[Dimitry_Repan]

вы еще пока теоретики на этом рынке. с самими шишками сталкивались именно мы, т.к. остальные тупо сливались или выставляли заград цену.

БИФИТ - разработчик системы Интернет-Банкинга "iBank2".

 

Направлением защиты от DDoS-атак начали заниматься в начале 2009 года. Причина - наши банки начали сильно DDoS'ить и никто на российском рынке не мог предоставить банкам реально действенный сервис, защищающий внедренный и эксплуатируемый в банке iBank2. Даже по безумным ценам.

 

Пришлось самим разбираться.

 

В марте 2009 года я принял решение инвестировать в это направление - время, кадры, деньги. Надо работать на удержание банков.

 

Пересмотрели почти все промышленные решения на рынке, до чего удалось дотянуться. В итоге стали партнерами Arbor'а и Radware'а.

 

На Cisco Guard ставку делать не стали - в апреле 2009 года от одногруппника по Бауманке, работающего в IT-компании в Сан-Франциско, поступила информация, что Cisco c 2009 года перестала инвестировать в развитие Guard'ов и к 2010 году объявит их end-of-sale. Чуть позже эта информация подтвердилась и по российским каналам Cisco.

 

Сейчас работаем по двум направлениям DDoS'а - поставляем в наши банки решения Radware и Arbor + интеграция с iBank'ом, и в рамках техподдержки предоставляем услуги банкам по защите от DDoS-атак экземпляров систем iBank2. БИФИТ - разработчик системы iBank2, и лучше кого бы то ни было знает все технические особенности своей системы и может её защищать. В этом наша узкая специализация как сервис-провайдера. И расширять эту специализацию пока не планирую.

 

Банальные Web-сервера произвольных клиентов мы не защищаем - там свои цены, свой рынок, своя конкуренция, свои методики продвижения и продаж, свои репутационные и маркетинговые инвестиции.

 

Поэтому ни Вам, kostich, ни операторам, предоставляющим услуги защиты от DDoS-атак, конкуренции не составлю. Чистить лучше меня трафик для iBank'а никто не сможет. А потеря легитимного трафика столь ответственного приложения выливается в очень большой вой крупных юриков.

 

ну поставьте их штук 10... всяко дешевле и ЛИКВИДНЕЕ арборов :)

Такой подход некоторые самоделкины используют, когда только прикладной флуд разгребать приходится.

 

Поставили на один сервер HAProxy для распределения HTTP-трафика по ферме серверов-митигаторов и разгребаете на митигаторах входящие HTTP-запросы, разделяя на легитимные от клиентов и нелегитимные от ботов.

 

А с сетевым флудом по всей видимости SRX'ами боретесь?

 

Если о птичках, то NPU и FPGA идут лесом при необходимости стейт контроля...

А вот здесь по-подробнее, плиз. С конкретикой. Какие конкретно решения и на базе каких конкретно NPU приходилось использовать?

 

А какие решения на FPGA смотрели?

 

Диадемовский проект, реализованный в аплайнсе форстена Р-10 смотрели? Не понравилось?

 

А может Syphan'овский ITC220 на Stratix'ах Алтеры в боевых условиях тестировали?

 

Или ограничились только знакомством с решениями Invea-Tech на пятых Virtex'ах и именно на основании оного Вы сделали вывод об отстойности хардварных решений на NPU и/или FPGA?

 

Вы сейчас на той стадии на которой я года три-четыре назад был.

Да, действительно, мы, наверное, еще только в начале длинного и тяжелого пути...

 

Причем тут TMS и Peakflow SP?

А, так Вы не в курсе, что Arbor TMS - одна из компонент комплексного многокоробочного решения под названием Arbor Peakflow SP?!

 

я тут не от лица организации :)

Да что ж мы так за анонимность прячемся, если благое дело делаем?!

 

Я вот без тени сомнения указываю и себя, и компанию.

 

давайте про Ассист что ли...

