакъв начин е успял да се верифицира пред Виза/МастърКард, какво ще го спре да ти събира парите, въпреки 3Д паролата? Нали ти си я въвеждаш самичък?


Ако приемем, че е измамнически сайт, в който не се събират пари от плащания, а само детайли за картите, то детайлите си си ги въвел на стъпка 1 и няма никакво значение дали в последствие ще видиш прозорчето за 3Д паролата или не.

Link to comment
Share on other sites

Измамнически може да е почти всеки, на който ти плащаш нещо, и примерно не ти пратят нищо насреща :) . Докато някой се усети да ги спре или да им спре виза акаунта, те ще са бЕгали вече. Варианти има много. Затова не пазаруваш от "измамнически" сайтове, или изобщо от непознати някакви, иначе навсякъде може да им пратиш пари (или ако ти имат вече картата, да ти изтеглят) и да не ти пратят нищо. От това второто защита е примерно странична система като пейпал. Където мога на подобни по-непознати сайтове (ако изобщо се "доверя" на такива) ползвам пейпал. Ако няма, не пазарувам оттам. Нервите и разправиите след това ако стане нещо, за мен е по-големия проблем, защото в картата така или иначе повече от 100-200 лв няма да могат да ми вземат.

Ся, който е достатъчно консуматорски настроен да пазарува от непознати сайтове разни (ненужни) дрешки и играчки.... всеки си преценя.

Link to comment
Share on other sites

1 hour ago, tedy said:

При ПИБ (а предполагам не само) има една простотия при плащане онлайн през телефон. Ако се наложи верфиикация, се ползва по принцип техния token апп, който може да сканира QR. Обаче при нужда от 3D secure, на екрана излиза QR код, чрез който да потвърдиш, а него няма как да го снимаш с камерата, което е абсурдна ситуация, за която и те са наясно, многократно е рапортувано, мисля че и при други банки има подобен проблем. Та се налага да се минава през SMS потвърждаване, а аз ненавиждам SMS-ите, при наличие на толкова други по-кадърни методи, да не говорим SMS че е доста несигурен метод.

 

При Пощенска можеш да избереш между потвърждаване чрез сканиране на QR-код или с push-нотификация, когато не можеш да използваш камерата.

Link to comment
Share on other sites

22 minutes ago, plameni said:

 

При Пощенска можеш да избереш между потвърждаване чрез сканиране на QR-код или с push-нотификация, когато не можеш да използваш камерата.

Това е много хубаво, но леко не отрича ли предмиствата на токен приложение, където отключваш с пръст (първо), и второ - все пак въвеждаш и пин код? В случая предполагам поне статичния ПИН се въвежда пак, а с пуш получаваш динамичен код. Но все пак.

То всъщност това е като sms кода, който получаваш, даже малко по-сигурно от него.

Добре че много рядко някакво плащане онлайн е толкова спешно че да не може да дочака да седна на десктопа. Скоро не съм пробвал де, може и ПИБ да са направили нещо такова, надявам се.

Edited by tedy
Link to comment
Share on other sites

Да да, както писах, и ПИБ има статичен пин, наскоро май всички банки го въведоха. Просто се надявах на решение на горния проблем, който не включва динамичен код, пращан от тях, а някак локалния токен да се ползва, подобно както се ползва при оторизиране на платежни нареждания примерно - връзката е директна и не се минава през сканирания на кодове и т.н.

Link to comment
Share on other sites

1 hour ago, tedy said:

Измамнически може да е почти всеки, на който ти плащаш нещо, и примерно не ти пратят нищо насреща :) . Докато някой се усети да ги спре или да им спре виза акаунта, те ще са бЕгали вече. Варианти има много. Затова не пазаруваш от "измамнически" сайтове, или изобщо от непознати някакви, иначе навсякъде може да им пратиш пари (или ако ти имат вече картата, да ти изтеглят) и да не ти пратят нищо. От това второто защита е примерно странична система като пейпал. Където мога на подобни по-непознати сайтове (ако изобщо се "доверя" на такива) ползвам пейпал. Ако няма, не пазарувам оттам. Нервите и разправиите след това ако стане нещо, за мен е по-големия проблем, защото в картата така или иначе повече от 100-200 лв няма да могат да ми вземат.

Ся, който е достатъчно консуматорски настроен да пазарува от непознати сайтове разни (ненужни) дрешки и играчки.... всеки си преценя.

Не е толкова лесно да се регистрираш към някой Payment GW, за да добавиш плащания с карти през сайта си. 

Сам да обработваш ти плащания с карти - иска се PCI DSS сертификация. 

Link to comment
Share on other sites

12 minutes ago, ARPAnet said:

Не е толкова лесно да се регистрираш към някой Payment GW, за да добавиш плащания с карти през сайта си. 

Сам да обработваш ти плащания с карти - иска се PCI DSS сертификация. 

Да, но това не противоречи на обсъжданото в темата. Иначе нямаше да има нужда да се въвежда все повече 3D, нали. Измами стават, хората са изобретателни, други са наивни (не само потребителите), има "несъвършенства" в контрола на различните правила, най-общо казано. Знаем, че често се случват измами от най-различен тип.

Link to comment
Share on other sites

4 minutes ago, tedy said:

Да, но това не противоречи на обсъжданото в темата. Иначе нямаше да има нужда да се въвежда все повече 3D, нали. Измами стават, хората са изобретателни, други са наивни (не само потребителите), има "несъвършенства" в контрола на различните правила, най-общо казано. Знаем, че често се случват измами от най-различен тип.

Смесваш 2 различни проблема

3D secure и т.н. са начини да се намали абюза на откраднати карти.

