Перейти к содержанию
templater

Мошенничество при оплате QIWI

Рекомендуемые сообщения

Вчера в магазине было совершено две покупки цифровых товаров, оплата осуществлялась через QIWI (через этот модуль).

Обе покупки успешны, но на QIWI-счет поступили суммы по 1.00 руб вместо стоимости товара.

Судя по всему, это была не ошибка, а намеренное вмешательство в процесс оплаты, что было позже подтверждено установленным "покупателем".

Все материалы переданы в фрод-отдел QIWI, а вы будьте осторожны.

Для информации, версии ПО:

ocStore 1.5.3.1

модуль QIWI 1.3 (сейчас обновлен до последней версии)

P.S. Пока вопрос безопасности этого платежного метода открыт, установил ручное подтверждение оплаты заказа (Статус заказа после оплаты - "Ожидание" вместо "Сделка завершена").

P.P.S. С покупателем инцидент разрешен, все возмещено, поэтому никаких претензий/афиширований не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я так понимаю модуль не проверяет что сумма заказа равна сумме оплаты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я так понимаю модуль не проверяет что сумма заказа равна сумме оплаты?

А киви вообще отдает этот параметр?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А киви вообще отдает этот параметр?

Из описания API QIWI не совсем понятно... кажется, отдает только статус, если правильно понимать выражение "состояние счета".

Магазин может проверить состояние счета используя его уникальный идентификатор (txn) при помощи запроса checkBill

Для сверки состояния счетов используется запрос getBillList, в котором указывается время начала и окончания периода, а так же статус платежей.

При указании статуса больше 0, в список попадают счета только с указанным статусом. Для получения списка всех счетов за период, указывается значение статуса "0".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну почему же, все понятно: отдает только состояние счета и даты.

Да в целом ничего страшного нет. Деньги же не списываются со счета. То есть мошенника или ошибку платежа вычислить можно без проблем - главное внимательно смотреть за поступающими суммами. Там же куча способов уведомления в настройках магазина - сложно пропустить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сорри, почитал доки дальше, теперь все предельно ясно - QIWI может отдавать полную информацию по счету, включая сумму, но в модуле это (проверка оплаченной суммы) не задействовано:

Описание протокола

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да в целом ничего страшного нет. Деньги же не списываются со счета.

В моем случае это критично - при покупке цифровых товаров, после оплаты статус меняется автоматически, для возможности покупателю тут же скачать товар. Теперь придется создавать неудобства, на ожидание, пока я проверю транзакцию, и сделаю подтверждение покупки.

Для "вещественных" товаров это не критично - есть время все проверять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну да, есть параметр amount. Тогда действительно стоит проверку сделать, благо она простейшая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В моем случае это критично - при покупке цифровых товаров, после оплаты статус меняется автоматически, для возможности покупателю тут же скачать товар. Теперь придется создавать неудобства, на ожидание, пока я проверю транзакцию, и сделаю подтверждение покупки.

Для "вещественных" товаров это не критично - есть время все проверять.

Я думаю, стоит автору сообщить - он поправит. Он все время модуль совершенствует, за что ему спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо за уведомление, если кто это подправит, просьба добавить это в действующий модуль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.