Вопрос по выводу на реквизиты, с которых не было ввода

Тема в разделе "Претензии. Архив.", создана пользователем FXstart Admin, 10 май 2014.

Статус темы:
Закрыта.
  1. FXstart Admin

    FXstart Admin Administrator Команда форума

    Если честно, мы долго (возможно слишком долго) не ставили вопрос по дополнительной защите средств во время вывода - просто за долгую (уже семилетнюю) историю нашего Дилингового Центра не было ни одной претензии или кражи со счета. Правила достаточно просты:

    Во время вывода отправляется письмо с сообщением о выводе средств (обычно сам вывод происходит от нескольких часов до суток после этого момента). Есть пин-код, который нужно ввести во время вывода. Его нужно или украсть или завладеть сканом паспорта человека.

    Если сумма более-менее значительна (обычно 200-300$), то мы во время вывода следим, чтобы вывод шел на те реквизиты, с которых был ввод, иногда просим подтверждения.

    Вот несколько дней назад, пришла первая претензия по недостаточности этой схемы.

    Со счета 233354 было снятие 6$ на Яндекс.кошелек - 410012192655558

    Клиент утверждает, что эти средства у него украдены. Возник вопрос - что именно мы сделали не так и нужна ли дополнительная защита для подобных сумм.

    Еще хочу заметить, что благодаря этой ситуации, мы сделали некоторые выводы: была ошибка в комментарии к выводу с ЯД, мы его поправили, а также в ближайшем будущем - в логе кабинета будут отмечаться - с каких ip был вход в кабинет, производились выводы и вводы.

    Мы хотели зачислить 6$ как помощь человеку за нахождение ошибки в комментарии - но он от них отказался.
     
  2. FXstart Admin

    FXstart Admin Administrator Команда форума

    Обсуждение конкретной ситуации с 6$ - в соседней ветке.

    Здесь можно обсудить - что делать, чтобы и для клиентов вывод не стал сложным, и мошенникам не было никаких шансов.

    В ближайшее время - как я написал - будет вставлен лог в кабинет - по всем действиям будет показываться ip и сами действия

    Дополнительно мы вставим возможность ввода смс при снятии средств.

    Дополнительно - в течение месяца (это планировалось для системы автовывода в любом случае) - вывод можно осуществить только на тот кошелек, с которого было пополнение (при этом - минимум 10% от текущего баланса, либо больше 100$, либо больше 10% от суммарного пополнения) - и этому пополнению больше недели.

    Т.е. чтобы украсть ваши средства - злоумышленник должен более недели назад ввести к вам свои средства со своего кошелька. Также, завладеть вашей почтой - чтобы вы не увидели сообщения. А также, мобильником (если вы решите поставить такую защиту).
     
  3. Торговец

    Торговец Местный житель

    Этого должно хватить.
    Просьба не усложнять вывод, когда явно видно что реквизиты на которые заказан вывод принадлежат владельцу счета.
     
  4. Торговец

    Торговец Местный житель

    Так это вроде как уже есть в личном кабинете - журнал событий.
    Дата Действие Подробности IP
     
  5. Interesting

    Interesting Я тут не случайно

    Top самых активных пользователей месяца

    1. На счет СМС, идея хорошая.
    но существует параллельная технология, которая как я понимаю во всю используется Метаквотами.
    Речь идет об отсылке уведомлений на Андройд устройства (судя по описание непосредственно в терминалы установленные на этих устройтвах) при помощи "MetaQuotes ID".
    Можно ли в рамках ДЦ что-то подобное сделать, чтобы указав в своем профиле необходимый идентификатор трейдер мог получать необходимые уведомления?
    2. еще раз указываю на то, что отправка уведомлений непосредственно в терминал намного безопасней любых почтовых отправлений, по крайней мере Метаквоты вполне это гарантируют.
    По крайней мере сообщение о выводе средств и об отмены вывода можно туда посылать (при определенных условиях конечно).
     
  6. des

    des Новичок форума

    В новостях компании от 14 мая указано, что в связи с появлением ip-журнала в кабинете
    будет происходить фильтрация по ip. Цитата - "Также, если вы заходите на сайт под другим ip
    - автоматически происходит выход из кабинета." С одной стороны это хорошо, но с другой не очень.

    К примеру, мой основной провайдер любит часто менять ip-адреса своих подсетей, да и я могу зайти
    в кабинет из другой части города, пользуясь 4G модемом от другого провайдера или вообще со смартфона.
    При этом, как я понял, меня будет выбрасывать из кабинета. Что предпринимать в этом случае? Писать заявку
    на изменение ip-адреса в саппорт? Боюсь в моем случае это придется делать слишком часто.

    Мне кажется, лучше добавить некий чекбокс в кабинете для активации/деактивации этого фильтра.
    У тех же webmoney ip-фильтр можно задействовать или отключить. Что и необходимо в некоторых
    случаях с частой сменой адресов.
     
  7. des

    des Новичок форума

    незнаю, зачем городить огород с Метаквотами и прочими аналогами.
    смс с кодом подтверждения сейчас очень активно используется всеми,
    начиная с соц. сетей и почтовых сервисов и заканчивая платежными системами.
    существуют на рынке и компании, предоставляющие услуги смс-шлюзов. по весьма
    недорогим ценам. ну а если у вас украли телефон, то злоумышленникам еще как минимум
    понадобится номер счета и пароль для входа в личный кабинет. в совокупности это все
    обеспечивает неплохой уровень безопасности и удобства.

