Ինչպես ստուգել կայքի անվտանգությունը ժամանակին

Նույնիսկ «հայտնի» կայքերը թույլ տեղեր ունեն 'կեղծ վճարովի ձևեր, ֆիշինգի օրինակներ, քարտերի արտահոսքեր սխալ արդյունքի պատճառով։ Ներքևում կարճ և ընդլայնված չեկ թերթիկներ են, որոնք կօգնեն արագ գնահատել ռիսկերը վճարելուց առաջ և չթողնել այդ հարձակվողներին։

60 վայրկյան էքսպրես չեկ (առնվազն, որ պետք է անել)

1. Հասցեային տող 'տիրույթ առանց սխալների/ենթատեքստ (օրինակ ՝ "brand. com ', ոչ թե' brand. com 'նման խորհրդանիշներով)։

2. HTTPS-ը և «ամրոցը» 'միացումը կոդավորված է։ Ամրոցը հաստատեց ազնվության երաշխիքը, բայց առանց նրա, անմիջապես հեռացեք։

3. Տիրույթի համընկնում 'վճարովի ձև բրենդի կամ հայտնի PSA (վճարովի պրովայդերի) վրա։

4. 3DS2/կենսաչափություն 'քարտեզի ավելացումով բանկը պահանջում է ապացույց (SMS/հավելված/կենսաչափություն)։

5. Տեսողական անհամապատասխանությունները 'օրֆոգրաֆիկ սխալներ, տարօրինակ շրթունքներ/լոգոն, պիքսելային իկոնիկները' կանգ առնելու պատճառ։

6. Քաղաքական գործիչը։ Բացվում են, ընթերցվում, դատարկ մողեսներ չկան։

Եթե ինչ-որ բան դուրս չի գալիս դրանից, մի մուտքագրեք քարտեզի/դրամապանակի տվյալները։

Ընդլայնված չեկի թերթ (5-7 րոպե)

1) Զննարկիչներ և հավաստագրեր

HTTPS 'պետք է լինի վճարման բոլոր քայլերում, ներառյալ ռեդիրետները։

TFC-ի հավաստագրությունը 'գործող, տրված է հայտնի հավաստագրման կենտրոն։ տիրույթի անունը համընկնում է։
HSTS: Կրկին զանգահարելիս կայքը անմիջապես ստիպում է HTTPS-ը (զննարկիչը չի տալիս բացել HTTP տարբերակը)։
Ոչ «mixed content», վճարային էջի վրա չպետք է լինի անսահման ռեսուրսներ (նկարներ/ջութակներ HTTP-ով)։

2) Դոմենը և բրենդը

Տարիքը և տիրույթի պատմությունը 'կասկածելի «երեկ գրանցվել է»։

Մեկ բրենդը 'կայքի տիրույթը, գրասենյակը և աջակցությունը համաձայնեցված են (ոչ թե տարբեր գոտիներից խառնաշփոթ)։
Կոնտակտներ ՝ իրական հասցեն, յուրը։ անունը, INN/ռեգնոմեր (finserviss/kasino - լիցենզիայի տվյալները)։

3) Վճարովի վարքը

Հոստինգը ձևերի

Ներկառուցված iFrame-ից PBS-ից կամ redirect PSA-ի տիրույթի վրա նորմալ պրակտիկա է։

Հիմնական կայքում քարտեզի մուտքագրման դաշտը առանց iframe-ի ռիսկի է (օպերատորը «տեսնում է» PAN/CVV)։
Tokenization: Կայքը հստակ գրում է, որ քարտեզների տվյալները պտտվում են և չեն պահվում։
Դաշտերի սահմանափակումները 'մուտքագրման դիմակները, JS-ի տեղադրման արգելքը, BIN-ի ավտոմեքենան' կենդանի հակաֆրոդ տրամաբանության նշաններ։
Մեքենայի պահպանման բացակայությունը 'զննարկիչը չի առաջարկում «պահել գաղտնաբառը» քարտեզի/դրամապանակի շրջանակներին։

4) Ստանդարտներ և վերահսկողություն

PCI DSS (քարտեզների համար) 'նշումը հասցեների և ովքեր իրականում մշակում են PAN-ը։

SCA/3DS2 'բանկի միջոցով երկֆակտորային ապացույց։
AML/KYC: Կանոններում հիմնական ստուգումները նորմալ են, ոչ թե «բյուրոկրատիա»։
Վերադարձի և վեճերի քաղաքականությունները, հստակ սահմանված են ժամկետներն ու կարգը։

5) UI/UX մելոուչները, որոնք հաճախ ֆիշինգ են տալիս։

Տարբեր տառատեսակներ և «փխրուն» մղձավանջներ մեկ տողի վրա։

Կոճակները առանց հովիվների/վիճակների (մոխրագույն «նկարներ» կենդանի կոճակների փոխարեն)։
Կոտրված ռուսական միգրանտներ, տարօրինակ արժույթ/ժամ գոտի։
«Վճարեք 2:59, հակառակ դեպքում ամեն ինչ անհետանում է» 'ճնշում և մանիպուլյացիաներ։

