Такой себе заголовок — вопрос. Даже не знаю, к чему я пишу этот пост. Мне просто интересно, почему PayPal не проводит доводит расследование явных взломов счетов клиентов до конца. Да, у них есть система разрешения конфликтов, которая работает во всех случаях одинаково — и когда попадается недобросовестный продавец и когда счет человека был взломан и платеж был произведен без ведома владельца счета.
Именно второй случай, с моей точки зрения, должен рассматриваться по другому и должен иметь продолжение.
Почему я так решил и откуда все это, расскажу дальше.
Итак, у нас есть B2B сервис, в котором работают 2 стороны: заказчики и исполнители. Заказчики пополняют свои счета в нашей системе и делают заказы. Исполнители выполняют эти заказы и получают оплату на свой счет в системе а затем выводят деньги на свои счета в различных системах электронных платежей.
Примерно с год назад в наш биллинг мы добавили возможность пополнять счета через платежную систему PayPal. Вот тогда мы и столкнулись с одним из видов обналичивания краденных денег.
Как это происходит?
Кто-то каким-то не совсем честным и законным образом получает доступ к чужому счету PayPal на котором есть средства. После этого он регистрирует на нашем сервиса 2 аккаунта: заказчика и исполнителя. Далее со взломанного PayPal счета совершается пополнение счета заказчика. Затем делается заказ, который выполняется подставным исполнителем. В итоге исполнитель получает деньги и выводит их куда нибудь на электронный кошелек. В итоге взломщик получает деньги со взломанного счета Paypal с достаточно небольшими потерями.
(Внимание! Этот абзац не является призывом к действию или примером для подражания, это всего лишь часть хабрастатьи. За возможно причиненный вследствиe этой статьи ущерб третьим лицам мы никакой ответственности не несем.)
Эту систему мы просекли достаточно быстро, благо платежей через PayPal на тот момент было не так много. Теперь каждый такой платеж берется на контроль с самого начала.
Чем заканчивается подобная ситуация. Владелц PayPal счета рано или поздно просыпается и открывает конфликт, где описывает ситуацию. Понятно, что в данном случае не идет речь о недоставленной покупке или недобросовестном продавце. Налицо взлом воровство денег. И именно в этом месте меня удивляет позиция PayPal. Конфликт разруливается по сценарию недоставленного товара/неоказанной услуги. Нам, как получателю денег, предлагается приложить документы, что мы отправили или не отправили товар, оказали или не оказали услугу и т.д. и т.п. К чему и зачем это? Ведь владелец счета, сам PayPal и мы знаем о чем идет речь на самом деле.
Да, мы всегда в подобных случаях возвращаем деньги. Причем в 100% мы отлавливаем такие операции сразу же, поэтому дальше ввода денег к нам в систему у злоумышленника дело не доходит. Но так как мы уже имеем опыт в таких ситуациях, достаточно часто мы можем определить реальный IP злоумышленника, хотя все операции обычно проходят через различного рода анонимайзеры, прокси сервера и т.п…
И вот здесь возникает вопрос, что делать с этим IP. PayPal не то что не требует этого, ему это просто не интересно. Причем это неинтересно не только PayPal, но и владельцу счета и даже правоохранительным органам. Ни разу за все время к нам не обратился никто по этому поводу. Возможно суммы не так велики и люди не хотят заморачиваться, не знаю. Но мне очень жаль, что ситуации, которые могут быть разрулены и в итоге которых злоумышленик может быть найден и наказан или хотя бы напуган, не доводятся до конца и никому не интересны.
Автор: mihass