Ассист - не использует iBank2. У них свое приложение.

 

Хотя в феврале этого года 10-ом форуме по электронному банкингу iFin-2010 к нам на стенд подходил директор Ассиста и я имел честь с ним разговаривать.

 

Ассист проявлял интерес к решению Radware DefensePro. Но у БИФИТа перед другими поставщиками того же Radware DefensePro нет конкурентных преимуществ при защите отличных от iBank'а приложений. Ну разве что в компетенции и опыте технических специалистов (первые три сертифицированных специалиста по Radware DefensePro - мои ребята из Центр компетенции).

 

Потом вроде как периодически созванивались с Ассистом, предлагали взять на тестирование на пару..тройку недель Radware DefensePro + консультации наших технарей. Мы даже предлагали два 1GbE или два 10GbE порта на ММТС-9 (там всё стоит) для очистки трафика в режиме inline. Но Ассист по всей видимости пошел другим путем.

 

Пикфлоу нужен для статы - раз, для нульраута предидосного клиента ISP - два.

Это ж как давно и какую версию Arbor Peakflow SP Вы, kostich, последний раз смотрели?! 2.0?!

 

Основная задача этой железки заключается в алярме инженерам обсулживающим многопировую сетку... потому что руками там искать очень долго, а дорогой сенсор это еще не только сенсор, а еще и пять кило полезной статистики для маркетоидов

Может Вы, kostich, сенсор с коллектором путаете?

 

В качестве сенсора у операторов используются преимущественно маршрутизаторы, способные по netflow/cflow/jflow/sflow отдавать информацию от трафике в коллектор Arbor CP5500. Или же в качестве флоусенсора может использоваться тот же Arbor TMS, включенный в режиме inline.

 

заматеревший бизнес мыслит откатами.

Тяжело Вам, kostich, в бизнесе :)

 

любой защищенный вами банк достаточно недорого могут привалить на месяц. когда грамотный заказчик выйдет на грамотных исполнителей, то будет всё лежать как часы.

Всё зависит от полосы атаки. Если полоса превысит мощности наших аплинков и пиров - то да, DDoS-атака достигнет своего результата.

 

Мы свои uplink'и постоянно расширяем и дополняем - хотя и дорогое это удовольствие.

 

Если же полосы пропускания наших аплинков и пиров хватит - тогда атаку сдюжим. Даже хорошо подготовленную.

 

давайте смотреть правде в глаза. если я завтра выпущу железку стоимостью 10к баксов, то послезавтра её купят все хостинги... и банки, и какой-то корпорейт. с руками и ногами оторвут...

Готов разместить заказ на 100 штук сразу. Серьезно. Оборудования на лям положу на склад и буду своим банкам продавать.

 

но на фоне моих выссказываний про то что всё в итоге упрется в каналы и пиринговую структуру многие от этой затеии откажутся и будут по прежнему пользоваться услугами специализированных фирм предоставляющих защиту от DDOS.

Владельцы Web-сайтов - в большей части ДА. Будут пользоваться Вашим стандартным сервисом DDoS-защиты стандартных HTTP-ресурсов.

 

Банки и корпорэйт - в большей части НЕТ ибо предпочитают сами контролировать ситуацию и за бОльшие расходы снижать риски своего бизнеса. Банки и корпорэйт понесут эти железки своим операторам дабы воткнуть оные на 1GbE или 10GbE порты и самим чистить весь свой трафик, идущий в итоге в узкий 10..100Мбитный канал до офиса банка/корпорэйта. А оператору остается продавать IP по межоператорской схеме burstable 5% с высоким верхним ограничением полосы.

 

 

[kostich]

Направлением защиты от DDoS-атак начали заниматься в начале 2009 года. Причина - наши банки начали сильно DDoS'ить и никто на российском рынке не мог предоставить банкам реально действенный сервис, защищающий внедренный и эксплуатируемый в банке iBank2. Даже по безумным ценам.

те кто к нам обращался сервис получали.

