Chirkov.net: блог

Год назад на превратности фрод-мониторинга Альфа-банка жаловался мой коллега, а теперь настала моя очередь получить личный опыт. Сидя в Майами мне потребовалось забронировать билет на обратный рейс на сайте Трансаэро. Заполнив все данные бронирования я был переброшен на платежный сервер ChronoPay, который после ввода реквизитов карты, сообщил, что в проведении операции отказано. Стоит отметить, что несмотря на наклейки SecureCode и Verified  by Visa, на ACS сервер своего банка я не попадал, т.е. ChronoPay попытался совершить покупку без 3D Secure аутентификации. Я немедленно вспомнил, что после того, как карту другого моего коллеги вычистили скиммеры, я обложил все свои карты лимитами, поэтому переключился в Интернет-банк, увеличил размер лимита на интернет-транзакции по карте на сумму превышающую сумму покупки и попытался снова забронировать билет. Трансаэро сообщило, что нужного мне билета больше нет, видимо, не смотря на неудачную покупку, в их системе бронирования он разблокируется не сразу. Спустя примерно полчаса билет снова стал доступен и я попытался повторить покупку, но снова получил отказ, который меня очень удивил. Я внимательно перепроверил все лимиты и после того как билет снова разблокировался решил попробовать другую карту (первая была Visa, а теперь я использовал реквизиты MasterCard). Снова получив отказ, я погрешил на какие-нибудь кукисы и после очередной разблокировки билета я попытался забронировать билет используя Firefox, вместо IE, но снова получил отказ. Я безуспешно попробовав еще пару раз и учитывая время, которое проходит до момента пока билет разблокируется, за этим занятием я провел около 3 часов! У меня даже зародилось сомнение, что может быть высшие силы таким образом подсказывают мне, что лететь этим рейсом не надо. Поэтому я  начал искать альтернативные варианты. Поскольку в Москве была еще не совсем ночь, я попросил своего товарища в банке-эмитенте посмотреть причины отказа и через несколько минут он ответил, что в авторизационной системе был зафиксирован только один первый запрос, который был отвергнут сработавшим лимитом и никаких других авторизационных запросов ни по одной моей карте больше не поступало. Из этого стало понятно, что проблема очевидно на стороне ChronoPay, о чем я и написал в службу поддержки Трансаэро. Параллельно я нашел и без проблем купил прекрасный билет даже чуть дешевле с пересадкой в Риме и возможностью выбрать длинную стыковку и провести весь день в Вечном городе, где я никогда до этого не был.

Трансаэро ответили менее чем через час, запросив маскированные номера карт, чтобы свериться с ChronoPay. Еще менее чем через час (несмотря на то, что в Москве был уже час ночи, надо отдать должное саппорту Трансаэро) я получил следующий ответ, поразивши меня в самый мозжечок:
Читать полностью »

Мой коллега пожаловался на Альфу, клиентом которой он стал в числе тех ~20% клиентов “Северной Казны”, которых Альфе удалось конвертировать в своих при “санации” (более похожей на грабеж). Тогда он польстился на кобренд с Аэрофлотом и конвертировал подаренную ему прежним менеджментом Казны Gold`у в Альфовский пластик, которым пользуется преимущественно в командировках. Теперь он просит у меня совета в какой бы более клиентоориентированный банк податься. Далее с его разрешения привожу письмо ко мне (содержащее также переписку с Альфой, выделенную курсивом):

обращение в Альфу: Добрый день! Я постоянно езжу в командировки за границу и 100% срабатывает правило “транзакция в двух странах в течение 24 часов” (ну или около того). Могу точно угадать, когда мою карту заблокируют. С утра расплатился в гостинице в одной стране, затем в промежуточном аэропорте что-нибудь покупаешь и – привет SMS с предложением позвонить в банк из роуминга. Раньше можно было звонить заранее, называть период нахождения за рубежом, и эта проверка отключалась, сейчас – нет (в последний раз девушка мне сказала, что вы перестали принимать такие заявления). Я владелец золотой карты в вашем банке, по счету проходят приличные суммы, постоянно использую карту при расчётах. Мне пора менять банк? В прошлый раз здесь вы сказали, что в альфа-клике появится возможность устанавливать такой “грейс период”, а теперь, как я понимаю, этого не будет. Вы делаете использование вашего сервиса крайне неудобным и дорогим. В других банках с клиентом хотя бы сами связываются и выясняют фрод ли это. Как я могу решить данную проблему?

