POLi Payments è un fornitore di servizi di pagamento online australiano che ha iniziato a commerciare in Nuova Zelanda. Sono supportati come opzione di pagamento su alcuni grandi siti eCommerce in Nuova Zelanda, tra cui Air New Zealand, JetStar e The Warehouse.
Fondamentalmente facilita la verifica che, come cliente, hai effettuato un pagamento dal tuo servizio di internet banking, in modo che il venditore possa immediatamente completare la transazione.
È molto interessante, perché le compagnie aeree non applicano una "commissione di pagamento" quando usano POLi (che di solito rappresenta tra $ 10 e $ 20). Sono preoccupato di come ottiene questo.
Come cliente di una banca ANZ, dopo aver visitato il sito web di Air New Zealand, ho scelto l'opzione di pagamento "POLi" e mi sono presentato (mentre ero ancora sul sito di Air New Zealand), con la mia pagina di accesso al servizio di internet banking. Quindi, per essere chiari, la barra degli indirizzi conteneva "airnewzealand.co.nz", che aveva un iframe, il cui indirizzo indicava " link ". Mi aspettavo quindi di accedere al mio Internet banking, a quel punto mi è stata presentata la pagina web di trasferimento bancario ANZ prepopolata, con alcuni campi disabilitati (codice di riferimento, importo ecc.).
Ciò che è stato fatto è che il server POLi stava richiedendo il sito web della banca dal server ANZ, massaggiando l'HTML e passandomi l'HTML. Compilare quindi il modulo, che viene inviato nuovamente al server POLi, che ha poi trasferito nuovamente tali informazioni su ANZ. Questo è stato ripetuto per ogni pagina.
Per questo motivo, POLi è stato in grado di
- pre compilare il modulo di pagamento in modo da non ottenere il codice di riferimento o l'importo errato
- disabilita i campi in modo che non possa cambiarli
- convalidare il pagamento come completato in modo che la transazione possa continuare.
Quali sono le implicazioni tecniche e di sicurezza sociale di questa tecnica?
Grazie a tutti