Αξιοπιστία συστήματος online πληρωμών

[datahell]

Θα ήθελα να παραθέσω ένα προβληματισμό και όποιος έχει γνώμη ή εμπειρία στο αντικείμενο ας καταθέσει τις απόψεις του.

Ασχολούμαι με τη δημιουργία ενός συστήματος Online πληρωμών και πειραματιζόμενος μου ήρθαν περίεργες σκέψεις...

Κατά αρχάς η πιστοποίηση ότι μία πιστωτική κάρτα είναι έγκυρη ή όχι βγαίνει με βάση ένα έλεγχο ελαφρά διαφορετικό για κάθε τύπο κάρτας. Τέτοια script-άκια υπάρχουν πάμπολα στο Internet και η μέθοδος ελέγχου της κάρτας είναι γνωστή.

Πειραματίστηκα αντιστρέφοντας τη διαδικασία και φτιάχνοντας έγκυρους αριθμούς πιστωτικών καρτών για όποιο τύπο κάρτας θέλω. Αυτοί οι αριθμοί είναι έγκυροι και κάποιοι από αυτούς ανοίκουν σε πραγματικούς ανθρώπους! Αν εγώ (για οποιοδήποτε κάλο έχω στο κεφάλι μου) αρχίσω να κάνω αγορές τυχαίες και μαζικές με αυτούς τους αριθμούς τι θα γίνει; Θα χρεωθούν πραγματικά οι κάτοχοί τους; Έτσι φαίνεται... Έκανα ένα πείραμα με ένα Online shoppping cart (χρησιμοποιούσε το os commerce) και πέτυχε... Επέλεξα ένα πολύ μικρό ποσό και έναν αριθμό που μάλλον δεν θα ανοίκει σε κανέναν. Ελπίζω να μην χρέωσα κάποιον...

Επίσης έβαλα ένα τέτοιο αριθμό που έφτιαξα στο paypal Και μου τον δέχθηκε. Έχω ένα λογαριασμό Paypal με μία ανύπαρκτη (ή κάποιου άλλου) κάρτα...

Μετά από αυτά απορώ, είναι αξιόπιστη αυτή η μέθοδος ηλεκτρονικών αγορών; Αν τα παραπάνω που έγραψα έχουν βάση τότε θα μπορούσε πραγματικά κάποιος ή κάποιοι να φτιάξουν ένα σύστημα αυτόματων μαζικών αγορών και να κάνουν δεκάδες χιλιάδες τυχαίες χρεώσεις τη μέρα ουσιαστικά καταστώντας παγκοσμίως αυτό το σύστημα άχρηστο σε διάστημα λίγων ημερών...

[babis1]

αυτο δεν γινετε γιατι αντε εβαλες εναν αριθμο καρτας και αντε να υπαρχει πως θα συνδιασεις την ημερομηνια ληξης της καρτας και τον τριψηφιο αριθμο της συγκεκριμενης?δηλ πρεπει να ξερεις 3 διαφορετικα πραγματα για μια καρτα
αριθμο
ημερομηνια ληξης
τριψηφιο κωδικο

[datahell]

Κι όμως τον τριψήφιο κωδικό δεν τον ζητάνε παντού. Στην δοκιμή που έκανα δεν τον ζήτησε (os commerce) και έκανα την αγορά κανονικά.  Άσε που ότι και να βάλεις το δέχεται το σύστημα των shopping carts ή τράπεζα αργότερα (μετά από 1-2 μέρες) μπορεί να το απορρίψει στον έλεγχο που κάνουν αλλά το cart τον δέχεται. Η ημερομηνία λήξης δεν έχει καμία σημασία ομοίως. Απλά να μην έχει λήξει....

[babis1]

τοτε ειναι προβλημα της εκαστοτε τραπεζας και πιστευω οτι αν κανενας διαπιστωση οτι λειπουν λεφτα απο τον λογαριασμο του υπαρχουν τα νομικα περιθωρια να κινηθη εμενα παντως μεχρι στιγμης δεν μου εχει συμβει κατι αλλα οι καρτες που ψονιζω ειναι μικρου πιστωτικου οριου δηλ εως 1000 ευρω και εχω τραβηξει τα 800 ετσι αν γινη κατι το πολυ πολυ να μου παρουν 100 ευρω αλλα μετα ειλικρινα θα με δειτε στα καναλια(σε ολα θα αρχισω με το σταρ που τους ξερω)τωρα ο καθε πολιτης πρεπει να ξερει και πως να προστατευθει.....
τα λεω ολα αυτα γιατι οι online αγορες πρεπει να γινονται απλα δεν ξερω αν καποιοι τροποι ειναι πιο ασφαλεις πχ εγω καποτε που ηθελα να κανω ενα onlineshop συνεργαστηκα με την nova και το μονο που εκανα ηταν ενα λινκ το οποιο εστελνε σε σελιδα της τραπεζας και με ειδικη συμφωνια εναντι 300 ευρω τον χρονο κατοχηρωνε τον ιδιοκτητη και τον διαχειριστη της σελιδας