Ответ банка из серии «Я ему про Фому, а он мне про Ерёму»:
Читать полностью »

У меня дошли руки внимательно прочитать ФЗ 161 “О национальной платежной системе”, который был подписан 27 июня 2011 года, а опубликован в РГ 30 июня 2011 года (от этой даты и считаются отсрочки по введению в силу отдельных положений закона). Некоторые особенно важные для банков (и процессоров), а также клиентов моменты я выделю:

Пункт 5 статьи 8 обязывает оператора не позднее следующего дня отправить клиенту уведомление об отказе в совершении операции, если причиной отклонения стала некорректная идентификация клиента (например неверный PIN) или неверные реквизиты платежа.

Пункт 3 статьи 9 обязывает до заключения договора уведомить клиента о всех особенностях использования электронного средства платежа, включая любые ограничения (места и способы) на его использование и факторы повышенного риска.

Пункт 4 статьи 9 (вступает в действие в 2013 году) обязывает уведомлять клиента о каждой операции «в порядке, установленном договором с клиентом», т.е. в принципе это может быть и регулярная выписка, не обязательно SMS уведомление. Но с учетом пункта 15 статьи 9 банк заинтересован оперативно выявлять фрод и не использовать ресурс клиентского антифрода глупо.

Пункт 8 статьи 9 (вступает в действие в 2013 году) обязывает рассматривать заявления клиента в 30 дневный срок (60 дней для трансграничных операций).

Читать полностью »

Вот такое красиво оформленное письмо с не менее красивого почтового ящика Verified by Visa (за которым, кстати, скрывается красивейший адрес все ж таки с доменом Visa activations@verfiedbyvisa-usa.visa.com) получил сегодня утром:

Verified by Visa protects your existing Visa card , giving you assurance that only you can use your Visa card online.

Simply activate your card and make it protected. You’ll get the added confidence that your Visa card is safe when you shop at participating online stores.

You may activate now by entering your card number over our secure server. If your card issuer is participating in Verified by Visa (most issuers are) you’ll complete a brief activation process. You’ll verify your identity, create your Verified by Visa new protection and you’re done..

Читать полностью »

Товарищ из регионального банка на днях вернулся из США и помимо восторгов, связанных с хайвеями, поделился тем, что все банкоматы там очень старые. “Они не гонятся за понтами, как наши банки” сказал он.

А тут попалась информация о том, что VISA наконец-то начала понуждать Штаты к чипизации, ведь до сих пор  самая развитая экономика мира экономила денег на техническом прогрессе и даже в lability shift для нее было сделано исключение. Вот какие меры вводит VISA в рамках реализации программы  Technology Innovation Program, которая призвана обеспечить переход на чип и бесконтактные карты:

• с 1 октября 2012 года торговцы, у которых 75% транзакций по картам VISA приходятся на терминалы, поддерживающие EMV освобождаются от ежегодного аудита по PCI DSS. Обязательным условием освобождение является поддержка не только чипов, но и бесконтактных операций. В этом случае торговцу достаточно просто заявлять, что оне хранит критичные данные и его системы соответствуют требованиям стандарта.
• с 1 апреля 2013 года все процессоры обязываются обеспечить прием чипов контактным и бесконтактным образом.
• с 1 октября 2015 года на территории США начинает действовать lability shift, правда владельцам АЗС с автоматизированной оплатой топлива дается отсрочка еще на два года до 1 октября 2017 года.

