В который раз про безопасность партнерских денег

Новости нашей системы, а также ваши комментарии, замечания и пожелания...
Аватара пользователя
ivanov
Эксперт
Эксперт
Сообщения: 2192
Зарегистрирован: 20 фев 2006, 19:02
Откуда: Санкт-Петербург
Контактная информация:

В который раз про безопасность партнерских денег

Сообщение ivanov » 18 ноя 2009, 16:38

Любое место, где есть деньги, привлекает внимание мошенников разного рода. МиксМаркет растет, и все больше партнеров зарабатывает в системе все больше денег. Поэтому все чаще возникают неприятные ситуации, когда у партнера пытаются увести заработки, и, к сожалению, мы далеко не всегда можем противостоять таким попыткам.

Такие ситуации можно разделить на два варианта:

Вариант 1. Злоумышленники получают доступ непосредственно к кошельку партнера и выводят из него деньги.

Обезопаситься от такой ситуации партнеры могут двумя способами:
- Перейти на работу по безналичному расчету. Это можно сделать, обратившись в службу поддержки. См. также про регламент вывода денег по безналичному расчету в соответствующем разделе FAQ: http://www.mixmarket.biz/faq/
- Неукоснительно соблюдать рекомендации по безопасности работы с соответствующими платежными системами. См. http://money.yandex.ru/security/ и http://security.webmoney.ru/
Пожалуй, больше ничем мы помочь не можем — заставлять партнеров пользоваться электронными токенами и подобными вещами мы не можем. Да и отследить активность злоумышленников на «чужой» территории — на территории платежных систем — мы никак не можем.

Вариант 2. Злоумышленники получают доступ к аккаунту партнера в МиксМаркете, заменяют кошелек на свой и выводят деньги на него.

С этой ситуацией мы можем и намерены бороться. Собственно, мне известно три ситуации подобного типа, проиошедшие в этом месяце. Две из них удалось предотвратить, одну, к сожалению, мы пропустили.

Как это происходит?

1. Злоумышленник получает доступ к электронному адресу, к которому привязан аккаунт.
2. Злоумышленник восстанавливает пароль от аккаунта МиксМаркета на этот электронный адрес.
3. Злоумышленник заменяет кошельки в аккаунте, получив ссылки-подтверждения на почту.
4. Злоумышленник формирует выплату и уходит с деньгами.

Обратите внимание: этот способ на сто процентов завязан на электронную почту. То есть злоумышленник, получивший доступ к аккаунту, но не получивший доступа к почте, может как угодно накуролесить в вашем аккаунте, но он все равно не получит ваших денег. Для получения денег ему необходим пароль от почты.

Кстати, электронный адрес тоже меняется исключительно с помощью почты.

Вводя такую логику, мы наивно полагали, что уж почту-то партнеры берегут как зеницу ока. Оказалось, что, быть может, и берегут, да только все равно доступ к ней каким-то образом оказывается у злоумышленников, мошенников и прочей сволочи. Иногда после этого злоумышленники ошибаются, например, обращаясь в поддержку с воплями «срочна нада денек вывидите сичас же», и тогда мы обнаруживаем «левую» активность в аккаунте и бьем тревогу. Иногда все проходит тихо, и, как это ни прискорбно, партнер остается без части честно заработанных денег. Такие дела.

Потом, естественно, мы восстанавливаем партнеру доступ к аккаунту и все такое, но деньги вернуть уже практически нереально.

Нынешнее положение дел нас в корне не устраивает. На данный момент я вижу следующее решение:
    Для смены кошелька, емейла или телефона необходимо дождаться одобрения от сотрудника МиксМаркета, который предварительно обязуется почитать логи действий, совершенных в аккаунте, и при малейшем сомнении связаться с партнером и убедиться в том, что это действительно партнер заказал смену кошелька. То есть фактически подтверждение будет двойное — сначала партнер подтверждает, потом сотрудник МиксМаркета проверяет.
Конечно же, это не гарантируют стопроцентной защиты, однако существенно осложняют жизнь злоумышленнику. И в некоторой степени осложняют жизнь партнеру — замена кошелька или емейла/телефона будет требовать значительно бóльшего времени, чем сейчас.