[ioannis]

Κι εγώ μέχρι τώρα δεν ειχα ποτέ πρόβλημα και χρησιμοποιώ τις πιστωτικές κάρτες πολύ συχνά για πληρωμές. Στο 90% των περιπτώσεων χρειάζετε ο τριψήφιος κωδικός. Στο υπόλοιπο των περιπτώσεων νομίζω οτι δεν υπάρχει κάποιο ρίσκο αφού το αργότερο στην Τράπεζα θα βρεθεί το πρόβλημα.
Το θέμα στην ολη υπόθεση είναι οτι την στιγμή της πληρωμής πρέπει να γίνουν όλα γρήγορα και απλά. Αλλιώς η διαδικασία θα είναι χρονοβόρα και δεν θα την χρησιμοποιεί πολύς κόσμος.
Καί με το paypal δεν είχα ποτέ μέχρι τώρα κακές εμπειρίες.
Δεν νομίζω να μπορεί ο καθένας να κανεί λαδιές ετσι απλά. Στο παρασκήνιο υπάρχει έλεγχος.

Γιάννης

[datahell]

Καλά, εγώ πάντως ψώνισα και από το πλαίσιο.... (δεν έκανα την επιβεβαίωση στο τέλος)
Σταματάω μη βρω και το μπελά μου.

[rentasite]

Μετά από αυτά απορώ, είναι αξιόπιστη αυτή η μέθοδος ηλεκτρονικών αγορών; Αν τα παραπάνω που έγραψα έχουν βάση τότε θα μπορούσε πραγματικά κάποιος ή κάποιοι να φτιάξουν ένα σύστημα αυτόματων μαζικών αγορών και να κάνουν δεκάδες χιλιάδες τυχαίες χρεώσεις τη μέρα ουσιαστικά καταστώντας παγκοσμίως αυτό το σύστημα άχρηστο σε διάστημα λίγων ημερών...

ΔΙΑΒΑΣΤΕ ΣΚΗΝΙΚΟ

Έτος 1999: Είχα μια Mastercard πιστωτική (όνομα τράπεζας δεν λέω). Δεν είχα ασχοληθεί με online payments και ούτε είχα χρεώσει την κάρτα μέσω web, εκείνη την εποχή. ΣΗΜΑΝΤΙΚΟ ΑΥΤΟ!!!!!

Μια ωραία πρωία, μου 'ρχετε το statement και παρατήρησα μια χρέωση 9 USD Dollars. Αν δεν ήταν δολλάρια Αμερικής και ήταν Δραχμές (τότε) ούτε που θα το πρόσεχα για να είμαι ειλικρινής.  Πάω καπάκι στην ΤΡΑΠΕΖΑ, και κάνω αμφισβήτηση του ποσού και ζητάω ακύρωση της κάρτας. Οι υπάλληλοι παρατήρησαν ότι δεν ήταν μόνο αυτή η χρέωση, αλλά θα ερχότανε και μια 2η χρέωση πάλι με το ίδιο ποσό... στο επόμενο statement. Ο μάγκας βλέπετε είχε κάνει τις αγορές του, σε δόσεις 

Παίζανε τα εξής σενάρια:

1) : Έκανα (πραγματικά) χρέωση της κάρτας μου, σε δολλάρια και δεν το θυμόμουν Την αποκλείω εξαρχής. Όπως είπα, τότε δεν είχα καμία σχέση με web payments.
2) : Κάποιος έκλεψε τον αριθμό της κάρτας μου και έκανε την χρέωση. Η κάρτα δεν μου είχε λήψει ποτέ.

Επειδή όμως, στην online χρέωση θα χρειαζόταν ΕΠΙΘΕΤΟ και ΗΜΕΡΟΜΗΝΙΑ ΛΗΞΗΣ (για το CCV ούτε λόγος να γίνεται. Δεν το ζητάγανε εκείνη την εποχή) δεν ήταν λίγο δύσκολο και συμπτωματικό να έχει διαθέσιμα όλα αυτά τα στοιχεία μου ο κλέφτης 

Και προσθέτω και την περίπτωση 3) : Σε κάποιο κατάστημα εδώ στην Ελλάδα, που χρησιμοποίησα την κάρτα, μου κλέψανε τα στοιχεία. Πολύ πιθανό ε? 