    так кажется только на первый взгляд. на самом деле здесь присутствует уязвимость.
    если злоумышленники завладели номером счета и паролем, необходимыми для авторизации
    в личном кабинете и создания заявки на вывод средств, то им ничего не будет стоить "поймать"
    в терминале уведомление на активацию вывода, пользуясь все тем же номером счета и паролем.

    в случае, если для уведомлений используется почта или что еще лучше - смс, и злоумышленники
    не имеют доступа к ним, то и активировать вывод они не смогут.

    т.е. главный принцип безопасности - не складывать все яйца в одну корзину. т.е. в клиентский терминал.
     
    Последнее редактирование модератором: 14 май 2014
  8. Уведомление о выводе средств на любое зарегистрированное мобильное кстройство с получением кода подтверждения полученного SMS снимет весь головняк вопроса безопасного вывода.Уже не мало компаний пользуются SMS подтверждением.Вот вчера на спор человек под моим контролем из моего ящика пытался сделать вывод с моего счёта
    20$ в компании ХЕДЖ ТОТАЛ ,не вышло вывод заказан на не ту платёжную систему.А если бы ещё и sms было применено.То у ворюги вообще бы шансов никаких.Так что стоит этой мерой вообще перекрыть кислород шакалам.
     
  9. FranzFerdinand

    FranzFerdinand Well-Known Member

    Просто заново залогиниться в кабинете.
     
    des нравится это.
  10. А вот тут по подробнее пож-та.Если я уеду на м-ц за рубеж.И конечно ай пи будет другое.Войду в кабинет обычным путём набрав в ручную логин и пароль.И что в кабинет не войду?Или имеется ввиду,что не сработает автоввод по системе -запомнить пароль?Ну и не понятно,что это даёт?Взломщик зайдёт набрав логин и снимет средства.Что даёт это для защиты?
    Ну дали заявку с другого ай пи и что это поменяет?Другое дело sms.Когда ввели смс уведомления в веб мани,знакомые хакеры сильно сетовали,что на кошельках лежит много денег а снять взломав стало не возможно.Из-за привязки счёта к телефону.Единственное не удобство это дополнительные телодвижения в случае утраты телефона.Так бывает всегда.Все нововведения,что-то улучшается а что то усложняется.Тут выбор надо меньшего зла.
     
    Последнее редактирование модератором: 14 май 2014
  11. roadhell

    roadhell Местный житель

    так хедж тотал вроде как скам, хайп и все дела? и вот даже у них есть подтверждение через смс..
    вопрос к Старту повторяю: почему вы стали присылать платежный и МТ4 пароли на почту, это же дыра в безопасности ?
     
  12. FranzFerdinand

    FranzFerdinand Well-Known Member

    А в чем дыра? Кто-то мешает поменять пароль? Или просто переписать все пароли в другое место и удалить письмо?
    Можно сделать регистрацию с выбором, присылать пароли на мейл или нет.
     
  13. nekrassov007

    nekrassov007 Местный житель

    Вывод средств через Qiwi стараться проводить (по номеру телефона) там можно привязать и несколько банковских карт, при этом на телефон приходит код подтверждения. Контролировать операции и кошелек киви можно с любого компа или смартфона.
     
  14. nekrassov007

    nekrassov007 Местный житель

    Конечно присылать. После получения сразу нужно установить новый пароль и сохранить в надежном месте. Время от времени так же рекомендуется менять пароли.
     
  15. Zeleniy

    Zeleniy Почётный гражданин

    Всегда меняю пароли, у меня даже пароли от сотен ресурсов, счетов не записаны, а все в голове :)))
    Придумал свой алгоритм для паролей под каждый ресурс, даже и не надо запоминать пароль а просто знать алгоритм и все :beer: :hi:
     
    nekrassov007 нравится это.
  16. nekrassov007

    nekrassov007 Местный житель

    Это хорошо что получается помнить пароли. Только бывают случаи когда люди даже свое имя по некоторым причинам забывают. Лучше тренировать память запоминая имена фамилии и отчества дни рождения и т.д. всех своих знакомых. Для хранения паролей все таки лучше иметь и запасной альтернативный способ кроме своей памяти.
     
  17. Zeleniy

    Zeleniy Почётный гражданин

    Лучше все записи хранить на флешки причем дублировать на второй флешки. У меня лично была ситуация когда флешка дала сбой и кстате номера счетов от терминала все там осталось и другая ценная информация и совсем недавно ноутбук сломался, как я понял жесткий диск полетел, а на нем было много домашнего видео и фотографий, а копию я не делал, надеюсь найдутся специалисты которые смогут восстановить жесткий диск.
     
  18. roadhell

    roadhell Местный житель

    конечно можно) но если бы работали по старой схеме, то ситуации на несколько страниц с кражей 6 баксов скорее всего не было. это шаг назад в плане безопасности, т.к дополнительные средства защиты вы не предложили (подтверждение через смс, например)
     
  19. FranzFerdinand

    FranzFerdinand Well-Known Member

    Эти счета были открыты до того, как пароли стали высылать на емейл. И вообще большой вопрос, была ли кража... :expect:
     
  20. Торговец

    Торговец Местный житель

    Можно предложить в кабинете выбор вариантов вывода(кошелек вебмани; банк или др.) Где будут только верифицированные варианты вывода(№ кошелька; № счета банка и т.д.).
    Что бы их изменить придумать процедуру согласования с сапортом.
    И ни на какие другие кошельки ничего не уйдет!
     
Статус темы:
Закрыта.

Поделиться этой страницей