Сразу оговорюсь, что способы добровольной защиты (типа можно включить, а можно и не включать) не рассматриваются. Если дополнительная защита и будет введена, то для всех. Практика показывает, что в «группе риска» находятся именно те, кто плюет на добровольную защиту. Тем, кто ее включает, она, по большому счету, не нужна. 8)

Собственно, вопросы, которые я хочу выставить на обсуждение, следующие:

1. Нет ли у вас идей по поводу других вариантов защиты?

2. Готовы ли вы пойти на такие неудобства ради бóльшей безопасности?
Последний раз редактировалось ivanov 27 янв 2010, 20:16, всего редактировалось 1 раз.
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

andrewnnov
Сообщения: 15
Зарегистрирован: 19 сен 2008, 07:55

Сообщение andrewnnov » 18 ноя 2009, 17:00

Первый этап E-mail
Второй этап отправка кода SMS сообщением. Как в банках делают.
Третий этап (если оба первых этапы успешные) звонок сотрудника Миксмаркета для утверждения смены данных.
Плюс временной буфер - сутки на активацию новых данных после утверждения. После звонка все изменения не возможны в течении суток.

Мое мнение такое.
Я лично готов пойти на любые меры для затруднения манипулирования деньгами третьими лицами.

Аватара пользователя
ivanov
Эксперт
Эксперт
Сообщения: 2192
Зарегистрирован: 20 фев 2006, 19:02
Откуда: Санкт-Петербург
Контактная информация:

Сообщение ivanov » 18 ноя 2009, 17:08

andrewnnov писал(а):Второй этап отправка кода SMS сообщением. Как в банках делают.

С SMS видится следующая проблема: по ощущениям больше половины партнеров не заполнили телефон; кроме того, у многих указан не мобильный телефон. То есть для ввода SMS-этапа нам придется:

(а) заставить кучу партнеров ввести телефон (что, вообще говоря, непросто: единственный реальный способ — «зажимать» деньги, пока не будет введен нормальный телефон)
и
(б) выработать политику «переходного периода» (то есть по сути некоторое время обходиться без SMS).

Короче, мне думается, что SMS — это лишняя морока.

Временной промежуток возникает автоматически из-за того, что я, к примеру, не смогу круглосуточно одобрять смены кошельков. Но это получается задержка не до, а после. Считаете, это принципиально?
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Аватара пользователя
umloki
Эксперт
Эксперт
Сообщения: 575
Зарегистрирован: 20 июн 2007, 10:03
Откуда: Россия
Контактная информация:

Сообщение umloki » 18 ноя 2009, 19:32

лично мне так достаточно "красной надписи" в течении пары суток о том, что произошла смена кошельков или мылов (такое вроде и есть уже) - я в аккаунте раз в сутки (ми-и-инимум) точно бываю и попытку подмены спалю сразу.
Но я и не против дополнительных мер (озвученные выше "про доп. проверку сотрудником" считаю "в меру параноидальными" и вполне даже приемлемыми)... своих предложений сразу в голову не придумывается.
Люблю стабильное разнообразие

Сторож Сергеев
Сообщения: 47
Зарегистрирован: 05 фев 2007, 10:52

Сообщение Сторож Сергеев » 18 ноя 2009, 19:40

В аккаунт могу не заходить неделями. Поэтому я за СМС.
Хотя бы для уведомлений о смене кошелька или email. Пусть в этой СМС будет сразу же контактный телефон Миксмаркета. Чтобы можно было сразу отреагировать при несанкционированном доступе.