Про MasterCard удалось найти только то, что lability shift в США вводится по банкоматным операциям с картами Maestro с 19 апреля 2013 года.

Один из банков столкнулся со следующей схемой мошенничества. На 2 их дебетовые карты приходят возвраты покупок из двух десятков различных американских магазинов. Как только деньги зачисляются на счет они выводятся через Интернет-банк и банкоматы, а на следующий день по этим операциям приходят покупки на те же самые суммы. Владельцами карт оказались люмпенизированные элементы, которых пока найти не удалось. После обращения в VISA выяснилось, что по этой схеме обули не только этот  банк.

Сейчас этот банк пытается оспорить эти операции и начал анализировать все операции возврата покупок по своим картам, чего и всем советует.

На днях коллега ни свет ни заря разбудил просьбой срочно помочь подключить большого банковского босса к оперативному решению проблемы: его чиповую карту отскиммили и пока он летел в самолете через московский банкомат Альфы вычистили под 0 за 6 операций. Быстро выяснилось, что банкомат был нечиповым и деньги без особых трений вернут (хвала lability shift), поскольку случай 100% выигрышный. Эмитент пообещал вернуть даже не дожидаясь результатов диспута, но вот проценты за возникший овердрафт банк намерен удержать. Удивительно, что российскую карту обналичили в России же, причем отскиммили карту, как выяснилось, пару месяцев назад в а/п “Борисполь” в банкомате и все это время клон карты искал своего нового владельца.

Коллега у меня везучий: по другой его карте в декабре прошлого года прошла операция покупки в обувном магазине в Штатах, где он ни разу не был и региональный банк до сих пор не вернул ему денег – якобы все в диспутном процессе находится (на Штаты не распространяется lability shift).

Какие выводы я сделал из этой истории (написано в1ую очередь для рядовых картхолдеров):

• выбирайте чиповые карты – шанс вернуть деньги выше;
• подписывайтесь на SMS-оповещения – раньше узнаете о мошенничестве и успеете часть денег спасти;
• выбирайте банк с продвинутым Интернет- и мобильным банком, который позволяет гибко настраивать лимиты активности. Я сразу же в Интернет-банке добавил на все свои карты суточный лимит на количество операций снятия наличных: ситуация когда мне нужно несколько раз снять наличные бывает крайне редко и в случае нужды я могу изменить этот лимит, а мошенники через банкомат много  денег вытащить не смогут. Также я попросил банк добавить два новых типа лимитов: операции в Интернет и операции в других странах (жду пока настроят). В обычное время я буду держать эти лимиты равными 0 и повышать их только собираясь в поездку или при необходимости совершить покупку в сети соответственно;
• оспаривая транзакцию не идите на поводу у банка. Не надо заполнять их форму заявления о несогласии с операцией, в котором обычно написано, что Вы не возражаете смиренно ждать окончания диспута. Пишите свое заявление в свободной форме и там приведите все данные, которые просит банк в своем бланке, а главное, ссылаясь на нормы законодательства, требуйте немедленно вернуть деньги или предоставить доказательства того, что это именно Вы совершали операцию и угрожайте судом. Российское законодательство, к счастью, на стороне клиента, а не банка!

PS для картхолдеров: lability shift (перенос ответственности) – правило международных платежных систем, стимулирующее банки переходить на EMV-карты, суть которого заключается в том, что если транзакция оспаривается и один из банков-участников спорной операции не поддерживал EMV, а второй поддерживал, то по без долгих споров (диспута) признается, что прав EMVшный банк. Таким образом, в данном случае, поскольку карта была EMV, а банкомат в котором получили деньги был не EMV и транзакции делал по магнитной полосе – убыток будет однозначно отнесен плаежной системой на счет владельца банкомата. В случае если бы карта была не EMV, а банкомат был бы EMV случилось бы ровно наоборот. Перенос ответственности не распространяется на передовые американские банки, поэтому мошенническую транзакцию из Штатов отбить гораздо сожнее

