日本webmoney(中国驻日本大使馆提醒中国公民谨防诈骗)
日本webmoney文章列表:
- 1、中国驻日本大使馆提醒中国公民谨防诈骗
- 2、外贸卖家最常用的跨境支付平台分析
- 3、在哈萨克斯坦通过电子货币系统进行的交易量增加
- 4、开发者请注意:细数支付处理行业的安全风险问题
- 5、天下无贼|线上支付日益激增,无现金生活不远啦!
中国驻日本大使馆提醒中国公民谨防诈骗
中国侨网10月8日电 据“领事直通车”微信公众号消息,今年以来,中国驻日本大使馆通过多种渠道发布防诈骗提醒,并在领事部咨询电话语音提示中加入防诈骗内容,在日中国公民的警惕意识明显提高。近期,诈骗分子的“套路”不断翻新升级,驻日使馆为大家总结了一些诈骗的新特点,请务必提高警惕、切莫上当。
一、冒充使领馆及国内公检法部门人员的诈骗愈发“真实”。诈骗分子为了避免被人识破,会不断完善骗术的细节,例如提供所谓的公文编号、警官证、带有公章的传票等。在冒充国内公安部门工作人员时,诈骗分子往往“因地制宜”。如冒充上海、广州等警方,会称当事人涉嫌走私、洗钱案;如冒充云南警方,则称当事人涉嫌贩卖毒品;或冒充北京警方称当事人涉嫌伪造银行卡等。
以上种种细节,都是为了干扰接听电话者的判断,进一步骗取信任。请中国公民务必牢记:使领馆不会通知公民来领取公文,国内公检法机关也不会通过电话、微信、QQ等跨国办案。任何通过网络发送的警官证、公文、政府文件等均为伪造,接到此类电话请立刻挂断。
二、留学生私自换汇被骗案多发。受日元汇率波动影响,部分留学生在交纳房租、学费时选择找熟人或网友兑换日元,被骗案件明显增多。诈骗分子与受害者的所有联系均通过网络,一旦收到钱后会立刻将受害者拉黑。私自换汇不仅可能损失钱财,更可能在不知情的情况下卷入洗钱、诈骗、逃税、恐怖融资等犯罪活动,从受害者变成“罪犯”。提醒切莫轻信微信群等网络上的“优惠换汇”广告,即使是熟人好友也有被骗风险,换汇应到正规金融机构办理。
三、代购类诈骗手段不断升级。在日本没有相关资质从事代购业务涉嫌违法,曾有留学生因此被捕。有不法分子利用部分侨胞想挣外快、对新技术不了解等心理,在传统的物品代购之外设计新型骗局。不法分子通常在微信、QQ群中发布“招聘代购”等消息,并让应聘者通过WebMoney等网站充值电子货币、购买各种充值卡、游戏卡或使用伪造信用卡购物等。诈骗分子获取充值信息后,便会将受害者拉黑。
驻日使馆再次提醒中国公民,通过正规渠道寻找合法、符合自身在留资格的工作。如已上当受骗造成财产损失,应及时向当地警方报案。涉案赃款系通过中国大陆地区银行卡转账取现的,可同时向国内户籍所在地公安机关110报警电话介绍案情,并提供涉案银行账号,或通过110报警电话转接,查询当地反诈骗中心报警介绍案情,并提供涉案银行账号,公安机关可在第一时间采取有效措施,全力止付冻结,力争追赃挽损。
日本报警电话:110
外交部全球领事保护与服务应急热线: 86-10-12308或 86-10-59913991
驻日本使馆咨询电话: 81-3-3403-3065/3064并按语音提示拨打相应分机号码。
外贸卖家最常用的跨境支付平台分析
在日常的贸易中,卖家经常会遇到客户需要付小额费用的情况,比如说样品费,测试定单的费用,现在外贸圈的很多人都在做跨境电子商务,比如说速卖通,ebay等跨境平台,都需用到小额支付。因此,如何选择小额支付工具尤为重要。而因为每个支付工具优势各异,便捷性和时效性都不同,此篇文章罗列了目前外贸卖家最常用的跨境支付手段,并对其优劣进行简要分析。
电汇(T/T Telegraphic transfer)
电汇是卖家在实际外贸中运用最多的支付方式,大额的交易基本上选择电汇方式。但实际上,低于1万美金高于1000美金的交易选择电汇方式也是一种不错的支付方式。
电汇银行手续费一般分三部分,第一部分是付款人付款银行产生的手续费,可以由付款人单独支付,也可以在付款金额中扣取;第二部分为中转行的手续费,一般在汇款金额中扣取;第三部分为收款人收款行的手续费,汇款金额中扣取。