Аватара пользователя
Владимир
Сообщения: 58
Зарегистрирован: 16 дек 2008, 18:26
Откуда: Рига Латвия
Контактная информация:

Сообщение Владимир » 18 ноя 2009, 23:58

ivanov писал(а):Для смены кошелька, емейла или телефона необходимо дождаться одобрения от сотрудника МиксМаркета, который предварительно обязуется почитать логи действий, совершенных в аккаунте, и при малейшем сомнении связаться с партнером и убедиться в том, что это действительно партнер заказал смену кошелька. То есть фактически подтверждение будет двойное — сначала партнер подтверждает, потом сотрудник МиксМаркета проверяет.

По моему такой вариант довольно надежный и в общем особых неудобств партнеру не принесет. Вы-же работаете как минимум пять дней в неделю.

А на счет SMS, я вот допустим в другой стране (и думаю не только я) и я сомневаюсь что SMS до меня вообще дойдет.

Markety
Сообщения: 67
Зарегистрирован: 05 окт 2007, 12:54

Сообщение Markety » 19 ноя 2009, 16:18

Для тех, кто не имеет возможности получать SMS, можно хранить в системе какой-то другой способ связи: ICQ, Skype или второй адрес e-mail.
Только надо сделать так, чтобы невозможно было сменить одновременно оба контакта.
Например, для смены одного e-mail надо щелкнуть по ссылке, которая отправляется по другому e-mail. После этого, например, 3-5 дней нельзя сменить второй e-mail

Аватара пользователя
ivanov
Эксперт
Эксперт
Сообщения: 2192
Зарегистрирован: 20 фев 2006, 19:02
Откуда: Санкт-Петербург
Контактная информация:

Сообщение ivanov » 19 ноя 2009, 16:29

Markety, с дополнительными емейлами предвижу дурацкую ситуацию — username@ya.ru и username@yandex.ru
Ну или действительно два разных емейла, но с пересылкой с одного на другой.

Этот вариант мне кажется слишком выморочным. Нормальный use case — у одного человека один емейл.

ICQ, Skype и подобное, увы, точно так же завязаны на емейл — поэтому сильно хуже, чем телефон. 8(
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Аватара пользователя
Программист
Сообщения: 5
Зарегистрирован: 07 ноя 2006, 12:40
Откуда: Киев
Контактная информация:

Сообщение Программист » 19 ноя 2009, 17:12

Есть еще один метод атаки это фишинг. Когда приходит письмо со ссылкой на левый сайт. И там пользователь вводит логин и пароль. Помню был такой у меня случай на доступ к кошельку на яндексе. Но я понял что это фишинг. И отправил письмо в службу поддержки.

Есть 2 варианта как обезопасить пользователей. Первое это сделать активацию смены кошелька и почти с помощью СМС. А телефон только с предоставлением копии паспорта заверенного нотариально.

Второй по моему самый лучший, это реализовать авторизацию с помощью электронных ключей типа э-токен.
Если вы с первого раза сумели написать программу, в которой компилятор не нашел ни одной ошибки, сообщите об этом системному программисту - он исправит ошибки в компиляторе.

Markety
Сообщения: 67
Зарегистрирован: 05 окт 2007, 12:54

Сообщение Markety » 19 ноя 2009, 17:53

ivanov писал(а):с дополнительными емейлами предвижу дурацкую ситуацию

Ну да, дурацкие ситуации можно придумать для любого способа защиты, в любом из таких вариантов будет просвечивать явное желание владельца аккаунта потерять свои денежки :)

Ещё как вариант, например, в webmoney light используется авторизация по сертификату, установленному в браузере клиента. Плюс - нет логинов-паролей, которые можно украсть. Клиенту только остается следить за сохранностью и неприкосновенностью локальной резервной копии сертификата и беречь свой компьютер от посторонних. Минусы: периодическая возня по замене сертификата перед истечением его срока годности и проблемы в случае просрочки обновления сертификата (предвижу дурацкую ситуацию ;) ), а также привязка к компьютеру (-ам), в браузерах которых установлен сертификат.