 

Поэтому ни Вам, kostich, ни операторам, предоставляющим услуги защиты от DDoS-атак, конкуренции не составлю. Чистить лучше меня трафик для iBank'а никто не сможет. А потеря легитимного трафика столь ответственного приложения выливается в очень большой вой крупных юриков.

какая мне разница для чего чистить трафик? или там что-то отличное от IPv4?

 

Или ограничились только знакомством с решениями Invea-Tech на пятых Virtex'ах и именно на основании оного Вы сделали вывод об отстойности хардварных решений на NPU и/или FPGA?

есть алгоритмы упирающиеся в быстродействие оперативной памяти и шины. для тупого дропа пакетов по паттернам железа валом, а решений с full state для больших нагрузок на рынке нету. так что массштабируемся как можем. по стоимости фильтрации за 1mpps сервера всяко дешевле. если напрягают юниты, то берите твин от супермикры. если кто-то тут скажет сколько серверов у пролексика, хотя бы приблизительно, то волосы у многих встанут дыбом.

 

Да что ж мы так за анонимность прячемся, если благое дело делаем?!

да нет никакой анонимности. все кому интересно знают :)

 

Всё зависит от полосы атаки. Если полоса превысит мощности наших аплинков и пиров - то да, DDoS-атака достигнет своего результата.

тогда зачем банку перманентно покупать 10 гиг транзита по бёрст системе?

 

Владельцы Web-сайтов - в большей части ДА. Будут пользоваться Вашим стандартным сервисом DDoS-защиты стандартных HTTP-ресурсов.

 

Банки и корпорэйт - в большей части НЕТ ибо предпочитают сами контролировать ситуацию и за бОльшие расходы снижать риски своего бизнеса. Банки и корпорэйт понесут эти железки своим операторам дабы воткнуть оные на 1GbE или 10GbE порты и самим чистить весь свой трафик, идущий в итоге в узкий 10..100Мбитный канал до офиса банка/корпорэйта. А оператору остается продавать IP по межоператорской схеме burstable 5% с высоким верхним ограничением полосы.

стоимость атаки в 15 гиг порядка 200 баксов в день. валит из всех пиров, в т.ч. и из IXных. зачем банку покупать 10 гиг транзитного бёрста, если вдулить на него гигов 25 круглосуточно стоит несравнимо меньше?

Изменено 29 июля, 2010 пользователем kostich

[zurz]

какая мне разница для чего чистить трафик?

есть алгоритмы упирающиеся в быстродействие оперативной памяти и шины. для тупого дропа пакетов по паттернам железа валом, а решений с full state для больших нагрузок на рынке нету. так что массштабируемся как можем.

Защитить клиент-серверное приложение, написанное школьником Васей, в общем случае всё равно не удастся, какой бы супер-пупер крутой full-state вы на него не взгромоздили. Конечно, для такой задачи о сферическом коне в вакууме ничего гибче комповых решений не будет никогда, ибо на железе (NPU,FPGA) сделать полноценный connection-tracking для >4к соединений - уже проблема (при этом про оценку производительности даже речь никто заводить не станет). И винить в этом надо не производителей железа, а криворукого программиста, который думает категориями "будет тормозить - сервак пожирнее купят".

В правильных местах клиент-серверный интерфейс уже давно пишется исходя из условий, что на бордере всё говно будет отфильтровано 7-8 строчками acl. Не исходя из условия "дропаем говно", а исходя из условия "пропускаем нужное". При этом железный бордер эти 7-8 строчек легко переваривает на wirespeed.

 

[martin74]

а как 7-8 строчек acl на бордере защитят http сервер от ddos по 80 порту?

[zurz]

martin74

А вы можете назвать серьёзный HTTP-сервис, который понесёт значительные убытки от "лежания" в течении 3х дней?

А стоит ли полагаться на HTTP-транспорт в настолько критичной задаче?

 

[s.lobanov]

интернет-магазин?

[zurz]

интернет-магазин?