当然,电汇的到账时间是大家最关心的问题,目前一般都是要在水单到以后财务确实钱到账,再做其他后续的操作,比如发货。
而电汇时间,根据各个银行不同区别很大,从三个工作日到一周不等。看汇款路线,有的中间经过的银行少就快,多则慢些。核心点一定要等客户水单到后确认到账在安排约定事项。推荐浦发银行,因为是商业银行所以速度相对比较快。
西联汇款
西联汇款西联汇款是国际汇款公司(Western Union)的简称,是世界上领先的特快汇款公司,迄今已有150年的历史,它拥有全球最大最先进的电子汇兑金融网络,代理网点遍布全球近200个国家和地区。而西联公司也是美国财富五百强之一的第一数据公司(FDC)的子公司。
目前,中国农业银行、中国光大银行、中国邮政储蓄银行 、中国建设银行、浙江稠州商业银行、吉林银行、哈尔滨银行、福建海峡银行、烟台银行、龙江银行、温州银行、徽商银行、浦发银行等多家银行是西联汇款中国合作伙伴。使用这种方式支付大概要花费15分钟的时间。
而使用西联汇款具体的操作步骤如下:
卖家只需要告诉客人其联系方式(名字,地址,电话),无需银行帐号。而客人汇款之后会给卖家如下信息:
1.sender: 即客人的名字
2.Receiver: 即收款人名字
3.MTCN:是一串号码
汇款前: 卖家提供给客户的是其身份证上的名字(拼音),
1.First name: 卖家的名;2。Last name: 卖家的姓。
而客户提供给卖家的信息有:
1.汇款人的姓名,First name,last name。
2.汇款人的国家,
3.汇款的币种和金额,
4.MTCN俗称监控号。
然后有了这些信息,卖家就可以拿着身份证去农行或者邮局,或者可以办西联业务的银行去取钱了。(注:必须要身份证的。)
关于费用 ,西联是付款方承担的手续费,不同国家付款费用不一样哦,最好让客户到当地咨询的西联付款银行
目前,西联在欧洲和美国客户中接受度比较高,一般是小额美金汇款比较方便。
西联汇款
西联汇款西联汇款是国际汇款公司(Western Union)的简称,是世界上领先的特快汇款公司,迄今已有150年的历史,它拥有全球最大最先进的电子汇兑金融网络,代理网点遍布全球近200个国家和地区。而西联公司也是美国财富五百强之一的第一数据公司(FDC)的子公司。
目前,中国农业银行、中国光大银行、中国邮政储蓄银行 、中国建设银行、浙江稠州商业银行、吉林银行、哈尔滨银行、福建海峡银行、烟台银行、龙江银行、温州银行、徽商银行、浦发银行等多家银行是西联汇款中国合作伙伴。使用这种方式支付大概要花费15分钟的时间。
而使用西联汇款具体的操作步骤如下:
卖家只需要告诉客人其联系方式(名字,地址,电话),无需银行帐号。而客人汇款之后会给卖家如下信息:
1.sender: 即客人的名字
2.Receiver: 即收款人名字
3.MTCN:是一串号码
汇款前: 卖家提供给客户的是其身份证上的名字(拼音),
1.First name: 卖家的名;2。Last name: 卖家的姓。
而客户提供给卖家的信息有:
1.汇款人的姓名,First name,last name。
2.汇款人的国家,
3.汇款的币种和金额,
4.MTCN俗称监控号。
然后有了这些信息,卖家就可以拿着身份证去农行或者邮局,或者可以办西联业务的银行去取钱了。(注:必须要身份证的。)
关于费用 ,西联是付款方承担的手续费,不同国家付款费用不一样哦,最好让客户到当地咨询的西联付款银行
目前,西联在欧洲和美国客户中接受度比较高,一般是小额美金汇款比较方便。
PayPal
目前是小额支付的首选择。PayPal是一个国际第三方在线支付,在线付款方便,快,另外可以解除买家付款收不到货的担忧,国外买家使用率占80%以上,买家在欧美地区覆盖广,只需要一个邮箱便能注册,开户免费。 而其作为一个第三方工具,像支付宝一样,PayPal买家有什么问题是可以向PayPal投诉的。
跟其他支付手段相比较,PayPal的优点是:
第一:资金安全。