Аватара пользователя
ivanov
Эксперт
Эксперт
Сообщения: 2192
Зарегистрирован: 20 фев 2006, 19:02
Откуда: Санкт-Петербург
Контактная информация:

Сообщение ivanov » 19 ноя 2009, 18:16

Markety писал(а):Минусы: периодическая возня по замене сертификата перед истечением его срока годности и проблемы в случае просрочки обновления сертификата (предвижу дурацкую ситуацию Wink )
Мне кажется, это критично. Я, например, рад бы иметь возможность отказаться от возни с сертификатами в WM. Ну да не суть.
Markety писал(а):Ну да, дурацкие ситуации можно придумать для любого способа защиты, в любом из таких вариантов будет просвечивать явное желание владельца аккаунта потерять свои денежки
Вот поэтому я и предлагаю полагаться на человека, а не на формализованные процедуры, которые партнеры будут старательно обходить. 8)
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

chuvashorg
Сообщения: 1
Зарегистрирован: 26 дек 2006, 15:49

Сообщение chuvashorg » 19 ноя 2009, 18:50

лично мне без разницы какую доп. защиту введете.
Подтверждение смены кошелька вашим сотрудником — хорошо, но предлагаю ввести еще несколько защит:
* блокировку левых IP (по типу WebMoney) — позволит работать только с указанных IP; подсети и т.п.
* защитить при помощи таблиц случайных последовательностей, которую использует, к примеру, Яндекс.
* ту же СМСку.

И предлагать, к примеру, пользователям выбирать способы защиты своих данных. Пусть выбирает СМСку (номер должен подтверждаться путем отсылки на номер кода), или таблицу случайных последовательностей, или блокировку по IP.

Если кошелек (или e-mail) так критичен, то пусть для его смены будет необходимо дня 3. Отправил заявку на смену — по e-mail отправляется предупреждение, что мол вы хотите сменить данные. Смена данных производится только по истечению 3-х дней. Мошенники обычно не так терпеливы. Обычным людям же смена кошелька нужна ооочень редко. Еще существует опасность, что мошенник может (если имеет доступ к почте) просто удалить письмо.

maxxi
Сообщения: 23
Зарегистрирован: 20 окт 2006, 00:19

Сообщение maxxi » 19 ноя 2009, 22:52

я за дополнительную защиту.
наиболее распространенная, как мне кажется, защита - это привязка к телефону (коды подтверждения на sms). в профиле телефон светить не нужно даже для самого себя. смена мейла и телефона - через код подтверждения.
опционально можно и доп привязку по ip сделать, как у webmoney.
о несанкционированные действиях сообщать sms. :)

urikor
Сообщения: 30
Зарегистрирован: 04 окт 2006, 17:36
Откуда: Donbass
Контактная информация:

Сообщение urikor » 20 ноя 2009, 12:59

Можно перенять опыт с САПы - подтверждение смены чего угодно через размещение текстового файла в корне своего сайта.
Например, меняем кипер - пишем номер нового и старого кипера в текстовом файле (имя которого, кстати, можно спрятать и хранится он будет только у Админов системы) и размещаем этот файл в корне сайта.
Админы проверяют наличие данного файла на серваке клиента.
То же самое и со сменой мыла.
Плюс,можно зафигачить задержку выплаты при смене кипера.

Достоинства данного метода:
1. Простота реализации;
2. Приемлемая надежность - злоумышленнику придется получать доступ к серверу, что не так уж и просто;
3. Даже заполучив доступ к серверу - злоумышленник не будет знать имя текстового файла для размещения изменяемой инфы.

Аватара пользователя
ivanov
Эксперт
Эксперт
Сообщения: 2192
Зарегистрирован: 20 фев 2006, 19:02
Откуда: Санкт-Петербург
Контактная информация:

Сообщение ivanov » 20 ноя 2009, 13:55

urikor писал(а):3. Даже заполучив доступ к серверу - злоумышленник не будет знать имя текстового файла для размещения изменяемой инфы.

А откуда его знает партнер?

Плюс чисто теоретически в Mix-UNI могут быть партнеры без собственных сайтов. 8/
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Ответить