Либо все кругом идиоты, либо...

Вдогонку цитата из вики:

Поскольку код CVV2 не может храниться продавцом в течение даже короткого времени (после того как авторизация с использованием CVV2 завершена)

Они что, продавцу тому, который код вводил, лоботомию штале делают чтоб он введенный код забыл???7777

Блин на банковских форумах сидят одни макаки с дебилоидным слэнгом.

ЛОР, надежда на тебя.

При репосте можно было всё и в один пост упихнуть...

Многабукав никто парсить не станет. Cкору же накрутки нет, так что все чисто.

контрольный код нужен всего-лишь один раз, в случае пейпала. после однократного ввода он производит транзакцию и код этот нигде у него не запоминается

все остальные платежи производятся без необходимости ввода кода

у визы есть одноразовые пароли подтверждения

разумеется платежи кредиткой в интернете ненадежны by design. поэтому та карта, которая светится в интернете, не должна быть основной. многие банки позволяют создать временную карту с номером и кодом, и перечислять туда деньги непосредственно перед операцией по интернет-банкингу. тогда даже если сопрут карту, ничего оттуда будет украсть...

а что касается самого интернет-банкинга - имхо система, где на кадый заход присылают смску с паролем - достаточно надежна, если не терять и логин, и пароль и телефон одновременно :)

PIN код ненужен для транзакции, светить его можно только в банкомате. для транзакции часто требуется CVV.

>на банковских форумах сидят одни макаки с дебилоидным слэнгом.

штале

???7777

Неистовое /(0+i·0) же!

ПИЛЯТЬ

Вернись обратно на банковский форум.

Именно для таких случаев и были придуманы пайпал, манибукерс и куча менее известных велосипедов - чтобы не светить cvv и номер карты никому, кроме собсно велосипеда.

> Что мешает продавцу за океаном тайком записать номер и код и слить их в черные базы? Чтоб потом обналичить по своим каналам?

А не надо у таких продавцов отовариваться.

Use PayPal, Luke!

> Что мешает продавцу за океаном тайком записать номер и код и слить их

в черные базы? Чтоб потом обналичить по своим каналам?

Ничего. Огромное количество «магазинов» созданных для отлова лохов так и делают.

Что мешает продавцу при твоей расплате в обычном не интернет магазине взять логи и «слить их в черные базы» а потом обналичить ? Ничего.

Что мешает магазину получив твои реквизиты по карте списать с тебя любую сумму ? Ничего.

А про «вдову нигерийского диктатора» разводку слышал ? когда прямо с твоего счета доступ к которому ты из жадности открыл, уходят все едньги ? :)

Также, если ты не в курсе, можно платеж отменить. Это если конечно ты карту взял не в говнобанке которому неохото с тобой возится и сам ты финансово неграмотное чувырло и об этой функции не знаешь, а так же не знаешь что нужно контролировать жестоко расчеты по счету.

> Либо все кругом идиоты, либо...

..я.

Бритва Оккама не на твоей стороне

С одной стороны: в договоре на кредитную карту написано «не светить PIN и контрольный код»

Зависит от карточки, с чипам она или магнитной лентой. За рубежом распространены больше вторые, с первых без банкомата/терминала не снимешь. А магнитные - рай для мошенников. Лучше держать отдельную карточку для покупок и вносить туда средства непосредственно перед покупкой.

Что мешает продавцу за океаном тайком записать номер и код и слить их в черные базы? Чтоб потом обналичить по своим каналам?

Ничего. Вот только транзакция держится около месяца. За это время теоретически операцию можно отменить.

> а что касается самого интернет-банкинга - имхо система, где на кадый заход присылают смску с паролем - достаточно надежна, если не терять и логин, и пароль и телефон одновременно :)

Неужели сетрификаты с pgp-шифрованием недостаточно надежны? O_o

>>Use PayPal, Luke!

Нужно чтоб его поддерживал продавец, а это не всегда так. Жаль что это не прослойка, внешне видная продавцу как некая карта с кодом.