第二:快速,基本上跟国内支付宝一样,买家付款后,立刻显示PayPal余额。第三:方便,可以使用各种工具管理交易提高效率。
第四:全球市场接受度,目前是190个市场和6种货币使用。是小额跨境贸易工具中最主流的付款方式。
关于PayPal还有一个问题需要大家注意,就是PayPal和 贝宝的区别。其实类似于支付宝的国内版和国际版,PayPal国际站允许向55个国家和地区发送和接受付款。贝宝是他的中国版,只能向中国用户发送和接受付款。还有无论是买家和卖他的使用都是免费的。目前,业内普遍认为,使用小额支付首选还是PayPal。
支付宝(国际版)
作为阿里巴巴的外贸圈文章,阿里巴巴的支付宝国际版是不得不介绍的。国际版支付宝(ESCROW SERVICE)是阿里巴巴国际站和支付宝联合为国际买卖双方全新建立的在线支付解决方案。
对于阿里巴巴的国际版支付宝的未来个人还是非常看好的。但是因为其现在是非常新的支付方式,目前国际市场接受度不高,主要还是应用在阿里巴巴推出的速卖通平台,操作的原理跟国内的支付宝类似。
不过因为阿里巴巴较强的世界影响力,大家在接受小额付款的时候,也可以向客户推荐使用阿里巴巴的国际版支付宝,毕竟阿里巴巴支付宝我们熟悉,物流操作和沟通起来都比较方便。
信用卡收款
其实在欧洲和美国,主流的付款方式还是信用卡方式,在欧洲和美国信用卡是链接个人信用资料的。所以信用卡的方式也是非常安全的付款方式。
现在跨境电子商务平台,通过VISA和MASTERCARD合作,都可以通过信用卡支付。
国际信用卡付款的风险控制,信用卡付款的风险核心点就是客户的退单和有小部分的信用卡诈骗行为。比如消费者退单或者悔单,因为国际小额贸易前期物流等其他费用投入,对卖家来说往往损失不少。而且现在很多主流的跨境电子商务平台也倾向买家。 一般支付公司的在提供支付服务时都提供了比较安全的各种验证加密措施,比如跟卡组织的黑卡库等信息共享,如果一旦碰到黑卡或者盗卡,则会被系统拒绝付款。导致定单失败。
香港离岸公司收款
香港账户和离岸账户有几个同
1.香港账户无外汇管制,可以直接柜面操作,离案账户目前来讲不能存入现金。
2.银行费用方面,香港本地银行收费少。
3.账户功能齐全,比较适合国际支付。
4.开户速度快。
目前这类收款方式分为以下三大类:
1.香港账户:首选汇丰,分行多,服务好,信誉度高,收款入帐快,网银使用免费,开户无要求,赴港开户可当天获帐号与网银 。
2.离岸账户(内资):浦发,深发,交行,招行,开户均无要求,手续费低,但收款速度慢,服务没香港银行好 。
3.离岸账户(外资) :大陆外资银行、汇丰、渣打、东亚等都有外债额度限制,故开户要求高,转帐费用高,如有网银也只能查询,不可转帐。
选择离岸账户的方式非常简单的,现在宁波广州深圳都有很多代理公司,直接跟他们询问,花非常小的钱解决一条龙服务。
其他非主流支付工具介绍
其实这些支付工具,一般不建议大家使用,因为接受度不高,而且因为不熟悉支付安全性也不确定,但是作为一个外贸人可以作为一定的了解。
CLICKANDBUY(在线支付和电子钱包)、PAYSAFECARD、WEBMONEY、CASHU、LIQPAY、QIWI WALLET。这些付款方式对于俄罗斯,中东,北非等国家可以使用支付。
总结
其实小额的跨境支付,核心点还是安全和根据卖家自身的习惯,一般选择主流的支付方式,也可以选择常规的电汇方式。钱这样的事情,不要怕麻烦,一定要选择可靠,熟悉安全的付款方式。
在哈萨克斯坦通过电子货币系统进行的交易量增加
根据国家银行的数据,所有业务的65%是在互联网上进行的
通过电子货币系统,进行了1.749亿笔交易,金额为5,802亿坚戈,表明交易数量比去年增长了29.5%。这些操作包括个人之间的转移以及有利于法人和个人企业家的商品和服务付款。
据该机构称,通过哈萨克斯坦电子货币系统进行的所有交易中,有65%是在互联网上进行的,有16%是通过移动应用程序进行的,有19%是通过电子终端进行的。
