БОЕВЫЕ БУДНИ ВИРТУАЛЬНОГО РЫНКА

Спецвыпуск Xakep, номер #028, стр. 028-070-3

S: С кредитками E-shop имеет дело?

А: Работает. Надо сказать, что это большая головная боль, и дело тут даже не в безопасности. Просто банки - очень громоздкие и сложные структуры, и внедрение новых технологий проблематично. Ну, и, конечно, безопасность - пару раз нас даже обманули, украли деньги. Правда, оба раза мы посадили этих людей.

S: Так, так, интересно! Как это было?

А: В первый раз нас нагрели всего лишь на $20. Человек расплатился ворованной картой, причем понять, что она ворованная, было нельзя, так как в то время не было возможности получить информацию о стране, где была выпущена карта, а также имя владельца карты.

В тот раз мы попросили прислать паспортные данные - обычно те, кто платит "левой" картой, пугаются и ничего не шлют, мы отменяем платеж, - но этот прислал. Мы отправили ему игру. А через месяц мы получили письмо из банка от реального владельца карты о том, что платеж он не совершал. Дело в том, что в течение полугода реальный владелец карты может отменить платеж в случае, если с его карты были списаны деньги, а подтверждающих документов с его подписью нет. Это называется charge back. По нашим законам в этом случае крайним остается интернет-магазин - банк просто списывает деньги со счета (в Штатах на этот случай можно застраховаться).

Этим вопросом занималась я лично. Я пошла в Управление "Р", познакомилась со многими интересными людьми, и мне честно сказали, что со своими двадцатью долларами я могу идти куда подальше, так как на серьезное дело такая сумма не тянет, а мелочью никому заниматься неохота. Заявление я оставила, но особой надежды не было. Но, в конце концов, этого человека все-таки задержали.

Этот случай заставил нас пересмотреть систему безопасности. Сейчас авторизационный центр предоставляет информацию о стране-эмитенте и имени владельца карты, которое вводит покупатель.

S: Что это за авторизационные центры такие?

А: Это такие компании, которые проверяют валидность кредиток (наличие такой карты и денег на счету) и осуществляют транзакцию по картам. Информация о них доступна в Инете. Например, мы работаем с Assist. Ты заключаешь с ними договор и пользуешься их услугами.

S: И сколько это стоит?

А: Вообще, за транзакцию проценты снимает банк, а уж как они делятся с авторизационным центром - это их дело.

S: Как все это работает?

А: Платеж через авторизационный центр можно сделать двумя основными способами: отправить покупателя прямо к ним на сайт, где он заполняет определенную форму (в этом случае ты вообще не знаешь, что там происходит), и предложить ему заполнить форму у тебя на странице, а потом по защищенному протоколу SSL отправить данные в авторизационный центр. Есть еще промежуточные варианты. Мы остановились на втором способе.

Результатом попытки авторизации является мейл. Он содержит электронную подпись и закодированную информацию, которая позволяет определить результат авторизации, успешна она или нет и причину отказа. Плюс данные о стране, где была выпущена карточка и имя ее владельца. Тут все сразу видно: если карта зарегистрирована в США, владелец Джон Смит, а покупатель - Вася Пупкин, то это очень подозрительно. Такие платежи мы сразу отменяем, а человеку, разместившему заказ, сообщаем на мейл, что информация о нем направлена в Управление "Р". Органы мы информируем о подобных заказах, остальное - на их усмотрение.