Αλλά επειδή έχω ακούσει και έχω δει πολλά, σκεφτόμουν και την περίπτωση (4): Κάποιος υπάλληλος λαμόγιο - της τράπεζας, να έκανε την μπινιά. Αφού θα μπορούσε να έχει άνετα πρόσβαση σε όλα τα παραπάνω δεδομένα.

Απαίτησα εγγράφως, να αντιστρέψουν την διαδικασία χρέωσης και να μάθουν (τουλάχιστον) σε ποιο site έγινε η χρέωση. Στην αρχή δεν ήταν καθόλου συνεργάσιμοι, αλλά τους απείλησα με αγωγές και μηνύσεις τονίζοντας τους την περίπτωση 4, και στρώσανε χαρακτήρα 

Πραγματικά βρήκαν το URL, βρήκαν ότι η χρέωση έγινε ΑΠΟ Αμερική, και (πιθανόν) μέσω μιας γεννήτριας αριθμών  Επισκέφθηκα το εν λόγω site, το οποίο είχε μια λευκή σελίδα, και ζητούσε μόνο username & password  Το τι πούλαγε δεν μάθαμε ποτέ.... ταινίες; gadgets; ναρκωτικά; βιβλία; Δεν την έψαξα τόσο πολύ.

Η επιστροφή των 18 δολλαρίων έγινε, μετά από κάνα 3μηνο  και 'γω έμεινα με κάποιες απορίες:

- Έχοντας κάποιος μια γεννήτρια τέτοια... παράγει τον αριθμό της κάρτας. ΟΚ το δέχομαι. Πως γνωρίζει την ημερομηνία λήξης, το ccv (πλέον), το ονοματεπώνυμο κλπ  Εδώ έβαλα λάθος το επίθετο μου μια φορά, και η συναλλαγή ακυρώθηκε 

- Πόσο ασφαλείς είμαστε πλέον, ακόμα κι αν δεν χρησιμοποιούμε τις κάρτες μας online 


Μετά το σκηνικό αυτό, χρησιμοποιώ Paypal κυρίως. Κι όταν δεν είναι αυτό εφικτό (αχ Ελλάδα!!!) τότε έχω κάνει μια δική μου πατέντα. Εάν θέλει κάποιος να μάθει, μπορώ να κάνω post εδώ.

[eliasan]

Για κάθε "πονηρή συναλλαγή", ο καλός πελάτης έχει το πάνω χέρι.

Μπορεί να κάνει αμφισβήτηση συναλλαγής και να μην πληρώσει το αναγραφόμενο ποσό χρέωσης στην πιστωτική του κάρτα.

Από την άλλη μεριά και η Τράπεζα, επειδή δεν μασά κουτόχορτο, μπορεί να επιβεβαιώσει την φερεγγυότητα τόσο του αγοραστή όσο και του πωλητή και να γείρει την πλάστιγγα ανάλογα. (Μιλώ εκ πείρας. Ήμουν με τους "καλούς")

Μπορεί ο Χ "Γιάννης", να "βρήκε" έναν τρόπο "αγορών", αλλά το χρηματοοικονομικό σύστημα δεν είναι τόσο αθώο ώστε να παραδοθεί στις ορέξεις του τόσο απλά. Υπάρχουν πολλές δικλείδες ασφαλείας μέχρι τελικά το Ν ποσό να μεταφερθεί από τον Χ στον Ψ.

[datahell]