>>Бритва Оккама не на твоей стороне

Проще всего это объясняется тем, что концепция бритвы неверна ;)

>>А не надо у таких продавцов отовариваться.

Ну да, ведь каждый злоумышленник обязан написать у себя на лбу о своих намерениях не менее чем за месяц до кражи.

Короче ясно, все опять на гадском доверии.

>Жаль что это не прослойка, внешне видная продавцу как некая карта с кодом.

Как некий вариант прослойки есть виртуальные карты (MC Virtual, Visa Virtuon/E-c@rd) Работают так - на этой карте должен быть (в идеале) нулевой баланс. Хочешь что-то купить - переводишь с основной карты на виртуальную нужную сумму (через интернет-банкинг например) и сразу оплачиваешь. И опять там гордый ноль. т.е. даже если нехороший продавец и сольет номер кредитки - брать оттуда нечего.

Разумеется можно не заводить две карты, а открыть только виртуальную - но геморроя больше, закидывать деньги каждый раз через кассу.

>Неужели сетрификаты с pgp-шифрованием недостаточно надежны?

Поперхнулся кофе.

Спасибо, гляну.

Хочешь что-то купить - переводишь с основной карты на виртуальную нужную сумму (через интернет-банкинг например) и сразу оплачиваешь.

Забавные костыли однако. Особенно если учесть, что кредитки как раз и создавались с единственной целью: не заморачиваться по поводу стоимости мелких покупок и не высчитывать баланс карты.

Мне кажется что пока в эту облать не придет кто-то вменяемый типа гугла, не только с целью наживы, а с новыми идеями, эта область будет заростать протезами жутких форм и размеров.

>Помогите разобраться.

Наверняка в договоре написано что-то типа: не сообщать CVV2 третьим лицам. Продавец, у которого ты покупаешь товар, третьим лицом по определению не является

>>Продавец, у которого ты покупаешь товар, третьим лицом по определению не является

Ну да, просто в ходе переписки с фирмой те просили выслать им данные карты.

Одно если это кассир и я гляжу ему в рожу прямо, то он какбе продавец и со своей ролью согласен.

А html-форму заокеанского сайта трудно назвать продавцом.

Жутко бесит.

"""""""""""""""""""""

Промежуточный итог:

условия покупки по номеру и CVV = авторитет продавца + надежда на откат в случае чего + строгий мониторинг операций + минимальный баланс

кто-то вменяемый типа гугла

Велосипед от гугля называется Google Checkout. По замыслу аналогичен пайпалу, но значительно меньше распространен.

>Ну да, просто в ходе переписки с фирмой те просили выслать им данные карты.

Вместе со сканом паспорта и девичьей фамилией матери?

Что за продаевец-то?

>>Что за продаевец-то?

American Rose Society.

Опыт удачных покупок есть, конкретно в этом случае сомнений нет.

Хотелось понять механизм вообще.

Нужные идеи очень просты - каждому по считывателю смарткарт (блин, ну почему такая простая и удобная вещь не стала для PC чем-то естесственным?) и карту наподобии сберкарты. Но по большому счету никому это не нужно, всех устраивают поросшие говном мамонта визы и прочие мастеркарды.

Ничего не мешает. Чтобы практически свести к нулю такой расклад, для работы в инете используйте PayPal, GoogleCheckout из зарубежных или assist из наших ( последняя процессинговый центр). В этом случае информация о карте продавцу недоступна. К сожалению это не спасает от кражи электронной наличности с карты при покупках в реальном магазине, где для платежа надо вводить пин код на выносном терминале. Кроме того не забываем о «Скиммерах» которые могут висеть на банкомате. Но! Тут есть просвет в виде функции к карте называемой «мобильный банк». В Сбере стоит 30руб. в месяц, первые 3 месяца бесплатно. В других банках не по курсу. Фишка его в том что при любой финансовой операции с картой, на мобильный телефон приходит СМС с уведомлением по факту операции. При такой информированности, ничего не мешает тут же ответным СМС на определённый номер заблокировать карту и спокойненько, в удобное время проехать в отделение банка чтобы накатать заяву об отмене транзакции. Через какое то время бабло возвращается законному владельцу =)

>Но по большому счету никому это не нужно, всех устраивают поросшие говном мамонта визы и прочие мастеркарды.