Վճարների վճարման առանձնահատկությունները

Բանկային քարտեզներ

3DS2 պարտական է։ Լրացուցիչ հաստատում չկա 'բարձր ռիսկ։

Մի լուսանկարեք քարտեզը և մի ուղարկեք PAN/CVV-ը «աջակցության»։

Քարտեզի պահպանումը միայն այն դեպքում, եթե պրովայդերը աջակցում է հոսանքներին, և դուք վստահում եք կայքին։

Էլեկտրոնային դրամապանակներ/տեղական մեթոդներ

Լոգինը միայն դրամապանակի/բանկի պրոֆիլում է, ոչ թե վաճառողի կայքում։

Ռուսական լիմիտները և պաշտպանությունները նախքան հաստատումը։

Cryptocurrency

Ցանցը և հասցեն պետք է ճշգրիտ համընկնեն նշված (TRC20/ERC20/BTC/LN)։

Հիշեք 'գործարքները անպատասխանատու են։ պարտքի/գումարի կրկնակի ստուգումը պարտադիր է։

Վճարեք կաստոդալ ծառայության միջոցով, ստուգեք նրա հեղինակությունը և KYC-ը։

Կարմիր դրոշները (անմիջապես կանգառ)

Ոչ HTTPS-ը կամ բրաուզերը պտտվում են հավաստագրի վրա։

Տպագրությամբ/փոխարինելով խորհրդանիշները, «հայելին» առանց բացատրության։
Քարտեզի դաշտերը գտնվում են կայքում առանց ակնհայտ iFrame/PMS-ռեդիրեկտի։
Նրանք պահանջում են քարտեզի նկարը երկու կողմերից և անձնագիր մեկ նամակում «արագացնելու համար»։
Նրանք խոստանում են «առանց KYC», «ցանկացած երկիր առանց սահմանափակումների», «0 տոկոսը միշտ»։
Նրանք գրում են «թարգմանեք անձնական քարտեզին/ղեկավարի դրամապանակին»։

Ի՞ նչ անել, եթե կասկածում եք

1. Կանգ առեք։ Մի մուտքագրեք որևէ տվյալներ։

2. Լվացեք ձեր տիրույթը ձեռքով, գնացեք կայք տեղադրելու կամ զրոյից փնտրելու միջոցով։

3. Բանկի գրասենյակը/դրամապանակը 'արդյո՞ ք հեղինակային իրավունքի անավարտ հարցումներ չկան։

4. Հարցրեք աջակցությունը (կարճ և դեպքում), ով է իրենց վճարովի պրովայդերը և կա՞ արդյոք PCI DSS/3DS2։

5. Վճարեք այլընտրանքային 'ստուգված դրամապանակի միջոցով/PSA; խուսափեք P2P անձնական քարտերից։

6. Տեղեկացրեք բանկին ցանկացած կասկածելի հեղինակային իրավունքի դեպքում, վերադարձրեք քարտեզը PAN/CVV արտահոսքի ժամանակ։

Մինի քաղաքականությունը իր համար (ձևանմուշ)

Միայն HTTPS-ում, 3DS2/SCA-ից և թունավորումից։

Ես չեմ փոխանցում PAN/CVV/seed արտահայտությունները նամակով կամ զրույցով։

Ես պահում եմ քարտերը միայն ստուգված պրովայդերների մոտ։
Crypta-ը whitelist հասցեներ է և 2FA-ն, մի փոքր թեստային թարգմանություն մեծ գումարից առաջ։
Ամենափոքր կասկածով 'մեկ այլ մեթոդ/մեկ այլ կայք։

FAQ (կարճ)

Ամրոցը հասցեային տողում երաշխավորում է անվտանգությունը։

Ոչ։ Այն միայն խոսում է միացության կոդավորման մասին։ Կայքը դեռ կարող է ֆիշինգ լինել։

Ռեդիրեկտը վճարովի տիրույթի վրա նորմալ է։

Այո, եթե տիրույթը հայտնի PSA-ն է։ Ամենակարևորը 'ստուգեք հասցեն։

Աջակցությունը խնդրում է քարտեզի տվյալները «արագ ստուգման համար»։ Տվե՞ լ։

Երբեք։ Աջակցությունը չպետք է տեսնի PAN/CVV-ը։

Անվտանգ վճարումը մի քանի պարզ կանոնների կարգապահությունն է 'ճիշտ օրենքը, HTTPS/հավաստագիրը, 3DS2/SCA-ը, PSA-ի տեսանելի աշխատանքը և էկզոտիկ խոստումների բացակայությունը։ Րոպեի ստուգում կատարելով ամեն անգամ, դուք փակում եք ֆիշինգի 90 տոկոսը և վճարովի տվյալների արտահոսքը։