如今,在哈萨克斯坦市场上运行着25种电子货币系统,其中的发行人是10家银行和Kazpost JSC。在2019年,八个新的电子货币系统开始运行:Senim,AlmaPay,Onay Pay,One Click,KAZEVROMOBAYL,Innoforce系统,WebMoney哈萨克斯坦和Silkpay。
2019年,电子货币系统的发行人发行了5,728亿坚戈的电子货币,比上年增长10%。
在国内市场上运行的25种电子货币系统中,支付组织是20种电子货币系统的运营商。
2019年,通过这些电子货币系统支付的金额为4,104亿坚戈,占所有正常运行的电子货币系统营业额的70%。
最大的电子货币系统占据了该市场90%以上的份额,它们是:Kaspi银行,VISA QIWI WALLET,WOOPPAY,Personal Cashier和W1哈萨克斯坦。
在哈萨克斯坦,电子货币用于支付互联网商务,公用事业,移动通信,还款等费用。
开发者请注意:细数支付处理行业的安全风险问题
作者:Kaimi & Bo0oM
电子支付系统在互联网上已经存在了很长时间,其中的一些漏洞已经有二十年之久。我们已经发现了一些关键的漏洞,使黑客能够盗窃资金并提高余额。今天我们将分析支付处理的典型实现逻辑和相关安全问题。
支付系统和典型API实现的概述
很少有人知道,但第一个(匿名的!)支付系统是DigiCash,它早在1989年就出现了,随后在1996年出现了一个更知名的(主要在持卡人中)系统E-gold。
但让我们回到现在,下面列出的是市场中主要的现代支付系统/电子支付服务,它们支持用户在网站上接受支付:
PayPal
WebMoney
YooMoney (former Yandex.Money)
Qiwi
支付宝
etc.
以及几十个不太知名的系统,其名字你不可能熟悉,更不用说出现了数百个专门从事加密货币的新系统。
尽管表面上很简单,但就创建一个安全的软件实施而言,支付处理是一个复杂的过程,仍然给大型交易平台和新的电子支付系统带来问题,这些系统定期以 "新的和方便的 "API和其他整合方式进入市场。一个典型的支付处理是什么样子的?首先,让我们看看PayPal描述的当前实施情况,即所谓的PayPal Express Checkout。
这种实现方式可以被认为是相对安全的,原因就在这里:
支付参数没有被明确传输,而是使用了一个token
支付系统的服务器不会自行将结果发送到某个URL,而是由你的网站来请求并处理响应。
总的来说,交互布局的实现方式是让潜在的开发者避免 "自伤"。
现在让我们来看看WebMoney提供的图示:
这个流程图没有任何意义。另外,该图没有反映出一些细微的差别,如请求签署。或者说,从支付系统接收技术支付信息的URL和用户被重定向到的URL(查看支付细节)应该是不同的。WebMoney使用的架构经常以这样或那样的形式出现在其他地方,通常出现在独立国家联合体创建的其他支付系统中。
典型问题
支付过程的过度复杂导致了财务损失。例如,10年前我曾发表过一篇关于全球收款服务系统与WebMoney整合问题的说明,该系统允许在Steam、Battle.net和其他一些平台上确认付款而不实际付款。
问题出在哪里?早些时候,我提到了商家方面应该接受支付信息的URL。根据文档,WebMoney有三个实体:
成功的URL - 如果网络商户界面服务中的支付成功,买方的网络浏览器将被重定向到的URL(在商家的网站上)。该URL可以以 "http://"或 "https://"为前缀。
失败的URL - 如果网络商户界面服务中的付款由于某种原因没有完成,买方的互联网浏览器将被重定向到该URL(在商家的网站上)。该URL可以以 "http://"或 "https://"为前缀。
结果URL - 网络商户界面服务发送HTTP POST或SMTP通知的URL(在商户的网站上),该通知包含完整的细节。该URL可以以 "http://"、"https://"或 "mailto: "为前缀。
一些开发人员在阅读文档后会做什么?
