dibr: формочка

формочка
Или, например, видите вы на сайте вот такую вот формочку (картинка потырена у

nepilsonis@lj, на саму формочку можно полюбоваться на http://javer.kiev.ua/security.php):

     И закрадываются вам в душу подозрения: не является ли эта формочка - мошеннической, нет ли в ней ~~антисемитизма~~ чего-нибудь подозрительного?
     А потом внезапно понимаете: конечно, это очень подозрительная формочка! Ведь в нормальных, неподозрительных формочках, обязательно спрашивают ещё и expiration date! Ну, и cardholder's name, но это, вроде, не особо нужно. Ибо в самом деле - ну кому нужна информация о кредитке с cvv2, но без exp.date - с неё же так даже денег не снимешь.
     Хотя "что это было, Пух?!" - всё равно интересно.

(Добавить комментарий)

	xelenka@lj 2012-07-15 11:23 (ссылка)
	я бы не рискнула проверить (Ответить) (Ветвь дискуссии)

	dibr@lj 2012-07-15 11:27 (ссылка)
	Я тоже. Хотя вероятность что это и правда мошенники - невелика (сайт - чей-то "хомяк для опытов", без exp.date опять же мало что можно сделать). (Ответить) (Уровень выше) (Ветвь дискуссии)

xelenka@lj
2012-07-15 11:38 (ссылка)

чтобы так уверенно говорить о том, есть карта в базах или ее нет, надо иметь доступ к этим "базам злоумышленников". сильно сомневаюсь, что это возможно. так что вряд ли он что-то проверяет (тем более, что он очень шустро сообщает, что карты в базах нет).
а тогда непонятно, что он делает с введенной информацией. может быть, у него где-то в другом месте есть такие же формочки, где проверяют карту по двум другим параметрам. а потом, когда накопится много информации, он будет искать совпадения в своих базах :) (и в жж подбрасывает ссылки, чтобы люди пробовали... и информация копилась)

(Ответить) (Уровень выше) (Ветвь дискуссии)

dibr@lj
2012-07-15 11:44 (ссылка)

Теоретиццки - да, exp.date может извлекаться по каким-то другим каналам (хотя бы банальным подбором - случайный exp.date в пределах года от сегодня с вероятностью несколько процентов подойдёт). И именно поэтому лучше туда всё-таки ничего не вводить :-)

Практиццки - скорее всего это всё-таки прикол вокруг заведомой бредовости формочки (если бы эта "база злоумышленников" стала доступна, первым делом должны были быть заблокированы карточки из этой базы, а после этого можно уже ничего и не проверять) :-)

(Ответить) (Уровень выше)

	nail_helgi@lj 2012-07-15 16:25 (ссылка)
	Все что угодно можно. Имя кардхолдера и дата истечения на самом деле не нужны. (Ответить) (Уровень выше) (Ветвь дискуссии)

	dibr@lj 2012-07-15 16:35 (ссылка)
	Хм. Буду знать, спасибо. (Ответить) (Уровень выше)

	"теперь -находится!" starcat13@lj 2012-07-15 11:28 (ссылка)
	exp. date можно попробовать подобрать по идее, вариантов не так много.. (Ответить)

	dimas@lj 2012-07-15 12:02 (ссылка)
	Фишинг, просто фишинг :) если не путаю потом сливают деньги на счет билайна, например, и все. дату можно подобрать (Ответить)

	heleknar@lj 2012-07-15 13:10 (ссылка)
	а я бы просто подумал, зачем им нужен мой СВВ код для проверки по базам кардеров хватило бы и номера :) (Ответить)

	ext_229571@lj 2012-07-15 13:51 (ссылка)
	Для проведения транзакции exp.date и caldholder name не нужны — их вводят в качестве дополнительной меры идентификации. Но пользователи об этом не знают, поэтому могут ввести данные, думая, что транзакция не пройдёт. (Ответить)

	sheep2k@lj 2012-07-15 15:12 (ссылка)
	Напостить туда скриптом миллиард рандомных номеров, пусть подбирают потом :-) (Ответить) (Ветвь дискуссии)

	getinaks@lj 2012-07-15 19:56 (ссылка)
	Дык, уже сделано =) (Ответить) (Уровень выше)

	sirmaxfrei@lj 2012-07-16 04:02 (ссылка)
	По ip в логах отсеют легко. (Ответить) (Уровень выше)

	vetka_nn@lj 2012-07-16 07:25 (ссылка)
	Exp.date подобрать не так уж и сложно - всего-то максимум 24 варианта. (Ответить)