Zdravim,
mel bych na blog otazku ohledne podvodu s kartami (Paypalem).
Cas od casu (zatim velmi zridka) se stane, ze se zjisti nejaky problem s platbou kartou.
Jeden ze zajimavych pripadu byl Ind, ktery objednal zbozi, zaplatil Paypalem a pockal si az mu prisel e-mail o odeslani. Nasledne nahlasil, ze transakci neprovedl. Paypal nam sebral penize (“for your own protection” :-)) ). Vubec se s nami nebavili. Zbozi bylo odeslane. Milemu Indovi jsem napsal e-mail, ze vzhledem k tomu, ze se v nasi zemi jedna o trestny cin, predavame celou vec policii (ktera samozrjeme muze provest dozadani v Indii a pripad setrit, ve finale nakonec asi predat do Indie). Chvili se nic nedelo. Pak prisla cela smrst e-mailu od Inda, ze on za nic nemuze, ze nic nehlasil, atd. Nabidnul jsem mu, ze kdyz to zaplati znovu, nic podavat nebudeme. Zaplatil ihned a pak poslal jeste nekolik zprav, ze on neni podvodnik.
Posledni pripad je o to zajimavejsi, ze dany clovek nahlasil po 2 tydnech, ze zbozi nedostal. Vime, ze jej nekdo prevzal, a vime, ze jej pouziva (uz si stahnul aktualizaci software, ta je vazana na serial#). Napsal e-mail, ze chce refund, ze uz nebude cekat dale a zadal claim u Paypalu. Ubehl opet tyden, najednou prislo nekolik objednavek znovu od nej. Na ten samy produkt. Objednavky jsme odmitli s tim, ze od nej penize pres Paypal nechceme, jedine bankou. K tomu claimu (nedoruceni zasilky) se nevyjadril. Nakonec prisel na to jak zaplatit a zaplatil i nepotvrzenou objednavku. Opet pres Paypal, opet ze stejneho uctu :-). Takze nyni premyslim co s tim, zda refund, nebo pockat jak dopadne ten claim? Navic on to objednava z ruznych e-mailu, ktere neodpovidaji jeho jmenu (i kdyz priznal, ze to je ten puvodni kupujici). Adresa taktez, objednava to na ruzne firmy (minimalne tedy jde o danovy podvod).
Dost zasadnim problemem pro nas je, ze lidi chteji zcela bezne posilat na jine adresy nez je uvedeno v Paypalu (maji tam stare adresy, nebo pouzivaji ucet kamarada protoze ne vsude lidi maji karty, pripadne cestuji po svete).
Podotykam, ze u zadneho prusvihu se nejednalo o Afriku/Asii, vzdy to byly “zapadni” zeme.
Dale premyslim o tom, ze Paypal je dost neflexibilni. Potrebovali bychom mit moznost strhnout nekomu penize z karty “sami”, bez dobrovolneho placeni ze strany kupujiciho. Obcas se stane, ze zakaznik potrebuje neco vymenit, opravit, atd. Pro nas neni problem poslat mu ihhned dalsi zbozi jen pod slibem, ze doruci puvodni na nasi adresu (obcas to trva..). Bohuzel zkusenost je takova, ze to vetsinou delat nejde-lide bezne zbozi potom zpet neposlou a my na ne nemame paku. Napr. Amazon v takovem pripade strhne dodatecne penize. Mame my sanci pres nejakeho credit card payment processora udelat neco podobneho?
Zajimaly by mne pripadne i jine postrehy jak zabranit ruznym pokusum o podvod…
Diky,
Martin
Ja k tomu jen musim rict, ze pozor na Paypal. Oni docela casto takto zablokuji penize i bez toho aby kupujici neco delal. Proste znovu kontroluji transakci a kupujici vubec nemusel udelat chargeback nebo nejaky podvod. Ono se da v detailnejsich reportech poznat, jestli ta inquiry byla pocata Paypalem nebo kupujicim. A podle toho se dal zaridis. Hodne problemu jsou i ruzna nedorozumeni a neduvera pro obchod pres hranice.
Nám
My vse resime pres karty. S paypal jsme skoncili po nesmyslne stiznoti zvlastniho zakaznika…
U fyzickeho zbozi je to asi jeste vetsi riziko. Prodej virtualniho zbozi je v tomhle jeste smutnejsi. Temer nikdy u Paypalu penize zpet nedostanes. Vzdy to resime tak, ze ucet uzivatele zablokujeme a snazime se podnikat maximum kroku pro to aby PayPal i my predesli podobne situaci v budoucnu. Ale je to boj s vetrnymi mlyny.