使用单一的URL,这样可以找出处理程序的地址(同时处理程序,包括结果URL,可以显示在WebMoney网站的支付表格中,但这并不总是发生,可能取决于设置)。
不正确地对进入结果URL的请求实施签名验证。这使得客户可以替代支付细节。
检查签名,但不检查发送到结果网址的金额。这允许你通过支付例如0.01美元获得100美元的物品。
检查签名、金额,但不检查转移金额的格式。记得吗,我提到过通过客户的浏览器发送支付参数?WebMoney正确地处理了1e1或0xFF的值,但在旧版本的PHP上比较这种数字,考虑到PHP语言中比较的细微差别,会导致最意想不到的后果。
这并不完全是支付系统的问题,但在商家的服务器上出现竞赛条件和相同的内部支付ID怎么办?你好,余额乘法。
...
请求签名
它是如何工作的:
当通过WebMoney支付时,根据支付系统的规格,用户被重定向到WebMoney网站,在那里他们可以看到支付的金额、账户号码和其他参数。
在按下 "下一步 "按钮并在系统中进行认证后,负责处理支付结果的URL的信息就可用了。
用户可以向目标URL发出请求,根据WebMoney规范(好吧,几乎是),通知支付系统支付成功。
获利!
Global Collect 支付处理系统遇到了几个问题:
已知的统一的支付结果处理程序。
缺乏签名验证(请求中也没有签名)。
使用通过用户浏览器传输的数据作为支付信息的可信来源(尽管根据WebMoney规范,这可以通过来自WebMoney服务器的回调完成)。
所有这一切都允许进行虚假交易,购买任何使用全球收集处理的东西而不付钱。这个问题在被广泛利用了2周后才被消除。
另一个类似的问题,但更复杂一些,最近在Smart2Pay中被发现。
另一个与请求签名有关的问题是长度扩展攻击。
根据维基百科介绍,这是对散列函数的一种攻击,在原始信息的末尾添加新的信息。在这种情况下,即使原始信息的内容仍然未知,也可以计算出新的哈希值。你可以在这里了解更多(https://web.archive.org/web/20130608035646/http://happybearsoftware.com/you-are-dangerously-bad-at-cryptography.html)。这个问题只在开发者决定实现他们 "酷 "的VK式请求签名时遇到过几次(顺便说一下,他们自己并没有发明一种算法)。下面是一个关于如何适当地生成签名以及如何 "自取灭亡 "的说明。
对于利用,你可以使用以下工具之一:
https://github.com/bwall/HashPump
https://github.com/iagox86/hash_extender
"结果URL "披露
在一个可以通过WooPay(通过短信)充值的网站上,支付系统用来通知网站是否成功入账的完整URL与参数(包括签名)一起被显示。
这个逻辑很简单,你需要想出一个办法来触发一个异常,使网页应用程序显示一个错误。
如果你选择通过短信支付,并随机输入一个无效的电话号码,你会得到:
重复 HTTP 请求几百次。禁止我们的客户端后,Web 应用程序抛出异常。它的文本包含秘密 URL。通过遵循它,我们可以完成付款。
支付属性
让我们继续讨论检查支付属性的问题。
与YooMoney(原Yandex.Money)整合的选项之一是汇款形式或其旧的实现方式。它可以通过存在对以下URL的HTTP请求来识别:
https://yoomoney.ru/eshop.xmlhttps://yoomoney.ru/quickpay/confirm.xml
当你发送请求时,你需要替换其中的付款金额:
支付成功的概率很高。然后,网站要么检查金额,要么不检查。由于支付元数据有用户ID和/或支付ID,这就足以购买东西。
一个小例子:
截图显示了Telegram语音助手机器人的订阅,但没有检查支付金额,允许你以任意的价格购买。将1990年改为19年,就能以真正的廉价获得它。这种漏洞相当普遍(例如,Telegram中有许多知名的机器人服务都存在同样的问题),包括在流行的国际资源上(一个老例子——购买Minecraft许可证)。即使在2022年,你仍然可以遇到这种情况。
另一个相关的例子,但与支付金额无关,而是与货币有关,出现在QIWI中。你可以通过向一个短号码发送短信来增加钱包的余额,货币在几个阶段(选择货币和金额,发送短信)通过客户端的浏览器传输,服务器相信客户端的数据。结果,100美元被记入账户,用于支付100卢布。
2022年的情况如何?
