И номер заявки у вас уникален, это все понятно. Вот только хэш может получить любой человек, знающий кошелек отправителя, к примеру. Как применить это непосредственно к вашему сервису — вопрос другой, скорее всего никак, ибо это уже маловероятно, т.е. определить принадлежность сгенерированного кошелька через мерч к вашему обменнику почти невозможно. Однако хэш всё же некорректно называть конфиденциальной информацией. Давайте правильно использовать термины.
Дело в том, что в данном случае у вас получилась связка логин/пароль, где логином послужил номер заявки, а паролем послужил хэш транзакции. Ранее данную аналогия использовалась в текущем топике. Вот только забыли про 2FA, что здесь можно посчитать любым другим запросом инфы, завершающим штрихом в общей картине о личности на том конце... Спросите ФИО, спросите номер телефона, попросите написать человека с указанной в обмене почты, принять звонок и т.п. Вы этого не сделали. Вы должны обеспечивать безопасность клиента, в том числе защищая его от мошенников, так как это ваш потенциальный репутационный риск. Вы его как защитили? Совершенно никак. Может быть даже и не знали про наличие фейков в Телеграм, а может оператор самостоятельно обрабатывает таких "загулявших" (плод моей фантазии). Выходит, что вы совершенно не умник в сфере работы с клиентами и финансами, иначе бы подобной ошибки допущено не было, про компетенцию все выяснили.
1. Администратор обменного пункта обязуется:
Нарушено. Реквизиты по смене заявки были приняты в Телеграм.
2. К участию в мониторинге Bestchange не принимаются:
ПО данного обменника разработано командой BoxExchanger (https://www.boxexchanger.net/), где демо-версия их ПО выглядит следующим образом:
https://www.proexchanger.net/en/?from=YAMRUB&to=XLM
Вот еще пример уже реально работающего обменника на том же ПО, с тем же дизайном:
https://www.xterces.com/ru/?from=CARDRUB&to=BTC
Еще реальный пример, но тут бэкграунд поменяли немного:
https://www.ru-bas.ru/ru/?from=PRUSD&to=P24UAH
Получается, что нарушено и следующее (оригинальное форматирование сохранено)
P.S. еще с прошлой недели обменник находится на технических работах, странное дело. ТС, есть какой-то апдейт?
Если честно, я зарегистрировался на данном форме лишь для написания постов в данный топик, так как захотелось быть не только читателем, но и участником данного обсуждения. Поэтому хочу обратить внимание на следующие факты:
1. Указано в пользовательском соглашении обменного пунка:
Вопрос к обменному пункту: как вы идентифицируете пользователя и принадлежность реквизитов получения именно ему? Запрашиваете у него паспортные данные, просите сфотографировать карту (или с ней)? У вас написано черным по белому, что для соблюдения политики AML (которую вы, к слову, не соблюдаете) такие переводы запрещены.
Если написано, что вы соблюдаете AML, то любой пользователь может быть уверен, что средства получит он, так как даже если он по своей неопытности передает данные по обмену мошеннику, средства мошенник получить не сможет, ибо он — третье лицо, на реквизиты которых у вас переводы запрещены. Как вышло так, что вы запроцессили транзакцию на имя третьего лица?
2.
ТС писал вам в вечернее время, поэтому обращение на почту выглядит не совсем логичным. Где вам быстрее ответят, по почте или в мессенджере? Риторический вопрос. Я бы выбрал второе. А в непонятный контакт он обратился по той причине, что вы не предоставили возможности избежать такой участи.
Пишите в @notoscam (там галочка рядом с ником стоит), со ссылкой на фейковые аккаунты вашего саппорта в Телеграм. Они пометят их как скам.
Кстати, можно ссылку на контакт Телеграм можно оставить в формате ’t.me/username', где username — ваш ID в Телеграм. Клик по такой ссылке приведет к переходу к нужному контакту, без всяких поисков и бубнов.
3.
Да что вы говорите?
Все хэши находятся в открытом доступе, их может посмотреть кто угодно. Где же здесь конфиденциальность? Хэш по своей сути не имеет никакого применения к реальным средствам, поэтому для идентификации хэш транзакции не годится. Он поможет вам идентифицировать клиента, если у вас есть 100500 транзакций в час, где вам нужно вычленить одну из 100500 транзакций на сумму 0.1005 BTC, которых у вас также 100500. Да, вам написали номер обмена, хэш транзы, но достаточно ли это в качестве основания для смены реквизитов получателя? Нет. Вы же система, вы должны быть в некоторой мере “бездушны”, так как есть определенные критерии контроля. Однажды я выиграл довольно крупную сумму в букмекерской конторе, которую пытался вывести себе на карту (с нее я и пополнял счет), так мне весь мозг выели в плане предоставления фотографий, прошлых номеров снятий и т.д. Да, это доставляет неудобства, но это и повышает уровень безопасности. Здесь вы недоработали, это тоже явная ошибка оператора, халатность.
4.