для полноты картины расположенный на VPSе, ага это занятно, весьма. =)

[CNick]

martin74

А вы можете назвать серьёзный HTTP-сервис, который понесёт значительные убытки от "лежания" в течении 3х дней?

А стоит ли полагаться на HTTP-транспорт в настолько критичной задаче?

говносайтик на хостинге который ISP продает своим клиентам как дополнительную услугу + почта.

у нас эта проблема не так актуальна, а на западе услуга довольно популярна и если будет валяться три дня чревато потерей клиентов.

[zurz]

говносайтик на хостинге который ISP продает своим клиентам как дополнительную услугу + почта.

у нас эта проблема не так актуальна, а на западе услуга довольно популярна и если будет валяться три дня чревато потерей клиентов.

както однобоко проблема вырисовывается...

со стороны ISP и его оконечников (читай - локалки) доступа не может не быть - линки настолько широкие, что заДДосить снаружи их невозможно.

звонит клиенту чувак: у тебя страничка не открывается!

клиент заходит с домашнего компа: - не, у меня всё открывается, это у тебя провайдер косячит!

Изменено 29 июля, 2010 пользователем zurz

[vIv]

Мы сейчас нашим банкам и железки поставляем (Radware DefensePro и Arbor Peakflow SP), и интеграцию Интернет-Банкинга с этими решениями делаем, и даже в рамках техподдержки нашего ПО iBank2 бесплатно предоставляем услуги по защите от DDoS-атак. Но при этом с ограниченным SLA.

 

А кому услуги за деньги - там уже пороги существенно повыше. Но весь Интернет не чистим - только iBank2. При этом чистим тонко, без потери легитимного трафика.

С пол-года назад, кажется, была DoS атака на Банк Москвы. В работу было пущено решение с вывешиванием фронт-енда на левый IP адрес. Штатный адрес спасти не удалось, насколько я знаю. БМ сэкономил на защите?

[Dimitry_Repan]

С пол-года назад, кажется, была DoS атака на Банк Москвы. В работу было пущено решение с вывешиванием фронт-енда на левый IP адрес. Штатный адрес спасти не удалось, насколько я знаю. БМ сэкономил на защите?

Жадный банк - всяко лучше расточительного банка :))))

 

БМ всё еще тестирует разные решения.

 

Текущей работы у ребят в отделе сетевой безопасности по-видимому много. Или мотивации на знакомство с новым не хватает.

 

А может быть нам усердия для убеждения банка не хватило...

 

Что в БМе сейчас используется - точно не знаю. Но банку для тестирования предоставляли и Arbor, и Radware.

[vIv]

Текущей работы у ребят в отделе сетевой безопасности по-видимому много. Или мотивации на знакомство с новым не хватает.

Не знаю, входят ли они в службу безопасности или нет, но СБ у них дебиловатая. Они умудрились мне заблокировать электрон, который:

1) находился у меня при себе

2) активно использовался в магазинах

3) имел работающее СМС уведомление (и, соответственно, я не имел претензий ни по одной прошедшей транзакции)

4) в принципе не имеет интернет-обслуживания

с формулировкой "Подозрительные интернет-транзакции". На вопрос "а почему я об этом не знаю? где же они?" промямлили что-то типа "а хер его знает..." и бесплатно заменили карту. Абсолютно уверен, что никто даже не попытался понять, что же произошло.

[CNick]

говносайтик на хостинге который ISP продает своим клиентам как дополнительную услугу + почта.

у нас эта проблема не так актуальна, а на западе услуга довольно популярна и если будет валяться три дня чревато потерей клиентов.

както однобоко проблема вырисовывается...

со стороны ISP и его оконечников (читай - локалки) доступа не может не быть - линки настолько широкие, что заДДосить снаружи их невозможно.

звонит клиенту чувак: у тебя страничка не открывается!

клиент заходит с домашнего компа: - не, у меня всё открывается, это у тебя провайдер косячит!

