Логика пополнения и вывода денег, не слишком ли заморочено?

Question

[Сергей Кузнецов]

Создаю около игровой сервис(не биржа, не продажа голды, ничего теневого). Т.к. сервис планируется интернациональный и его основа - это возможность зарабатывать игрокам. Остро встал вопрос о кардерах и прочей нечисти, которые рано или поздно доберутся и сюда.

Пришла мысль как можно усложнить им жизнь на моменте ввода и вывода средств с аккаунтов. Выводить деньги можно только на те же реквизиты с которых было пополнение. Если пользователь по какой-то причине больше не имеет возможности использовать свой счет с которого было пополнение, то он может пополнить с другого и в таком случае выводить он сможет тоже только на него.

Что я упускаю или возможно перегружаю логику?

Comments

[xmoonlight]

Остро встал вопрос о кардерах и прочей нечисти, которые рано или поздно доберутся и сюда.

Какой именно вопрос встал?

Answer 1

[boss_lexa]

кардеры могут просто проверять через вас данные краденных карт на работоспособность, даже ничего не выводя

боророться нужно антифродом, либо штатным от поставщика платежных услуг, либо сервисы сторонние

https://www.maxmind.com/en/solutions/minfraud-services

Comments

[Сергей Кузнецов]

Чтобы зарегистрироваться в моем сервисе, необходимо обязательно привязать телефон через смс на реальный, не виртуальный номер, либо установить 2FA. Будут ли они этим заморачиваться, чтобы проверять работоспособность карт?

В платежных агрегаторах разве нет уже своего антифрода?

[Евгений Ромашкан]

В платежных агрегаторах разве нет уже своего антифрода?

Есть, у тех что на виду точно, всё-равно это обсуждается при интеграции.

Чтобы зарегистрироваться в моем сервисе, необходимо обязательно привязать телефон через смс на реальный, не виртуальный номер, либо установить 2FA. Будут ли они этим заморачиваться, чтобы проверять работоспособность карт?

Купить симку на вокзале не проблема, так что почему бы и нет?)

Выводить средства только на тот счёт с которого они были внесены довольно популярная практика.

А вот это:

Если пользователь по какой-то причине больше не имеет возможности использовать свой счет с которого было пополнение, то он может пополнить с другого и в таком случае выводить он сможет тоже только на него

Как то сомнительно на первый взгляд. Чекнул баланс, увидел 1000$, закинул 10$, вывел 1000$?
Такие случаи всё-же обычно рассматриваются индивидуально через поддержку сервиса

[boss_lexa]

Сергей Кузнецов,

В платежных агрегаторах разве нет уже своего антифрода?

есть, но все зависит от его возможностей и настройки. Могут быть ложные срабатывания и тогда платежи не будут проходить или наоборот пропускать фрод.

кардеры к вам могут прибежать только если проект будет на слуху, а к этому времени у вас уже будет на это бюджет. Если же проект небольшой или вы только на начальном этапе - не стоит так сильно парится, для начала заложите основу в что будет антифрод - а уже его реализацией задуймайтесь когда пойдут ощутимые обороты.

Answer 2

[Александр Кузнецов]

Что можно использовать из очевидного:
- запрет вывода на реквизиты, отличные, от тех, с которых был ввод
- дополнительная верификация (номер телефона/документы/селфи и т.д.)
- запрет вывода на анонимные реквизиты / проверка их принадлежности владельцу аккаунта
- классический антифрод при пополнениях (начиная от соответствия IP местоположению, блокировка прокси и анонимайзеров, заканчивая более хитрыми решениями)
- холд
- отказ от способов пополнения с возможностью отмены платежей
- запрет вывода)

Answer 3

[Анатолий Орешкин]

Самое распространёное это когда хакер меняет все кошельки на свой в базе данных и выводит от всех юзеров Надо сделать после сохранения ключ 1 второе сохранение ключ 2 на ключ 2 вывод невозможен

Comments

[Сергей Кузнецов]

Как защитить базу данных? И как он сможет все вывести на один кошелек с разных акков, если будет проверка на счет с которого было пополнение и на какой выводится?

[Анатолий Орешкин]

Сергей Кузнецов, Кошель с которого пополнялось так же изменят

Answer 4

[xmoonlight]

1. К этому:

Выводить деньги можно только на те же реквизиты с которых было пополнение.

2. Добавить:
Запросить TOTP-PIN-подтверждение при выводе средств и при смене счёта вывода, который обязательно задать(инициировать!) при регистрации.
Он используется в Google Authenticator.

3. И контроль за клиентским устройством (первый раз он его использует или постоянно).
--------------

Если пользователь по какой-то причине больше не имеет возможности использовать свой счет с которого было пополнение, то он может пополнить с другого и в таком случае выводить он сможет тоже только на него.

Смена счёта для вывода должна ОБЯЗАТЕЛЬНО подтверждаться СРАЗУ ПОСЛЕ пополнения, НО! ДО вывода используя TOTP (п.2).