Если не в курсе, чего умничаешь ?

«поросшие говном мамонта визы и прочие мастеркарды» еще в начале 90-х стандартизовали «карту наподобии сберкарты». Искать в гугле по словам ISO 7816.

Буржуйские банки потихоньку отказываются от карт с использованием только магнитной полосы.

Наши же банки жмутся (это заметные инвестиции в инфраструктуру, как-то процессинговый софт, замена кучи старых банкоматов, читающих только полосу и т.д.). Себестоимость одной карты заметно выше (около $5 за чип против цетнов за карту с магнитной полосой).

Просто нормальные люди для оплаты через интернет заводят виртуальные карты разовые, которые не страшно и полностью засветить «если че», по этому и не задумываются над подобными вопросами.

видишь ли… все это было рассчитано немного на другие страны и сделано давным давно. не поверишь, но совсем недавно номер карточки диктовали по телефону или прокатывали выпуклые циферки через копирку. и были довольны все: и банк, и продавец, и покупатель. и доверяли друг другу.

наверное, потому что это плохо — воровать.

Нет, это ты не в курсе. Дело не в чипе, сберкарта может давать авторизацию полностью в оффлайне, в отличие от.

+1000

>Дело не в чипе, сберкарта может давать авторизацию полностью в оффлайне, в отличие от.

VISA тоже может. Могу тыкнуть в спецификацию (открытую, кстати).

Ты блин еще «Золотую Корону» вспомни. Хотя они хотя бы других заманивают, а не сидят как сбер со своей сберкартой.

> VISA тоже может. Могу тыкнуть в спецификацию (открытую, кстати).

Ткни, если не сложно. Если авторизация с оценкой рисков самим терминалом, то не то.

>Ткни, если не сложно. Если авторизация с оценкой рисков самим терминалом, то не то.

http://usa.visa.com/download/merchants/visa-international-operating-regulatio...

3.3.A.3.b Offline PIN Verification carries the same level of Chargeback protection as Online PIN Verification.

> PIN код ненужен для транзакции, светить его можно только в банкомате. для транзакции часто требуется CVV.

То есть именно поэтому, когда не работал банкомат и я зашел в CберБанк снять деньги с VISA через кассу, кассир обналичил деньги, не протянув мне POS-клавиатуры.

Я удивился - а что, пин-код ненужно вводить?

Кассирша говорит - а зачем? Я говорю затем, чтоб например пока вы тут с умным видом сидите за решеткой и окном, вы не перевели заодно пару тыщщ на какой-нибудь другой счет. Кассирша грит - да я не буду переводить. Я грю - кассиры разные бывают. Вы не будете, другой будет, случаи известны.

В общем, деньги обналичил, но удивление осталось. Получается, что при потере карты, можно снять с нее все деньги, если иметь доступ к какому-нить внутреннему банковкому терминалу. И никаких пин-кодов знать ненужно.

дык в банке-эммитенте они что угодно с твоей картой и твоим счетом сделать могут.

> дык в банке-эммитенте они что угодно с твоей картой и твоим счетом сделать могут.

В том то и дело, что VISA совсем другого банка.

Ну во первых: оффлайн платежи без pin'а или подписи недействительны (второе доказуемо).

Во вторых: в случае интернет платежа у тебя есть возможность его заблокировать

> То есть именно поэтому, когда не работал банкомат и я зашел в CберБанк снять деньги с VISA через кассу, кассир обналичил деньги, не протянув мне POS-клавиатуры.

Чтобы провести транзакцию, ни каких кодов не надо. Вопрос в подтверждении достоверности, чтобы вы потом заявление не написали, что надо деньги вернуть.

Паспорт плюс магнитная полоска плюс подпись - достаточный аргумент.

>Наши же банки жмутся

Когда в середине 90х в Россию пришли карточки они были только чипованные. Я удивился когда в начеле 2000х стали появлятся карточки магнитные. Такой вот даунгрейд. Интересно, чей откат?