многие большие провайдеры не заморачиваются и покупают хостинг у хостинговых компаний + сервисы вроде электронной коммерции которые намного легче купить на стороне чем заниматься самим.

а по поводу задосить тут выше уже упоминалось что такое правильный ДДОС )) из опыты, 8 мегабит могут убить веб ферму с 128 ядрами и 128 гигабайтами памяти :)

[kostich]

Защитить клиент-серверное приложение, написанное школьником Васей, в общем случае всё равно не удастся, какой бы супер-пупер крутой full-state вы на него не взгромоздили.

ну мы как-то защищаем приложения написанные Васей, Петей и еще каким Егоркой... :) и вполне успешно.

 

 

В работу было пущено решение с вывешиванием фронт-енда на левый IP адрес.

кажется знаю на чей :)

 

 

 

интернет-магазин?

у некоторых магазов под НГ дневной оборот больше сотни килоевров... или вон оконщики с кондиционерщиками веселые, у которых с сайта больше сотни заказов в день... и до определенной ситуации жило это всё на сраном VPS за 20 баксов в месяц.

Изменено 29 июля, 2010 пользователем kostich

[kostich]

а по поводу задосить тут выше уже упоминалось что такое правильный ДДОС )) из опыты, 8 мегабит могут убить веб ферму с 128 ядрами и 128 гигабайтами памяти :)

есть боты на базе браузерных надстроек, которые заходят на сайт в скрытом окошке, а затем кликают и заполняют там разные формочки... в большинстве решений заканчивается всё каптчей. в случае с банками есть SSL, на который это так же может прилететь и будет кирдык всему интернет-банкингу, что промежуточными железками никак не решается, т.к. на них нельзя вклячить сертификат... и даже если и можно, то сервер с SSL, в отличии от сервера HTTP, должен данные клиенту послать первым... т.е. там сокеты по честному отрабатывать надо. три года к ряду я повторяю про невозможность защиты SSL без HTTP редиректа, но тем не менее это каким-то образом защищают... каким-то образом банки верят в защиту их SSL сервера с помощью какой-то чудо железки, которая умеет защищать без HTTP редиректа.

 

Изменено 29 июля, 2010 пользователем kostich

[zurz]

ну мы как-то защищаем приложения написанные Васей, Петей и еще каким Егоркой... :)

ключевое слово, видимо, както? =)

тут выше уже упоминалось что такое правильный ДДОС ))

GET http://forum.nag.ru/forum/index.php?showforum=x HTTP/1.0\r\n

Host: forum.nag.ru\r\n

где x менять от 1 до 20.

ДДоС абсолютно легитимными запросами, да? =)

 

ИМХО дедос HTTP не нужен. клиент либо расширяется до такого масштаба, при котором ддос не превышает 25% от обычной загрузки, либо его занульраучивают, и он убегает на другой хостенх. Бегание по хостингам продолжается до тех пор, пока ддосерам не надоест, либо схема станет малопригодной для юзания ддоса (по моим наблюдениям как правило не более 4-5 переездов).

 

 

Ну и как вы собираетесь защищать от HTTP-ддоса? На самом деле весьма интересно. Ведь на каждую хитрую жопу найдётся х** винтом :-)

 

 

[st_re]

Они умудрились мне заблокировать электрон, который:

Девочки из абонентского отдела, которые Вам звонили, они не из СБ ни разу, и ни разу не в курсе почему заблокирована карта. Это так в любом банке. не их(девочек) это дело, знать как и что мониторит СБ. Ляпнула она Вам, что сама себе придумала и все. Нужно было ответить "я не в курсе, мне СБ не сообщает"

 

А карту могут заблокировать по 1000 разных причин, начиная от поездки в "нехорошую" страну (в прошлом годе я был на острове испанском в акияне, а мой друг, так совпало, был там же за 2 недели до меня, и нам обоим через 3 месяца по возвращению карты поменяли. Банки у нас разные. Магазины, где карта светилась, скорее всего, не пересекались), заканчивая покупкой в магазине попавшемся на фроде. Да просто где-то скор вышел больше чем надо, и все, карту на замену. Что именно это вызвало, Вам не скажут. да и причина может быть не одна а много маленьких.