Comments

[Сергей Кузнецов]

Тоже эта мысль недавно пришла. Чтобы добавление новых реквищитов и вывод денег сопровождался смс подтверждением или 2FA

[xmoonlight]

Сергей Кузнецов, никаких смс или 2FA (смс, куки и почта - могут быть скомпрометированы)!
Только TOTP!

[Сергей Кузнецов]

xmoonlight, как 2fa или смс скомпромитировать могут? Хорошо, более подробно изучу тотр, благодарю :)

[Сергей Кузнецов]

xmoonlight, походу я вас недопонимаю. Сначала вы упомянули Google Authenticator как пример применения ТОТР, а потом говорите, что 2FA использовать нельзя, его можно скомпрометировать. Но Google Authenticator и есть 2FA. Поясните пожалуйста поточнее, какую реализацию ТОТР вы подразумевали, если не 2FA на основе Google Authenticator

Смена счёта для вывода должна ОБЯЗАТЕЛЬНО подтверждаться СРАЗУ ПОСЛЕ пополнения, НО! ДО вывода используя TOTP (п.2).

Логику поменял. Выводить можно на любой счет платежной системы допустимый в рамках платежного гейта. Но добавить его можно только через прием смс или Authenticator. Про смс хотелось бы ваш комментарий, почему не нужно рассматривать такой вариант

[xmoonlight]

Сергей Кузнецов, TOTP - это объект-потомок 2FA. Вы всё верно понимаете.

Т.к. 2FA бывают бесконечного кол-ва видов, включая смс, почту и т.д., то я выделил именно то, что необходимо использовать для повышения надёжности:
1. Должно быть привязано к таймеру (зависеть от времени)
2. Должно быть доступно текущими стандартными средствами (приложение GA или его аналоги)

Почему не СМС/почта/куки?
Потому, что всякие бэкдоры умеют читать СМС. И если Вы всё выполните на одном смарте, то есть шанс, что 2FA в таком случае, просто будет бесполезен.

[Сергей Кузнецов]

xmoonlight, а что делать пользователям у которых нет смартфонов и они не могут установить GA или аналоги?

[xmoonlight]

Сергей Кузнецов, это каким таким?
Аналоги - есть для любой платформы, включая под платформу J2ME для олдскульных мобил (кстати, очень надёжный вариант!)

[Сергей Кузнецов]

xmoonlight, большое спасибо за информацию ;)

[Сергей Кузнецов]

xmoonlight, а при добавлении 2FA на аккаунт, номер телефона клиента виден сайту?

[xmoonlight]

Сергей Кузнецов, я ничего не понял. Вы прежде чем задавать вопрос, ознакомьтесь с технологией.

[xmoonlight]

Сергей Кузнецов, заодно, сразу же посмотрите и на "железное" решение (ключ): тут

[Сергей Кузнецов]

xmoonlight, у школьников вряд ли будет 4.7к рублей, чтобы защитить свой аккаунт в моем сервисе :)

[xmoonlight]

Сергей Кузнецов, ну, Вы же можете оповестить юзверей и указать ВСЕ ВОЗМОЖНЫЕ варианты для работы с Вашим сайтом, верно?)

[Сергей Кузнецов]

xmoonlight, можем конечно :) Время покажет и фидбеки

[xmoonlight]

Сергей Кузнецов, Ещё вариант вот надумал:
Можно ещё обязательно просить резервную почту при регистрации (для восстановления акка при потере основной почты и для акцептирования вывода средств через клик по присылаемому линку) и никогда потом не показывать её в аккаунте залогиненому юзеру.
И если он захочет вывести - то туда присылать линк (с hash-подписью).

Ни в коем случае не авто-логинить юзера после того, как он дёрнет линк!
А по клику, попросить ещё раз указать номер кошелька/карты (для подтверждения с тем, куда хотят вывести в аккаунте), куда будет осуществляться вывод средств.

Если линк из письма дёрнули и ввели всё также, как и указали на сайте, то вывод средств - заапрувлен юзером и можно выводить.
PS: Сам линк - из поддомена основного (или другой домен) (чтобы куки основного домена - не передавались!). Например, "href.domain.com" (или что-то подобное...).

Answer 5

[alex-1917]

Подключи Робокассу и не морочь пацанам голову.

Comments

[Сергей Кузнецов]

Смотрел робокассу, не нашел на сайте инфу об авто выплатах

[alex-1917]

Сергей Кузнецов, авто выплаты? Это что? В вопросе не было ни слова авто ни слова выплаты.
У Робо есть как минимум периодические платежи от юзеров
https://docs.robokassa.ru/?_ga=2.41661154.13395971...

[Сергей Кузнецов]

alex-1917,

Пришла мысль как можно усложнить им жизнь на моменте ввода и вывода средств с аккаунтов.

В первом посте, я обозначил, что будет как ввод так и вывод средств