Πρόσεξε Ηλία πιο είναι το πρόβλημα γιατί ούτε εσύ, ούτε οι υπόλοιποι καταλάβατε τη διάσταση που του έδωσα. Το μεγαλύτερο πρόβλημα δεν είναι η πιθανή χρέωση μίας τυχαίας κάρτας. Το θέμα είναι ότι μπορείς να "βομβαρδίσεις" ένα σύστημα (ηλεκτρονικό κατάστημα, τράπεζα κλπ) με χιλιάδες φαινομενικά έγκυρες αγορές τίθοντάς το ουσιαστικά εκτός λειτουργίας. Για φαντάσου να δεχόσουν στο os commerce, x-cart κλπ κλπ 500 αγορές τη μέρα και το cart να σου έλεγε πως ο πελάτης χρησιμοποίησε έγκυρη πιστωτική κάρτα ή να ήταν συνδεδεμένο με μία τράπεζα για άμεση πληρωμή και όλα αυτά τα στοιχεία να πήγαιναν στην τράπεζα και αυτή η τράπεζα να δεχόταν στην ίδια ημέρα αιτήσεις από μερικές δεκάδες ή εκατοντάδες παρόμοια site. Τι θα γινόταν; Για φαντάσου να είχες και ένα σύστημα που αυτόματα μετά την πληρωμή να έδινε κάτι στον πελάτη. Πχ του έδινε ένα ηλεκτρονικό αγαθό που πουλάς. Σε αυτή την περίπτωση ο επιτιθέμενος θα είχε ψωνίσει κιόλας! Τι κι αν η τράπεζα αργότερα μπλοκάρει την πληρωμή. Αυτός θα είχε ήδη ψωνίσει. Θέλετε και ένα άλλο σενάριο; Φτιάχνεις ένα λογαριασμό πληρωμών (οπουδήποτε) και κάνεις εικονικές συναλλαγές από τυχαίες κάρτες προς τον εαυτό σου. Θα χρειαστεί πειραματισμός για να βρεις υπαρκτές κάρτες αλλά θεωρητικά μπορεί να γίνει.

Ο έλεγχος της κάρτας πιστεύω ότι είναι αστείος. Θα πρέπει να υπάρχει μία πιο ασφαλής δικλείδα που να αποδεικνύει τη γνησιότητα της κάρτας και την άμεση ταυτοποίησή της με τον αγοραστή σε πραγματικό χρόνο. Θα χρειαζόταν ένας κωδικός γνωστός μόνο στον αγοραστή με βάση τον οποίο να γινόταν η επαλήθευση τον στοιχείων κατευθείαν με την τράπεζα και όχι με το site. Αυτό θέτει μεγάλα προβλήματα στη σχεδίαση ηλεκτρονικών καταστημάτων και αποτελεί μεγάλη φασαρία αλλά είναι μία ασφαλής μέθοδος.

Παίδες όλα αυτά είναι καθαρά ως προβληματισμός. Δεν είμαι ειδήμων των τραπεζών και των πληρωμών. Απλά αναρωτιέμαι. Το ζητούμενο είναι η αύξηση της ασφάλειας.

[rentasite]

Για φαντάσου να είχες και ένα σύστημα που αυτόματα μετά την πληρωμή να έδινε κάτι στον πελάτη. Πχ του έδινε ένα ηλεκτρονικό αγαθό που πουλάς.

Έχω δει σε ξένα sites, ότι έχουν τμήματα Anti Fraud. Δηλαδή τι επιπρόσθετο έλεγχο κάνουν. Και πως τον πραγματοποιούν;; 

Ο έλεγχος της κάρτας πιστεύω ότι είναι αστείος. Θα πρέπει να υπάρχει μία πιο ασφαλής δικλείδα που να αποδεικνύει τη γνησιότητα της κάρτας και την άμεση ταυτοποίησή της με τον αγοραστή σε πραγματικό χρόνο. Θα χρειαζόταν ένας κωδικός γνωστός μόνο στον αγοραστή με βάση τον οποίο να γινόταν η επαλήθευση τον στοιχείων κατευθείαν με την τράπεζα και όχι με το site. Αυτό θέτει μεγάλα προβλήματα στη σχεδίαση ηλεκτρονικών καταστημάτων και αποτελεί μεγάλη φασαρία αλλά είναι μία ασφαλής μέθοδος.

Ναι, επιπρόσθετη ασφάλεια θα παρέχουν οι κάρτες νέας γενιάς. Θα προστεθεί σε όλα τα ζητούμενα και ο Πρόσθετος Κωδικός Ασφαλείας.

Μία συσκευή θα παράγει (με κρυπτογραφημένο αλγόριθμο) έναν αριθμό μιας χρήσεως μέσω του οποίου πιστοποιείται ότι η κάθε συναλλαγή προέρχεται πράγματι από τον κάτοχο της συγκεκριμένης κάρτας.

[eliasan]

Για φαντάσου να είχες και ένα σύστημα που αυτόματα μετά την πληρωμή να έδινε κάτι στον πελάτη. Πχ του έδινε ένα ηλεκτρονικό αγαθό που πουλάς. Σε αυτή την περίπτωση ο επιτιθέμενος θα είχε ψωνίσει κιόλας! Τι κι αν η τράπεζα αργότερα μπλοκάρει την πληρωμή. Αυτός θα είχε ήδη ψωνίσει.

Στη βάση που το θέτεις έχεις απόλυτο δίκιο.
Σε αυτή την περίπτωση, σίγουρα χαμένος είναι ο πωλητής ο οποίος έχει πέσει θύμα απάτης.