让我们来看看亚美尼亚银行的聊天记录https://t.me/Inecobank_forum/6333 :
你好! 有什么办法可以将卢布账户的钱立即转入银行卡的德拉姆账户(绕过目前银行的德拉姆账户),从而不违反俄罗斯联邦的货币立法?
一般来说,在我被告知这是不可能的之前,我使用其详细信息从我的活期账户向银行卡账户转了10万卢布,以德拉姆计算。100,000德拉姆已经入账。10万卢布被扣除了。都是在INECO。很明显,没有自动验证支付货币的功能。现在我正在与支持部门打交道。Moral--不要这样做。
这意味着问题仍然存在。
格式和类型比较
在Anticaptcha服务上发现了一个有趣的问题,这个服务在某些圈子里很有名(一个用API接口解决验证码赚钱的服务)。用户的个人账户允许执行一些操作,包括将未使用的余额提取到WebMoney。WebMoney很正常地处理不同格式的支付金额(如1e1或0xFF),但比较这些数字,特别是在旧版本的PHP中,考虑到PHP中比较的细微差别,拥有 "最完美的代码",导致了最意想不到的后果。在十六进制的符号中,当前余额与要求提款的金额的比较不能正常工作,这使得账户余额变成负数。
一个可能导致这种情况的PHP代码片段的例子:
如果你输入金额1e9,余额为20美元,验证逻辑将确保19<20,删除除数字以外的所有内容,但支付系统将把1e9视为1000000000。
另一个错误是类型化的特殊性
NodeJS是另一个具有动态类型的语言的例子。当把一个字符串加到一个数字上时,它会把1 "1"="11 "连接起来。然而,如果我们从字符串中减去一个数字,字符串就会转换为数字 "11"-1=10。
最流行的数据交换格式是JSON:
{"amount":100}
很明显,这个 JSON 是正确的:有一个值为 100 的 amount 参数。但这也是一个有效的 JSON:
{"amount": "100"}
这里,金额参数的类型是一个字符串。根据JSON处理的算法(顺便说一下,有趣的相对相关的文章:https://bishopfox.com/blog/json-interoperability-vulnerabilities),有人可能会把这个参数的值加到数字1337上,结果会是1337100,而不是原来的意思。
商业逻辑的缺陷
在远程银行中启动了一项付款,为了确认它,你需要输入短信中的代码。付款被保存为未完成,可在远程银行手机应用程序中进行编辑。我们编辑付款,然后在浏览器中输入确认码,最后转账的金额是一个,但账户被扣了另一个。
另一个例子:
打开余额充值界面(余额为1000美元,充值金额为100美元)。
网络应用会记住你当前的余额。
同时,我们花钱(发送第二个账户)。
完成交易后,余额将是1100美元。
同样值得特别一提的是,在支持多种货币的资源上的购物车逻辑。几年前在Xbox地区商店发现的一个漏洞(修复后又重新出现了几次)。
你以最低的卢布价格将产品添加到购物车中。
你在商店里寻找昂贵的游戏,这些游戏的价格是以美元列出的。
把它们添加到你的购物车。
商店计算商品的总成本,但美元价格的商品会以一比一的比例重新计算成卢布。
上面的截图显示,购物车中的游戏费用是以卢布表示的,但实际金额暗示应该是美元(或者按适当汇率转换后应该完全不同)。
Vkontakte上的投票是在余额接近零的情况下通过发送付费短信添加的。你发送短信,电信运营商不能拿钱(没有透支),但票数还是被补充了。
另一个通过短信的载体是在QIWI支付系统中从你的账户转到别人的账户。这是通过向一个专门的短号码发送消息来完成的:
转账给另一个用户。发送短信至7494,短信内容为 "perevod "或 "转账",输入钱包号码和转账金额,用空格隔开。例如:perevod 9161234567 500。你会收到一条带有一次性代码的短信--把它回复回去。
该短号码实际上是一个真实电话号码的别名,该号码被短信网关用于与API的整合。对支持服务应用一点社会工程:
下午好。完整的号码是 7 925 424 74 94。
请求类型:其他主题。
客户端软件版本:WEB v3.0。
消息:下午好! 有没有7494号的替代号码--"内容阻断 "服务已启用(禁止从短号码发送和接收付费短信/彩信,也禁止拨打付费短号码),使用该号码非常方便,但由于该号码很短,所以无法使用。谢谢你。
下一步是使用欺骗服务(欺骗来电显示),从一个有很多钱的账户的号码发送短信。这种方法我从来没有测试过,尽管在理论上它看起来非常有希望。一些专家说,有可能通过短信链接信用卡(以类似的方式),然后从卡上抽走钱。
现在我们来研究一下退款操作。如果你考虑典型的退款过程,就会发现在每个阶段都有可能跳过或不正确地实施一些检查,这将导致经济损失。
