Support us

Нацбанк увидел в истории с О!плати мошенничество, но это не точно

Помните материал про то, как dev.by тестировал приложение О!Плати и выяснил, что оно пропускает платежи с неправильными CVV и 3D Secure? После его выхода банк-эквайер Белинвестбанк пообещал нам подготовить «официальный ответ» (разработчик — компания  LWO — ничего не обещала). Мы его ждали, но не дождались: как выяснилось из общения с пресс-службой, подготовленный ответ ушёл в Нацбанк.

Почему «Белинвестбанк» нам его не продублировал, мы толком не поняли: возможно, потому что мы не предоставили ФИО читателя, которые запросила пресс-служба. Почему банк стал отвечать финансовому регулятору, тоже непонятно. Очевидно, после публикации в Белинвестбанк пришёл некий запрос. 

Оставить комментарий

Помните материал про то, как dev.by тестировал приложение О!Плати и выяснил, что оно пропускает платежи с неправильными CVV и 3D Secure? После его выхода банк-эквайер Белинвестбанк пообещал нам подготовить «официальный ответ» (разработчик — компания  LWO — ничего не обещала). Мы его ждали, но не дождались: как выяснилось из общения с пресс-службой, подготовленный ответ ушёл в Нацбанк.

Почему «Белинвестбанк» нам его не продублировал, мы толком не поняли: возможно, потому что мы не предоставили ФИО читателя, которые запросила пресс-служба. Почему банк стал отвечать финансовому регулятору, тоже непонятно. Очевидно, после публикации в Белинвестбанк пришёл некий запрос. 

Важно! Сразу после публикации разработчик стал исправлять обнародованные «баги». Буквально через день в Support chat приложения посыпались жалобы от пользователей, которые не могли пополнить счёт с карт других банков, так как у них не была подключена функция 3D Secure. Проблемы возникали и у тех, кто вводил смс-код, но это детали: главное, что компания-разработчик сразу стала внедрять защиту. Как и было обещано обеспокоенному нашей публикацией пользователю:

Что касается отсутствия верификации CVV/СVC, этот пробел тоже вскоре устранили. Примерно через неделю после публикации dev.by снова потестил приложение и выяснил: платежи с «липовыми CVV» больше не проходят, 3D Secure работает. Хотели сразу сделать позитивную заметку, но решили дождаться комментария банка-эквайера. 

Когда узнали, что ответ, минуя dev.by, ушёл в Нацбанк, обратились туда с вопросом, что думает регулятор об описанной ситуации. И было ли какое-то влияние Нацбанка на исправление работы приложения?

Пришёл такой ответ:

«Сервис «Оплати» функционирует с использованием электронных денег. Банк-эмитент электронных денег в соответствии с Правилами осуществления операций с электронными деньгами (постановление Правления НБРБ от 26 ноября 2003 г. N 201) направляет в НБРБ правила работы данного сервиса (при создании и при внесении изменений). Анализ данных правил показал их соответствие требованиям, установленным НБРБ. При поступлении в НБРБ обращения в банк-эмитент электронных денег «Оплати» был направлен соответствующий запрос.

По результатам рассмотрения представленной банком информации можно сделать вывод о том, что операции пополнения электронных кошельков с использованием банковских платёжных карточек (далее — БПК) третьих лиц, описанные в обращении, в соответствии с Инструкцией о порядке совершения операций с банковскими платежными карточками, утвержденной постановлением Правления Национального банка Республики Беларусь от 18.01.2013 № 34 (в ред. постановления Правления Национального банка Республики Беларусь от 18 мая 2020 г. № 155) (далее — Инструкция 34), рассматриваются Банком как операции, не санкционированные держателем БПК. Следовательно, в описываемых в обращении действиях можно усматривать заведомо мошеннические действия по отношению к держателю БПК, так как, согласно Инструкции, её использование должно осуществляться только держателем БПК.

При регистрации электронного кошелька пользователь проходит идентификацию в соответствии с законодательством и локальными правовыми актами банка-эмитента электронных денег «Оплати», следовательно, данный банк-эмитент идентифицирует клиента, зарегистрировавшегося в приложении. Далее, если клиент пытается пополнить свой кошелёк с БПК, эмитированной данным банком, то проверка CVC/CVV не требуется, в связи с чем передача информации со значением CVC/CVV в авторизационном запросе не производится. 

