0

«Ростелеком» — хакер?..

Автор: Александр Сальников, опубликовано 20.07.2017 в рубрике Фекальный маркетинг

Постоянные читатели моего уютненького бложика знают, что я довольно долго пользовался ADSL-подключением «Ростелекома». Сервис с каждым днем становился все отвратнее и отвратнее, и я, в конце концов, решил уйти к другому провайдеру.

Эпопея отключения от «Ростелекома» в декабре прошлого года растянулась аж на три полноценные статьи в бложике (начало, продолжение, окончание). Как известно, ADSL подключение живет не само по себе, а использует телефонную линию — проводной телефон я тогда отключать не стал.

Сегодня — дедлайн по оплате проводного телефона за июнь месяц. Памятуя, что у «Ростелекома» все и всегда работает через жопу, я попробовал заплатить вчера. И что бы вы думали?

Нет, у не повис сервер оплаты — для «Ростелекома» было бы слишком много чести, если бы я стал писать о временной недоступности их серверов. Все гораздо интереснее. Посмотрите внимательно на форму оплаты банковскими картами на их сайте:

«Ростелеком» — хакеры? Форма оплаты на сайте. 19 июля 2017 г.

Ничего нового не замечаете? Я заметил: рядом с вполне естественными и обязательными полями номера карты, имени владельца и номера лицевого счета появилось еще одно — номер сотового телефона. Новое поле обязательное — пока его не заполнишь, на следующий шаг процедуры оплаты не перейдешь.

Номер телефона обычно спрашивают интернет-магазины, причем всегда — вместе с адресом. Делается это, во-первых, для выборочного прозвона ордеров на предмет мошенничества (детали раскрывать не буду), во-вторых — для оперативной связи с клиентом в день доставки. Зачем оператор спрашивает номер телефона, да еще и сотового — непонятно. Номер проводного есть в базе — звони и проверяй по самое нехочу.

Так и не додумавшись до истинного предназначения этого поля, я стал звонить в службу поддержки. Оказалось, что нужно вводить не просто номер сотового телефона, а именно тот, к которому привязана банковская карта, которой я пытаюсь заплатить. Sic! Немного офигев, я задаю еще два вопроса: «Нафига?» и «Как отключить?»

Ответ на второй был настолько предсказуем, что я предлагаю вам догадаться об его содержимом с одного раза — бинго!!! да, вы правы: отключить эту хрень нельзя, иначе бы «Ростелеком» был не «Ростелекомом». А вот почему нельзя — это ответ на первый вопрос «Нафига?»

Приготовились? Рассказываю: на указанный в форме номер сотового телефона придет проверочная SMS-ка от моего банка. В SMS-АН будет код, который нужно будет ввести на следующем шаге процедуры оплаты.

Сказать, что я окончательно офигел, значит, не сказать ничего. Описанная девочкой выше процедура — это процедура «3D Secure» для защиты банковских карт от мошеннических транзакций. Точнее — один из конечных вариантов ее реализации, основанный на привязке сотового телефона и кодах, присылаемых в SMS.

По правилам «3D Secure», номер телефона должен знать только клиент и банк. Получатель платежа НЕ ИМЕЕТ права спрашивать номер, банк во время оплаты — тоже. Номер телефона задается во время визита в банк и дальше система просто шлет на него SMS-ки с кодами, ибо предполагается, что человек сам помнит, какой номер к какой карте привязан, а мошенники этого не знают. Ну и код из SMS-ки можно вводить только на сайте банка — для этого процедура оплаты должна предусматривают временную переадресацию на сайт банка и последующий возврат на сайт получателя платежа.

А еще «3D Secure» можно реализовывать через электронную почту, через скрэтч-карту кодов и через дополнительный пароль — все эти коды вводятся тоже на сайте банка, но привязки к номеру телефона нет. Кроме того, защита «3D Secure» является опциональной — клиент ее может просто не включить при получении карты, а банк может вообще эту технологию не поддерживать. Использовать для данной транзакции проверку «3D Secure» или нет, решается путем направления специального запроса платежной системе. Если система сразу провела тразакцию и выдала положительный ответ — значит, дополнительная проверка не нужна. Если система потребовала еще одну проверку, то клиент направляется на сайт банка — и не абы какого, а которого платежная система укажет. Что будет делать на сайте банка клиент, даже платежная система не должна знать, не то что получатель платежа.

Процедуры эти очень и очень подробно описаны в технической документации платежных систем. В то, что специалисты «Ростелекома» эту документацию не читали, я никогда не поверю — карты на своем сайте они принимают уже лет пять, и процедура «3D Secure» у них раньше была реализована правильно и работала со всеми типами проверочных кодов, а не только присылаемых через SMS. Теперь возникает вопрос: зачем «Ростелеком» хочет знать номер привязанного к карте телефона и присланный в SMS-ке проверочный код? Единственное разумное объяснение — кто-то хочет взломать банковские системы безопасности и уводить деньги со счетов клиентов. Видимо, дела в «Ростелекоме» идут настолько плохо, что компания решила таким образом «подзаработать».

Проблему я решил: заплатил не картой, а через свой интернет-банк — несколько лишних телодвижений, зато моя банковская карта осталась в безопасности. По поводу такой попытки взлома надо бы написать заявление «К»-шникам — посмотрим, как «Ростелеком» будет отбрехиваться. А пока всем, кого угораздило связаться с конторой под названием «Ростелеком», настоятельно рекомендую картой не платить — лучше уж по старинке, кэшем через сберкассу. Ну а внутренний голос мне подсказывает, что пришла пора от «Ростелекома» отключаться — окончательно и бесповоротно…

Не забывайте лайкать:

Добавить комментарий

Copyright © 2013 – 2018 Александр Сальников Все права защищены.
Сайт использует тему «Деск Месс Мирроред» из «Бай Нау Шоп». | Соглашение об использовании сайта.