在实践中,有些网站的退款金额等于产品的当前价格。相反,他们应该使用相关交易记录中的实际支付金额。再加上定期折扣,这导致了明显的结果。这种情况很罕见,但有时会以这样或那样的形式出现。
四舍五入、整数溢出和负数
一类经常出现的问题是四舍五入错误。常见的四舍五入问题可能是这样的:
一个用户将0.29卢布兑换成美元。
如果一美元的价值是60卢布,0.29卢布的金额对应于0.004833333333美元。
这个数额将被四舍五入到小数点后两位,即0.01美元(1美分)。
然后,用户将0.01美元换回卢布,得到0.60卢布。
因此,用户 "赢得 "0.31卢布。
这个问题在大型金融机构(各种银行和交易所)仍然可以找到。
如果你仔细观察,你可以看到这个漏洞,尽管它已经被修复。负数交易的溢出和漏洞可以定期遇到,即使是前100名的银行也是如此。在处理带符号的数字时,带负数的交易是一个微不足道的错误,是的,它仍然发生。
一个不那么微不足道的溢出例子是在向购物车添加大量物品时计算订单金额。
另一个例子是在系统间传输时,大数字的兼容性问题。在HTTP-request中,传输的数字将是一个字符串,但对大数字的处理可能是不同的,即发送一个超过INT_MAX 2的充值请求,在本地系统中,数字的处理是正确的,但支付系统收到的是1美元的支付发票。
请记住,目标系统可能没有使用32位变量来存储数值,而是使用64位变量。
为了得到更好的理解,你可以在Vkontakte上玩玩数字。VKontakte早期使用32位整数。为了通过溢出的id达到id1页面,必须通过2^32 1。
Pavel Durov的页面可以通过以下网址打开:https://vk.com/id4294967297。但现在一切都被转换为64位整数,所以要得到id1,需要传递2^64 1。
这些是相同的页面。
https://vk.com/id1 == https://vk.com/id18446744073709551617
现在让我们考虑一下,在一些网络应用中,一个id=100的操作只能由管理员执行。那么如果这是一个2^32 100的操作呢?
顺便说一下,有时你可能会计算错误,出现严重的负数,永远无法获得利润。
竞赛条件
让我们继续讨论竞赛条件问题。根据维基百科介绍,竞赛条件或竞赛危险是指电子、软件或其他系统的状况,其中系统的实质性行为取决于其他不可控事件的顺序或时间。当一个或多个可能的行为是不可取的时候,它就成为一个错误。
一个传统的典型例子:
我们执行一项交易,从可用余额中转移资金。
我们执行同样的操作N次,让我们考虑我们应该在第(N-1)个请求或更早的时候用完余额。以最小的延迟发送请求可能会利用竞赛条件并克服这一限制(这里HTTP-pipelining,HTTP2功能(在一个TCP会话中的多个请求)等来拯救)。
我们会得到一个负的平衡,这在正常情况下是不允许的。
一个与加密货币交易所有关的小例子
操作算法如下:
当比特币的价格为100,000美元时,我们创建一个0,1 BTC的获利。
交易所从账户余额中提取(锁定)0.1 BTC。
我们通过发送438695936458926734个请求来删除该获利。
交易所 "返回 "0.1 × N BTC,其中N是同时操作的数量。
这类问题并不是专门针对金融交易的。这也包括像TOCTOU这样的问题,例如,当应用程序检查文件签名,然后过了一段时间,然后应用程序读取文件的内容(可以通过该时间来替代)。
其中一个问题是在xss.上出现的,是在账户之间转移BTC的系统。
你可以使用Burp Suite与Turbo Intruder插件进行测试。而你可以在这篇文章中阅读更多关于这类问题的内容:https://lab.wallarm.com/race-condition-in-web-applications/。
因此,我们存入0.1337个BTC,并发送大量的转账请求。
我们可以看到,转账完成的次数超过了余额有限的情况:
我们将加密货币发回。我们不断在不同账户之间来回转移资金,凭空产生资金:
最后,我们得到了更多的余额(2.1337 BTC)。然而,实际上并没有这样的存款,所以你可以提取与连接的钱包一样多的钱(所有用户存款)。
我想还有其他论坛的存款和取款是可以不经人工确认的。
总结
实施安全支付处理是一项复杂的任务,应该由有经验的开发人员来处理。由此产生的产品需要进行全面的测试,否则我们将在未来的几十年里观察到九十年代初的幼稚的安全问题,特别是当新的很酷的支付方式(你好,加密货币)和相关支付系统出现时。而我们甚至还没有提到对伪随机数生成器、Padding Oracle的攻击,以及其他许多值得单独写一篇文章的有趣东西。
天下无贼|线上支付日益激增,无现金生活不远啦!