Към което ти добави сайтове които са минали през процедурата за добавяне на плащания с Карти, но мамят и не ти пращат продукт след като са получили парите.

 

Link to comment
Share on other sites

3D Secure решава и засяга отчасти няколко проблема, но Ок.

А дали непратен продукт след плащане или друго, измами се случват. Иначе ще трябва да дефинираме и определим точно какво наричаме измама, конкретно, и да обсъждаме конкретно.

След като минеш каквато и да е сертификация, след това наблюдението е намалено (грубо казано), и измами се случват. Не един и два примера можеш да срещнеш като влезеш в произволен форум (конкретно дадени са данни за карта и след това оплаквания от източени карти! - това обясни как се случва, моля, след като нали всичко е сертифицирано..). Добър пример според мен е  сертифицирането на захранванията - пращаш някъв семпъл (може да е специален), сертифицират го 80 PLUS Gold, след това знаеш е пълно с "не съвсем" Голд масово от същия модел, по един, два или повече показателя на сертификацията.

PS. А да, "открадната" карта също е разтегливо понятие. Въвеждаш някъде данните за картата си, и тези данни вече са напуснали личния ти "domain", те вече са достояние на дадения ... търговец. Това за директните дебити примерно. Аз например както съм си дал данните на cloudflare (на тях, не на картовия оператор), там дали от теч или някой бъг или недоволен служител или... (choose), могат да бъдат източени пари!

Edited by tedy
Link to comment
Share on other sites

2 hours ago, tedy said:

Това е много хубаво, но леко не отрича ли предмиствата на токен приложение, където отключваш с пръст (първо), и второ - все пак въвеждаш и пин код? В случая предполагам поне статичния ПИН се въвежда пак, а с пуш получаваш динамичен код. Но все пак.

То всъщност това е като sms кода, който получаваш, даже малко по-сигурно от него.

 

Мисля, че нещо не си разбрал. Push-нотификацията е към токен приложението на Пощенска

Link to comment
Share on other sites

17 minutes ago, plameni said:

 

Мисля, че нещо не си разбрал. Push-нотификацията е към токен приложението на Пощенска

Ок, това ясно, пуш нотификацията така или иначе все трябва да дойде през някое приложение, в случая ясно че в приложение(то) на банката.

Но пак нещо ме гложди.

В нормалния случай с токен приложението сканирам qr код, и то генерира динамичния one time код, локално. В другия случай получавам просто код отдалечено в приложението, без да сканирам нищо. Това може да стане и локално да си генерирам просто този код, защо те го генерират отдалечено и ми го пращат? Защото съм заредил iframe-а с qr-а ли и те веднага спрямо него ми пращат кода.. Тогава защо изобщо се минава през QR код, като може и без, ПИБ да вземе да го направи така, и да ни спести това.

Link to comment
Share on other sites

1 minute ago, tedy said:

Това може да стане и локално да си генерирам просто този код, защо те го генерират отдалечено и ми го пращат? Защото съм заредил iframe-а с qr-а ли и те веднага спрямо него ми пращат кода.. Тогава защо изобщо се минава през QR код, като може и без, ПИБ да вземе да го направи така, и да ни спести това.

 

Как да го заверят ако го генерираш локално? Трябва специално за твоето приложение да върви определена редица от кодове, която те да заверяват.
Ако те ти го изпратят, могат лесно да заверят дали ще им върнеш това, което те са ти пратили.

Link to comment
Share on other sites

13 minutes ago, tedy said:

В нормалния случай с токен приложението сканирам qr код, и то генерира динамичния one time код, локално. В другия случай получавам просто код отдалечено в приложението, без да сканирам нищо. Това може да стане и локално да си генерирам просто този код, защо те го генерират отдалечено и ми го пращат?

 

Бъркаш понятията и логиката. И в двата случая потвърждаваш нещо генерирано от тях само за теб и само за тази операция.

С Push-нотификацията - ДА или НЕ за описаната операция

С прочитане на QR-кода - потвърждаваш кодираното съдържание. (При сканиране не се генерира код, а се прочита какво е кодирано) 

Edited by plameni
Link to comment
Share on other sites

И двамата нещо леко се бъркате.

W00x, локалното токен приложение е инициализирано в банката на място, подобно на totp. Предполагам ползват подобен алгоритъм с ключ, кпйто стои при тях. Изцяло локално се генерира код, важащ 30 секунди. Този код се генерира (И) на база сканирания qr код, като входни данни, и именно кодът, стоящ вътре в qr кода могат примерно да го експортират ако трябва като файл, който да се прочете от токен приложението за да генерира кода (динамичния), който вече да се въведе в 3DS-a.

С това мисля отговарям и на пламени.

 

За сканирането признавам не съм много сигурен, наскоро не ми се е налагало, та е възможно при сканирането токен приложението директно да се свързва с банката да потвърди транзакцията, но имам спомен че въвеждах код, изписан в приложението..

Edited by tedy
Link to comment
Share on other sites

Динамичният код се генерира от банката. Приложението го използва като вход и не генерира, а с помощта на функция или хеширащ алгоритъм (известни само на банката) се изчислява резултатен стринг или число, които след това се сравняват за потвърждение.  

 

2 hours ago, plameni said:

Бъркаш понятията и логиката.

и последователността.

Link to comment
Share on other sites

Вероятно просто говорим за различни неща.

Поне при ПИБ, Fibank Token апп-а замести хардуерния токен, който предлагаха преди. Аппа генерира 6-цифрени кодове, които се използват при активни операции или за вход в основното приложение. Технически погледнато естествено то ползва алгоритъм на банката и се инициализира в клон на банката за дадената инсталация и телефон.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...