Какая информация содержится в скриншоте электронного кошелька? Хэш, сумма, отправитель, получатель, комиссия и т.п.? Что вам это дает, если все можно проверить по хэшу? Скриншот электронного кошелька дает вам понимание, что кошелек принадлежит непосредственно вам, что вы имеете к нему доступ, причем чаще всего его запрашивают уже после предоставления основных данных по идентификации, чтобы дополнить часть мозаики недостающим элементом. Если по вине отправителя мошенник получил доступ к его Email, то это уже явно вина отправителя, так как он и без передачи каких-либо (по вашему мнению) конфиденциальных данных мог получить доступ к транзакции. Самым лучшим выходом в данной ситуации был звонок на телефон, так как к нему получить доступ значительно труднее, но вы и с почты подтверждения не запросили. Вот и вопросы.
5.
А можно предположить, что оператор самостоятельно “развел” пользователя на данные для смены реквизитов получателя с фейкового аккаунта. Вы с этой стороны вопрос не рассматривали? Если честно, к вам вопросов гораздо больше, нежели к ТС. Аргументы bestchange по поводу покупки аккаунта, манеры общения и т.п., являются притянутыми за уши, но bestchange и не судья, поэтому даже такую позицию можно воспринимать адекватно.
Лично я вижу здесь халатность обменника, а также какое-то месиво в их соглашении и политике приватности:
Обменник берет заявку, переписывает в ней данные с якобы неактуальных. В таких случаях должна оформляться новая заявка, так как в текущей заявке не указаны актуальные данные (в переписке мошенник говорит саппорту обменника, что автозаполнением ввел карту с истекшим сроком действия).
Из их политики противодействия отмыванию средств и незаконным операциям:
Вопрос: как вы определили, что отправитель и получатель – одно лицо?
В своих обязательствах обменник указывает, что нарушает свою же AML политику.
Еще раз вспомним о том, что карта мошенника не Сберовская, а ТС вводил данные карты Сбербанка. Я вижу, что у обменника вывод возможен на Сбер. Тоже вопросов у саппорта не возникло.
Из всего этого следует, что нарушено:
Обменник до сих пор не сделал никаких телодвижений в сторону уменьшения рисков пользователей попасться к фейку, хотя могли бы давно это сделать. Еще эти комменты от Bestchange в формате "оператор посчитал эту информацию достаточной для идентификации". Да с какого такого вообще? Надо было запросить письмо с почты, звонок с указанного телефона, но ничего подобного сделано не было. Обменник явно не заслуживает звание "надежного", там дыры на каждом шагу.
seamonkey, исчепывающее исследование. Прекрасная работа.
Все же у адекватного сервиса не может быть столько негатива от клиентов, а ведь дыма без огня не бывает. Общественное мнение показывает то, что данный обменный пункт не может работать адекватно, в т.ч. и дать хоть какие-либо объяснения, а не очередну отмазу "фрилансер установил". Складывается ощущение, что бч и велспей вообще не разлей вода (только в чем именно?), иначе зачем уважаемому мониторингу (пока еще) держать таких персонажей у себя в списках, так еще и зачастую в топе с резервами по 500к на направление.
Мониторинг обменных пунктов как минимум может брать некий депозит с обменника в качестве страховки. Допустим, по одному направлению обмена – $5k. Есть обменники, которые имеют огромное количество направлений обмена, но с количеством не падает ли качество? Много направлений обмена – оставлй в залог больше, так как и клиентов привлекаешь большее количество. В таком случае мониторинг мог бы гарантировать финансовую безопасность пользователей, либо хоть как-то выровнять баланс. Сейчас у пользователя гораздо меньше рычагов давления, нежели у обменника, а БЧ со своими довольно спорными рулсами не может никак на ситуацию повлиять. Такой известный мониторинг, дающий наверное 80%+ трафика обменкам, а контроля и гарантий – 0.---------- Добавлено 11.04.2020 в 07:39 ----------Также это все бы уменьшило число шлаковых обменников, оставив действительно работающие сервисы.
Почитал топик и состав претензии на bestchange. Что сразу бросается в глаза – наплевательское отношение обменного пункта.
Обменный пункт должен максимально гарантировать безопасность данных пользователя, в т.ч. защищать от действий мошенников (по мере возможностей)
Всем давно известно, что в Телеграм толпы фейк аккаунтов. Идентификатор в данном мессенджере – @username, который можно беспрепятственно установить в качестве Имени аккаунта, выдавая его в поиске. Получается, что нужно быть внимательным, сверять юзернейм с данными на сайте.
Что мог сделать обменник?
– разместить ссылку на их контакт Телеграм
– разместить информацию об имеющихся фейках
– репортить фейков в @notoscam, тогда у фейков будет пометка Scam
– запросить дополнительную идентификацию у клиента (запросить письмо с почты, принять звонок, последние цифры карты из заявки и т.п.)
Что сделал обменник?
– поменял реквизиты получателя по внутреннему ID транзакции и TXID, которые ТС по своей невнимательности предоставил мошенникам
– нарушил правило bestchange, так как принял реквизиты через онлайн-месседжер
– обвинил ТС в мошенничестве
Еще интересно то, что у обменника выплата может быть произведена на карту Сбера, а выплату произвели не на Сбер. Как же так? Вызывает сомнения и вопросы.
Советую ТС продолжать разбирательство. Накатать жалобу на владельца карты (карта принадлежит банку “Уральский банк”). Пусть её заблочат, а может и привлекут к ответственности владельца. Даже если карта принадлежит дропу, то у мошенника будут дополнительные трудности в виде блокировки карты и счета, а также поиска нового дропа, а это все не есть приятно.