Настройки обработки авторизационных запросов производятся как на стороне банка-эмитента БПК, так и на стороне банка-эквайера. Так как банк-эмитент электронных денег «Оплати» не передаёт значение CVC/CVV, отказывать или одобрять операцию решает банк-эмитент БПК. Учитывая факт обращений клиентов, можно утверждать, что банки-эмитенты БПК произвели соответствующие настройки обработки авторизационных запросов.

НБРБ по результатам анализа информации от банка-эмитента электронных денег «Оплати» была проведена проверка функционирования сервиса, по результатам которой выявлено, что операции пополнения электронного кошелька с использованием БПК, эмитированных банками-резидентами, производятся с применением технологии 3D Secure».

Если вчитаться внимательно, можно сделать такие выводы:

  • банк-эквайер значение CVC/CVV не передавал, а то, что такие платежи проходили, — ответственность банков-эмитентов БПК;
  • 3D Secure на момент проверки Нацбанка уже работала;
  • сама проверка функционала стала результатом некоего обращения в Нацбанк. 

dev.by не удалось выяснить, кто и на что пожаловался в Нацбанк. Это точно были не мы. 

Может, это был наш читатель, который написал dev.by о небезопасной работе приложения? Вряд ли. Ведь в обращениях нужно указывать полное имя, а оно, судя по всему, никому не известно. По крайней мере, в Белинвестбанке всё ещё хотят знать, как зовут нашего читателя. Зачем? Для проверки.

— Если человек признается, что он пытался незаконным образом… — предположили в пресс-службе банка. — Все мы читаем договоры с банками при получении платёжной карты. Если человек пытается провести мошеннические действия, зачем он это делает?

На уточняющий вопрос, хотят ли читателя обвинить в мошенничестве, в пресс-службе ответили отрицательно.

Сравним с ответом Нацбанка: «Следовательно, в описываемых в обращении действиях можно усматривать заведомо мошеннические действия по отношению к держателю БПК, так как, согласно Инструкции, её использование должно осуществляться только держателем БПК».

О чём речь? Вероятно, о том, что, по словам нашего читателя, он пополнял счёт приложения с карты брата. Других версий у нас нет. Из контекста письма следует, что никакого конфликта между братьями из-за платежей нет — возможно, брат в момент операций находился рядом и тоже удивлялся зачислениям с неправильными CVV и без 3D Secure. Не исключено, что брат был придуман читателем, чтобы подчеркнуть риски — проведение платежей возможно и с карт третьих лиц. Мы этого не знаем — нам важно было другое: отсутствие верификации CVC/CVV и 3D Secure, в чём мы убедились сами.

Сейчас самое важное — то, что проблема решена. Помощь «нечестного» читателя оказалась очень кстати.

О!плати — платёжный сервис для мобильных устройств, разработанный компанией LWO в сотрудничестве с Белинвестбанком. В основе лежат электронные деньги, работает с использованием QR-кодов. Приложение позволяет оплачивать проезд в общественном транспорте в регионах Беларуси, платить в подключенных точках продаж, хранить карты лояльности, переводить деньги другим пользователя системы и др. Этим летом сервис стали тестировать в минских маршрутках и троллейбусах, к сентябрю его планируется распространить на весь общественный транспорт Минска.

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
Как разработчик в Польше работал курьером (но потом всё получилось)
Как разработчик в Польше работал курьером (но потом всё получилось)
Как разработчик в Польше работал курьером (но потом всё получилось)
@dzikpic, канал для айтишников в Польше, рассказал историю Александра. Перед тем, как попасть в польскую компанию, он два месяца доставлял еду в Glovo. Каково это — ездить на велосипеде по 10-12 часов в день и почему маникюрщица зарабатывает больше разработчика.
15 комментариев
Айтишник купил дом в Польше. Как получить разрешение в 2023, когда отказов больше
Айтишник купил дом в Польше. Как получить разрешение в 2023, когда отказов больше
Айтишник купил дом в Польше. Как получить разрешение в 2023, когда отказов больше
@dzikpic, канал для ИТ-экспатов в Польше, рассказывает историю белорусского айтишника, который купил дом в Гданьске, с комментариями эксперта. Обсудить историю можно в чате.
12 комментариев
Belka Games уволила сотрудников в Беларуси, России и Литве
Belka Games уволила сотрудников в Беларуси, России и Литве
Belka Games уволила сотрудников в Беларуси, России и Литве
22 комментария
Российская «Леста» стала 100%-м собственником «Гейм Стрим»
Российская «Леста» стала 100%-м собственником «Гейм Стрим»
Российская «Леста» стала 100%-м собственником «Гейм Стрим»

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.