V zasade jsou dva modely, americky, kde zakaznik ma vzdy pravdu a penize dostane okamzite. A evropsky, kde musi obchodnik inicializovat refund, coz je bezpecnejsi. Tj. podle toho kde operuje dana gateway se resi refundy.
A co se tyka strhavani penez z tve strany (inkaso) musis mit firmu v USA nebo UK, jinak ses z vychodu a tedy neduveryhodna zeme a nedovoli ti to vubec zridit. Kluci kvuli tomu jezdi zalozit firmu a ucetnictvi do Londyna.
Zjistili jsme, ze se s Paypalem da docela bavit. A hodne chargebacku vrati klidne zpet. Jednoduche to neni. Musite mit nejakeho account managera a i na toho musite zatlacit. Treba vysvetlit busienss model a rict, ze to je sluzba (ne zbozi). A podle pravidel Paypalu se chargeback neda delat za sluzby (jen za fyzicke zbozi). Takze pak to jde. Ale tusim, ze dokud jim nedelate nejaky vyznamnejsi obrat tak se na vas vykaslou. I my jsme museli dost vyrazne zatlacit.
PayPal je velmi nebezpecny. Ja som sa k svojim peniazom dostal az na sude. Oni potrebuju, aby ich pouzivali ludia, potom biznisu neostane moc na vyber. Cize chrania vzdy a primarne cloveka, firmu prakticky nikdy.
Ak ta zaujima nieco viac o podvodoch s platobnymi kartami, pozri si moju prednasku. Je to len taky uvod, ale mozno sa nieco dozvies
http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-svete-internetovej-mafie
Co sa tyka bran, neviem aky mate obrat. Ak je viac ako 3 mil usd rocne, potom zarucene najlepsia brana je http://www.braintreepayments.com/
Robil som s nimi viackrat, je to fantasticka sluzba s transparentnymi poplatkami, co sa v tomto biznise moc nenosi.
Lokalne je viacero pouzitelnych PP, tri pozitivne referencie mam na http://www.wirecard.at/, ale nikdy som s nimi nic nerobil, tak vobec netusim.
Pre zvysenie ochrany odporucam aplikovat jednoduchu analytiku. Napr. si v adminovi zobrazujte konta podla ich hesiel. Ak ma ucet znovu rovnake heslo, treba ho zacat parovat, ci nema adresu v dosahu byvaleho podvodnika, atd. Potom uz netreba dovolit priamy prevod ale treba ist vyslovene tvrdo s tym, ze chcete dopredu ofotene doklady, alebo prevod na ucet (pozor, ani to nemusi znamenat ze je to koser. Ak si vas vyhliadne profik, tak pre neho to problem nebude).
Vysia uroven je napr. integracia https://www.kissmetrics.com/
Viem, nezda sa to, je to len system na sledovanie metrik. Na druhu stranu vsak monitoruje konkretne uzivatela a jeho spravanie na vasom webe a pouziva na to trosku nepeknejsie praktiky http://www.wired.com/epicenter/2011/07/undeletable-cookie/, cize ho dokaze fakt sledovat krizom krazom. Maju pekne spravene API, takze sa da velmi pekne integrovat cely system do vasho. Ak to spravite tak ako ja pre niektorych klientov, dokazete si takmer prehrat pohyby klienta po webe s tym, ze si to dokazete parovat na rozne ine ucty a konta.
Napr. ak nechcete zbierat doklady ale zaroven chcete overit totoznost, vyzvite kupujuceho k chatu s videom. Ak nepristupi, nepredate. Radsej tak, ako tieto problemy
Diky za tip na platebni brany. Jen jedna pripominka:
“Napr. si v adminovi zobrazujte konta podla ich hesiel. ”
Tohle mi prijde jako cesta do pekla – to jeste dneska skutecne nekdo uklada hesla v plain textu? (nebo nesoli?)
Skor si myslel hash nez plain text(len aby v tom bolo jasno).
Myslel jsem to, co jsem napsal 😉 (pokud to byla reakce na muj post)
Diky Rostovi taky zkousim braintreepayments. Vypada to jako velmi solidni firma. Zajimave je, ze nakonec ten processing stejne dela First Data, ale interface a customer service je braintree.