 

А то, когда деньги потекут, Вы же первый прибежите заявы катать..

Изменено 29 июля, 2010 пользователем st_re

[zurz]

вроде как единственное, что боты ещё не умеют - это капчу и жмаканье по флешовым кнопкам, не?

ибо редиректы и прочая скриптнЯ относительно легко бэкпортится из того же самого wget'а

[kostich]

вроде как единственное, что боты ещё не умеют - это капчу и жмаканье по флешовым кнопкам, не?

ибо редиректы и прочая скриптнЯ относительно легко бэкпортится из того же самого wget'а

умеют. спросите у мыл.ру или еще у кого из крупных сколько раз в месяц они добавляют новый алгоритм капчи. у нас была атака на клиента когда вводило любую каптчу взятую из существующих библиотек. проблема сама на самом деле не в том что боты распознают или не распознают каптчу, а в том что она вообще на сайте появляется. до 70% аудитории теряется сразу, что равносильно тому же ддосу.

 

[CNick]

а по поводу задосить тут выше уже упоминалось что такое правильный ДДОС )) из опыты, 8 мегабит могут убить веб ферму с 128 ядрами и 128 гигабайтами памяти :)

есть боты на базе браузерных надстроек, которые заходят на сайт в скрытом окошке, а затем кликают и заполняют там разные формочки... в большинстве решений заканчивается всё каптчей. в случае с банками есть SSL, на который это так же может прилететь и будет кирдык всему интернет-банкингу, что промежуточными железками никак не решается, т.к. на них нельзя вклячить сертификат... и даже если и можно, то сервер с SSL, в отличии от сервера HTTP, должен данные клиенту послать первым... т.е. там сокеты по честному отрабатывать надо. три года к ряду я повторяю про невозможность защиты SSL без HTTP редиректа, но тем не менее это каким-то образом защищают... каким-то образом банки верят в защиту их SSL сервера с помощью какой-то чудо железки, которая умеет защищать без HTTP редиректа.

ОМГ, формочки, капчи, ССЛ как все сложно )) иногда все заканчивается на большом количестве повисших соединений когда веб сервер просто перестает открывать новые и сервера выпадают из фермы по причине не возможности ответить на новые запросы.

[zurz]

вроде как единственное, что боты ещё не умеют - это капчу и жмаканье по флешовым кнопкам, не?

ибо редиректы и прочая скриптнЯ относительно легко бэкпортится из того же самого wget'а

умеют. спросите у мыл.ру или еще у кого из крупных сколько раз в месяц они добавляют новый алгоритм капчи. у нас была атака на клиента когда вводило любую каптчу взятую из существующих библиотек. проблема сама на самом деле не в том что боты распознают или не распознают каптчу, а в том что она вообще на сайте появляется. до 70% аудитории теряется сразу, что равносильно тому же ддосу.

согласен.

при таком раскладе имхо капча коррелирует с md5sum или каким-нибудь ещё хешем .jpg-файла, и при достаточной выборке восстанавливается даже не заглядывая внутрь...

 

иногда все заканчивается на большом количестве повисших соединений когда веб сервер просто перестает открывать новые и сервера выпадают из фермы

И снова мы приходим к тому, что защищать HTTP не имеет смысла =) как минимум по причине того что HTTP согласно RFC не является гарантированным транспортом и не содержит элементов AAA

[kostich]

ОМГ, формочки, капчи, ССЛ как все сложно )) иногда все заканчивается на большом количестве повисших соединений когда веб сервер просто перестает открывать новые и сервера выпадают из фермы по причине не возможности ответить на новые запросы.

да атаки разные бывают. могут просто зарядить гигов 15 по ряду префиксов. я писал про то что пробивает разные дорогие железки без какой либо реакции с их стороны.