前天有条新闻刷爆朋友圈Paypal
费用
每笔收取0.3$银行系统占用费;跨境交易,每笔收取0.5%的跨境费;每笔提现收取$35.
优点
Paypal与支付宝较类似,是美国EBAY旗下的支付平台,在国际上知名度较高,是很多国家客户的常用付款方式。资金安全性高,支付快速,是小额跨境贸易工具中最主流的付款方式。
缺点
PAYPAL买家利益大于PAYPAL卖家利益,交易费用有卖家提供,且账户容易被冻结,使得商家利益受损。适用跨境零售小额交易
图片来源网络,侵删
信用卡
优点
信用卡是欧美最主流的支付方式,也是非常安全的付款方式。
缺点
可能存在行用卡诈骗行为,对卖家来说往往损失不少,且接入国际信用卡收款较麻烦,且需预存保证金,信用卡收款费用高。
适用
很多跨境电商零售平台都支持国际信用卡支付。
图片来源网络,侵删
cashpay
费用
收款方费率2.5%,无开户费、使用费、提现手续费及附加费
优点
加快偿付速度(2—3天),结算快。有专门的风险控制防欺诈系统,安全性高。提供更多支付网关的选择,可选择提现币种。
缺点
知名度不高
适用
多渠道跨境电商平台
Moneybookers
费用
免手续费,从信用卡上载资金3%,发钱1%(直到0.50),取钱到银行固定费用1.80,通过支票取钱固定费用3.50
优点
安全,以E-Mail为支付标识,不需要暴露信用卡等个人信息,登录时以变形的数字作为登陆手续,以防止自动化登陆程序对你账户的攻击,只支持高的安全-128位加密的行业标准。只需要电子邮箱地址,就可以转账;可以通过网络实时的进行收付费。
缺点
不允许多账户,一个客户只能注册一个账户。不支持未成年人注册。
适用
跨境电商零售平台
图片来源网络,侵删
Payoneer
费用
电汇设置单笔封顶价,人民币结汇最多不超过2%。
优点
中国身份证即可完成Payoneer账户在线注册,并自动绑定美国银行账户和欧洲银行账户。可以像欧美企业一样接收欧美公司的汇款,并通过Payoneer和中国支付公司的合作,完成线上的外汇申报和结汇。
缺点
Payoneer帐户之间不能互转资金,无法通过银行卡或信用卡充值,无法从PayPal收款。
适用
单笔资金额度小但是客户群分布广的跨境电商网站或卖家。
图片来源网络,侵删
其他地域性支付方式
Qiwi wallet
俄罗斯最大的第三方支付工具,其服务类似于支付宝。客户能够快速,方便的在线支付水电费丶手机话费,以及网购费用。还能用来偿付银行贷款。
CashU
隶属于阿拉伯门户网站Maktoob。主要用于支付在线游戏丶电信和IT服务,以及实现外汇交易。允许使用任何货币进行支付,但帐户将始终以美元显示资金。是中东和北非地区运用最广泛的电子支付方式之一。
WebMoney
俄罗斯最主流的电子支付方式,俄罗斯各大银行均可自主充值取款。
Paysafecard
线上支付外及欧洲游戏玩家的网游支付手段。用户用16位账户数字完成付款。开通Paysafecard支付需要有企业营业执照。
图片来源网络,侵删
其他小众跨境电商线上支付方式还有ClickandBuy、LiqPAY、NETeller等,而信用卡和paypal是目前使用最广泛的跨境电商线上支付方式。
sevnton