Ο κίνδυνος είναι υπαρκτός και για τις offline αγορές. Η διαφορά είναι ότι online ένας κακός, μπορεί να κάνει τη ζημιά πολλές φορές και πολύ γρήγορα μέχρι να τον αντιληφθούν.

[eliasan]

Έχω δει σε ξένα sites, ότι έχουν τμήματα Anti Fraud. Δηλαδή τι επιπρόσθετο έλεγχο κάνουν. Και πως τον πραγματοποιούν;; 

Ναι, επιπρόσθετη ασφάλεια θα παρέχουν οι κάρτες νέας γενιάς. Θα προστεθεί σε όλα τα ζητούμενα και ο Πρόσθετος Κωδικός Ασφαλείας.

Μία συσκευή θα παράγει (με κρυπτογραφημένο αλγόριθμο) έναν αριθμό μιας χρήσεως μέσω του οποίου πιστοποιείται ότι η κάθε συναλλαγή προέρχεται πράγματι από τον κάτοχο της συγκεκριμένης κάρτας.

Απ' όσο γνωρίζω, ο έλεγχος Anti Fraud προσφέρεται ως ανεξάρτητη υπηρεσία από πιστωτικά ιδρύματα ή payment gateways. Αυτό που πρακτικά γίνεται είναι ο έλεγχος του αριθμού της πιστωτικής κάρτας πριν εξουσιοδοτηθεί η μεταφορά του ποσού. Ο έλεγχος γίνεται έναντι μίας λίστας ύποπτων αριθμών. Αν αυτός βρεθεί να είναι μέσα στη λίστα, τότε δεν επιτρέπεται η χρήση της κάρτας.

Όσο για το δεύτερο, εφαρμόζεται εδώ και καιρό για άλλες υπηρεσίες, όπως online banking, πρόσβαση σε extranet, κ.λπ. Δεν ξερώ αν μπορεί να εφαρμοστεί για όλες τις συναλλαγές με πιστωτικές κάρτες (off line και online), καθώς είναι μέχρι τώρα πρακτικό μόνο στις online.

[rentasite]

Μπορεί να εφαρμοσθεί τόσο για online όσο και για offline. Ακόμα και στα ΑΤΜ μπορεί. Αλλά το κόστος μετάβασης σε μια τέτοια κατάσταση, είναι μεγάλο. Οπότε "ζήσε Μάη μου....." 

[datahell]

Και για τον πρόσθετο κωδικό ασφαλείας έχω μία ένσταση επειδή έχω και πρόσφατη εμπειρία από την alpha που εφάρμοσε παρόμοιο σύστημα. Τι νόημα έχει ο πρόσθετος κωδικός αν ξέρεις το πως παράγεται και μπορείς να δημιουργήσεις εκατομμύρια από δαύτους; Όποιο και να χρησιμοποιήσεις, που να μην έχει ξαναχρησιμοποιηθεί, είσαι οκ. Για να ήταν σωστό το σύστημα θα έπρεπε το σύστημα να σου στέλνει σε ΠΡΑΓΜΑΤΙΚΟ ΧΡΟΝΟ μοναδικό κωδικό κατευθείαν από την τράπεζα. Αυτό θα μπορούσε να γίνει εύκολα μέσω SMS ή ακόμα και με e-mail ή και με μία μορφή προσωπικού μηνύματος σε κάποιο ιδιαίτερο messenger που μας έχει προμηθεύσει η τράπεζα.

Φανταστείτε για την ασφάλεια των site μας, πχ πρόσβαση στη διαχείριση, να χρησιμοποιούσαμε τέτοιες μεθόδους. Θα είχαν χακέψει όλα τα site! Απορώ πως εφαρμόζονται τέτοια συστήματα για πληρωμές. Η προφανής απάντηση είναι ότι απλά η μέθοδος αυτή δεν έχει έξοδα και είναι απλή, οπότε βολεύει τις τράπεζες αλλά και τους κατασκευαστές λογισμικού. Επίσης το όλο στοίχημα βασίζεται στον εκφοβισμό μέσω της ποινικής δικαιοσύνης αλλά και στη σιγή.

[rentasite]

Για να ήταν σωστό το σύστημα θα έπρεπε το σύστημα να σου στέλνει σε ΠΡΑΓΜΑΤΙΚΟ ΧΡΟΝΟ μοναδικό κωδικό κατευθείαν από την τράπεζα. Αυτό θα μπορούσε να γίνει εύκολα μέσω SMS

Σωστός!!!!