Tak ono moc moznosti nemas. Vo svete je len zopar 1. line payment procesorov. Tebe ako obchodnikovi ide primarne o to, kto je na konci a co ti ponuka 🙂
Vsak ich nemusis ukladat do plain textu, staci ked vidis, ze je to suhrn rovnakych znakov.
Pokud ‘solis’ tak jak mas, tak ani tohle by ti nefungovalo 😉
Salt je fajn. Treba vsak pouzivat bcrypt (alebo ekvivalent), kde nastavis casovu zataz na vytvorenie hashu.
BTW ano, dnes este kopec webov pouziva plain-text na ukladanie hesiel
Inak ten vas projet uz nieco zarobil?
Inak ten vas projekt synopsi uz nieco zarobil?
Inak ten vas projekt synopsi uz nieco zarobil?
Co zkusit Stripe.com? (bohužel zatím není možné registrovat se z ČR).
Jakkoliv je to asi neuveritelne, me se stalo neco podobneho – po dvou dnech do doby co jsem zaplatil za zbozi paypal sam odsebe zrusil transakci, bylo to dlouhe dohadovani.
Já prodávám licenční klíče k aplikaci přes PayPal a ty stížnosti (chytráček dostal emailem licenční klíč a 5 minut poté podal stížnost že zboží nebylo doručeno) jsem nevyhrával.
Ale nakonec jsem začal používat kouzelné slovo intangible goods (na ně se žádná ochrana kupujícího nevztahuje) a od té doby je většinou OK.
Jinak, pokud máte nějaké zařízení, co se připojuje na server (ať už HW nebo SW), není IMHO žádný velký problém podvodníka na dálku odstřihnout (taky jsem to několikrát udělat, ale často stačilo jen napsat, že ho odstřihnu a on stáhnul claim)…
Přes PayPal prodávám naštěstí jen reklamu, kterou mám i po zaplacení plně pod kontrolou, takže jsem refund ještě neměl.
Ale odstraňovat ty limity na PayPalu byl pěkný děs, na podnikatelském účtu to trvalo několik dní a na osobním asi tři týdny. Plně chápu lidi, co jim zablokují peníze (kvůli limitům), i když si myslím, že to jsou lempli a měli si je odstranit už dopředu.
Ohledně ochrany na to kašlu, prodávám virtuální zboží, takže když někomu vrátím peníze mi nevzniká škoda. Morální dilema jsem zatím neřešil, se mi to nevyplatí.
Porovnávat hesla (či jejich hashe) je zajímavé. Já bych spíš porovnával IP adresy atd. (i když i to jde jednoduše obejít přes high anonymity proxy, tora atd.) Uj ještě, že mě ty chargebacky netrápí.
Vsem doporucim zavolat na jejich business support linku v Irsku. Veskere problemy se daji vyresit velice elegantne, doporucuji shanet osobu jmenem “Olga” (zbytek lidi se ukazal jako dost nepouzitelny).
Jel jsem na delsi dovolenou a povedlo se mi zablokovat Paypal ucet (chtel jsem kolegovi nastavit prava, jeden z kroku nesel provest a tak se to bloklo). Zminena Olga byla schopna vyresit problem temer okamzite, byla velmi ochotna.
V pripade ktery popisuju nahore v e-mailu (blogpostu) jsem jim napsal jestli by mi nezavolali, abychom si ujasnili co dal. Zavolala ten samy den, sice mi nevyhovela (nemohla), ale objasnila mi vsechna vnitrni pravidla. Muzu se sem rozepsat jestli o to nekdo ma zajem.
Myslim, ze nebudu sam kdo bude za podrobnejsi info rad.
Take pouzivame PayPal pro prodej naseho SW, nastesti jsme zatim meli jen jednu stornovanou platbu. Ovsem prvotnim problemum se zablokovanim uctu, dokladanim dokladu a resenim hacku a carek na fakturach jsme se take nevyhnuli.
Bohuzel jakykoli pokus kontaktovat PayPal skoncil automatickou odezvou, pripadne ignoraci uplne.
Dal bych se jeste rad zeptal, jestli nemate nekdo zkusenost s vyplacenim penez z PayPalu v USD nebo EURech v pripade, ze je PayPal napojeny na CZ firmu. Snazili jsme se napojit PayPal na nas EUR ucet, ale neuspesne.
Na blogu Tima Ferrise psali kdysi o jednom startupu. Prohlásili, že Paypal byla jejich největší chyba při startu podnikání. Příště už by vždy investovali do vlastní platební brány.