В новостной рассылке на прошлой неделе пришло:

RSA: БАНКОВСКИЕ SMS ТОКЕНЫ УЯЗВИМЫ
Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации. Такое мнение
высказали представители компании RSA, сообщает xakep.ru.
Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения. Услуга становится все более популярной, и Commonwealth Bank of Australia отмечает, что 80 проц их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.
В прогнозе на 2011 г RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью. Использование аутентификации с помощью SMS … как дополнительного средства
обеспечения безопасности, добавляет уязвимое место в мобильный канал, – сообщила компания в докладе.  Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать. Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить /токен/, высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника.
Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году. Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение – законное.
Также сказано, что не существует эффективных технологий по предотвращению смишинга.

В России SMS-аутентификация это один из самых популярных способов аутентификации клиентов и подтверждения платежей, поэтому меня это сообщение очень заинтересовало и я обсудил его с коллегами, погруженными в предметную область. Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне.

Таким образом, SMS-аутентификация относительно безопасна на обычных мобильных телефонах, но не безопасна на смартфонах и должна применяться с ограничениями по сумме (чтобы не было экономической целесообразности заморачиваться с подкидыванием троянов на смартфон) и назначениями платежей (например, только платежи по пользовательским шаблонам)

Уже не раз писал, что операторы сотовой связи все больше и больше топчут банковскую поляну. Только этот год порадовал нас следующими новостями:

• МТС и Московский метрополитен представили новый способ оплаты проезда в метро с помощью мобильного телефона;
• Владислав Резник и Юрий Исаев предлагают внести поправки в законы «О банках и банковской деятельности» и «О связи», направленные на «создание правовых условий для развития института мобильных платежей»;
• абонентам стали доступны моментальные денежные переводы (в частности с Билайна в Юнистрим).

А вот сегодняшнее:

Абоненты сотовых операторов смогут оплачивать со своего счета налоги и штрафы за нарушение правил дорожного движения (ПДД). Как стало известно “Ъ”, такой проект уже обсуждается правительством с “Вымпелкомом”, готовы аналогичные предложения для МТС и “МегаФона”. В распоряжении операторов может оказаться многомиллионный рынок новых платежей.

http://www.kommersant.ru/doc.aspx?DocsID=1473657&NodesID=4

Все бы хорошо, если бы делалось ради удобства клиента, но… За последние пару месяцев мне стали известны уже два случая мошенничества с банковскими счетами и выводом денег через оператора сотовой связи. В одном случае украв пару логин/пароль у нескольких клиентов регионального банка, пожмотившегося на предоставление сервиса разовых паролей, все деньги с их счетов были отправлены на сотовый номер Билайна, через который тут же обналичены. В другом случае мошенничество было организовано еще сложнее: человеку приходило SMS “обслуживание Вашего счета временно приостановлено, позвоните по телефону в департамент чего-то там”, человек звонил и ему отвечал “главный специалист Вася” и предлагал “для идентификации” последовать до ближайшего банкомата банка, откуда ему и перезвонить, когда человек звонил от банкомата его чутко вели по меню банкомата до раздела платежи на сотовый номер и предлагали оплатить сумму, равную остатку на счете и “если вы владелец счета и следовательно знаете сумму и она совпадет с реальным остатком, то ваш счет разблокируется” – дальше все ясно…

Что лично для меня удивительно:

1. в 2010 году есть банки, которые предоставляют доступ в Интернет-банк, к активным операциям, идентифицируя клиента только парой логин/пароль
2. есть настолько глупые клиенты, что клюют на все эти дурацкие разводки с блокировкой счетов или участием в лоторее

Позавчера звонил коллега с вопросом не слышал ли я про новое ужасное мошенничество – шимминг. Я не слышал, а сегодня прочитал.

Что-то есть подозрение, что это из разряда птичьего гриппа…