Si possono considerare più frodi / corruzione più transazioni dello stesso importo in breve tempo?

3

Storia precedente

In Sud Africa c'è un sito web in cui posso acquistare energia elettrica prepagata online per il mio appartamento. Al momento dell'acquisto non ho ricevuto il token da usare sulla mia scatola di misura. Ho avuto una conversazione con loro oggi e hanno dato una ragione per cui non ho ricevuto il mio gettone. Incollerò il motivo esatto sotto.

Risposta del rappresentante della società

The reason for the delay is due to the following:

Your transaction will be delayed if we receive a transaction for the same amount with the same cellphone number within 5 days of a previous transaction. Please change your transaction amounts slightly to avoid delays. i.e. R200, R210 and then R220.

This is a precautionary measure to prevent fraud and corruption, and protects both you and us. Should you require more electricity within 5 days of a previous transaction please do a transaction with a different amount as the previous transaction.

Ho risposto dicendo che c'è un bug nel loro sistema per quanto mi riguarda, non è una sicurezza secondo me.

Ora è un ritardo di 12 ore e apparentemente lo stanno usando da un po 'di tempo.

Domanda

La risposta sopra è veramente vera? Ho fatto la sicurezza informatica a Varsity per un semestre, ma non ci sto lavorando in profondità. Questa risposta mi dà una sensazione di disagio. È questo uno dei modi per individuare le frodi per un'azienda che vende energia elettrica prepagata?

    
posta Touch 10.06.2016 - 12:58
fonte

1 risposta

1

Can multiple transactions of the same amount in a short time be considered fraud/corruption?

Sì, è qualcosa che monitoro (o meglio un agente che ho costruito monitor).

a transaction for the same amount with the same cellphone number within 5 days of a previous transaction

ERK?

Personalmente sto cercando eventi multipli che si verificano entro un intervallo di tempo fino a 10 secondi - ma poi mi sento a mio agio che i sistemi monitorati non sono soggetti a attacchi di riproduzione. Tuttavia, hai citato i numeri di cellulare che implicano l'elevato rischio di duplicare gli SMS sull'aggregatore e sul corriere prima che arrivino al punto finale.

vale a dire. a meno che non si estenda la definizione di "integrità" come di solito viene applicata nel dominio Sicurezza, la loro politica sembra risolvere problemi funzionali nel processo di transazione.

Il pagamento è addebitato tramite il tuo fornitore di cellulari o stai semplicemente inviando un mandato alla compagnia elettrica che ti addebita direttamente? Il primo fornisce un mezzo per tutti i tipi di fustigazione, in quest'ultimo caso, non vi è alcuna evidente rotazione di sicurezza in questa storia.

I responded by saying there is a bug in their system

Come sopra - potrebbe non essere colpa della compagnia elettrica. Tuttavia, dal momento che dovevi inseguirli per ottenere questa spiegazione, sono chiaramente più interessati a proteggersi dalle frodi che a proteggerti.

Aggiorna

Da allora mi è venuto in mente che è possibile che il "token" sia costituito da dati piuttosto che fisici (ancora molte congetture su cosa sta succedendo) e quindi potrebbe essere l'oggetto dell'attacco, o più specificamente l'algoritmo da cui viene generato il token.

Il servizio fa ancora schifo.

E se è possibile derivare l'algoritmo da più ordini per lo stesso importo, allora anche la sicurezza fa schifo.

    
risposta data 10.06.2016 - 13:17
fonte

Leggi altre domande sui tag