Proč? Rozjeli obchod s drobnými věcmi a díky Facebooku se nečekaně stal “BOOM efekt.” Měli stovky objednávek každý den. A Paypal jim zablokoval platby s tím, že je to podezřelé či co. Odblokovat účet trvalo dlouho a přišli o spousty peněz.
Nemám s tím zkušenosti, ale Paypal bych nevolil. Jedině na mikro projekt, kvůli prakticky nulovým počátečním nákladům na příjem platby kartou.
to by se mi taky nelíbilo, pokaždé je člověk na něčem závislý, ať už je to doména, webhosting, platební systém atd.. nejlíp nějak eliminovat např.. paypal mimo provoz, dočasně zaplatit přes drahé SMS, převodem nebo přes platební bránu atd.
uz sa na tom pracuje P2P a open source
Najjednoduchšia metí³da ako na podvod s kartami je asi vypracovať si postupne vlastné opatrenia v ktorých budú popísané skustočnostim, ktoré by mohli znamenať podvod. A nezverejniť nich mimo firmu. Proste učit na sa vlastných chybách. Máte niečo také?
Dalsia suvislost co ma napadla: Poistenie balícku a asistovany nakup. Priklad: poslem peniaze cez paypal shipitu, aby urobili asistovany nakup,potom si tovar necham poslat cez shipito air mail (poistenie nie je mozne) alebo inou sluzbou aleb bez poistenia a balicek by sa cestou stratil. Reklamoval by som, ze mi balicek neprisiel a zaroven by som nahlasil na paypal, ze som prisiel o peniaze a vobec som nedostal tovar. Znasa potom tieto naklady shipito? Paypal by mi mal potom podla vsetkeho vratit peniaze. Z toho vyplyva, ze poistenie balicku absolutne netreba lebo riziko prebera shipito. Poslali tovar ktory nedosiel. Tovar dokonca som zaplatil im, takze je na nich aby mi tovar prisiel.
Ja mam od zacatku roku GPWebpay (pres CSOB) – poplatky super (tedy nizke), ale plno zakazniku ma problem zaplatit, zvlaste Jizni Amerika a dalsi vzdalenejsi zeme (karta neprojde autorizaci).
Proto jsem pred nedavnem zavedl Paypal, dosud jsem ho pouzival pouze okrajove. Celkem OK, az na ty poplatky, ty jsou silene, zvlaste u mensich plateb. A taky je ten procentualni poplatek zavisly na zemi, odkud je zakaznik. Takze vim najisto, ze Paypal ne.
Ted zvazuji MoneyBookers (Skrill), nemate nekdo praktickou zkusenost? Odpovidaji poplatky jejich ofiko ceniku? (pokud ano, tak maji celkem dobre ceny)
A jeste k tem braintreepayments, jejich cenik jsem nikde nenasel. A 3M USD mesicne obrat taky nemam. Ma cenu to zkouset s obratem 3M Kc mesicne?
Doplnim ukonceni pripadu druheho claimu:
Paypalu jsme vse vysvetlili, nicmene protoze jsme posilali na jinou adresu nez mel u sveho paypal uctu, bylo mi receno ze bychom to projeli jakkoliv, JEDINE ROZHODNE KRITERIUM je dolozit Paypalu dukaz o DORUCENI (nikoliv ODESLANI) zasilky na adresu presne uvedenou tak, jak je uvedena u transakce. Muj nynejsi dojem, ze to byl uplne jasny podvod, ktery se ten clovek snazil dokonce zopakovat. Horsi je, ze to muze udelat uplne kazdy…
Abych to zkratil, s kupujicim jsme komunikovali intenzivne (chtel objednat dalsi zbozi), az nam nakonec poskytl e-maily, ktere byly trochu proti nemu. Na to jsem mu poslal e-mail se zjistenym skutkovym stavem a informaci, ze ucinime dalsi kroky k ziskani dukazu a nasledne celou vec predavame policii, protoze jde o nekolik trestnych cinu.
Reakce? Nejprve ze “zjisti zda to mohlo byt doruceno”. Chtel znat nejake detaily, tak jsem mu je dolozil. Nakonec napsal ze vezme claim zpet, ale ze mu musime ihned poslat dalsi zbozi 🙂 na dalsi platbu. Nakonec claim stahnul a jeste nezaplatil, nemyslim ani ze by to nakonec udelal.