 

иногда все заканчивается на большом количестве повисших соединений когда веб сервер просто перестает открывать новые и сервера выпадают из фермы

И снова мы приходим к тому, что защищать HTTP не имеет смысла =) как минимум по причине того что HTTP согласно RFC не является гарантированным транспортом и не содержит элементов AAA

Что значит нет смысла?

Изменено 29 июля, 2010 пользователем kostich

[vIv]

Девочки из абонентского отдела, которые Вам звонили, они не из СБ ни разу, и ни разу не в курсе почему заблокирована карта. Это так в любом банке. не их(девочек) это дело, знать как и что мониторит СБ. Ляпнула она Вам, что сама себе придумала и все. Нужно было ответить "я не в курсе, мне СБ не сообщает"

 

А карту могут заблокировать по 1000 разных причин, начиная от поездки в "нехорошую" страну (в прошлом годе я был на острове испанском в акияне, а мой друг, так совпало, был там же за 2 недели до меня, и нам обоим через 3 месяца по возвращению карты поменяли. Банки у нас разные. Магазины, где карта светилась, скорее всего, не пересекались), заканчивая покупкой в магазине попавшемся на фроде. Да просто где-то скор вышел больше чем надо, и все, карту на замену. Что именно это вызвало, Вам не скажут. да и причина может быть не одна а много маленьких.

 

А то, когда деньги потекут, Вы же первый прибежите заявы катать..

Звонил хмурый неразговорчивый мальчик. Мальчик звонил после моего письменного заявления на и.о. управляющего с просьбой сообщить о принятых мерах. Собственно, меня из отделения соединили с кем-то там в СБ по разбору полётов, кто и высказал эту прекрасную мысль. Я задал кучу ***цких вопросов и попросил прокомментировать, - они взяли таймаут и перезвонили в этот же день. Говоривший был вполне компетентен и уже в курсе дел с моей картой. Карта не выезжала за пределы РФ, и даже более того, ежедневно светится в одних и тех же точках. Карта под постоянныи мониторингом по СМС + по интернет-банкингу. Это кредитка с закрытым напрочь интернетом. То-есть совсем. Я требовал в заявлении написать мне письменный ответ о принятых мерах и причинах столь странного события, - "мальчик" предложил компромисс: они не пишут ответ и вообще "забывают", но карту мне "почему-то" перевыпустят бесплатно и срочно (3 дня, а не 7), без заявок с моей стороны, - просто прийти и получить новую. Я согласился.

 

В том-то и дело, что чарджбэки я писать вполне умею, и в БМ уже писал. Достаточно глупо блокировать активно используемую в магазинах кредитку, если у клиента подключен и активно используется интернет-банкинг, заведены мультивалютные счета и активированы SWIFT реквизиты для международных платежей, а кредитка явно светится в обычных магазинах, причём светится постоянно, - уж НЕЗАМЕТНЫЕ транзакции от незнакомых продавцов были бы, мягко говоря, заметны, - если бы они, конечно, были бы возможны. Налицо полное отсутствие анализа ситуации со стороны СБ до моего письменного заявления. Возможно, просто сбой софта, причём уже известный и регулярный, поэтому так легко и утряслось.

[vIv]

вроде как единственное, что боты ещё не умеют - это капчу и жмаканье по флешовым кнопкам, не?

Капчи независимо от алгоритмов и оформления ломают биологические боты. Технология проста, как гвоздь.

 

[AlexBT]

Что значит нет смысла?

А то и значит. Какой смысл защищать открытую для всех калитку?

Надоесть держать калитку для других закрытой, в смысле досить - сами бросят, работа сайта востановится.

 

Критична информация и связь с народом? Так не оставляйте доступ для ублюдков. Ищите другие, полезные бизнесу варианты. А они есть.

Публичность и конфиденциальность - разные вещи. Наивно ходить голой по городу ночью, и надеяться что пьяные хулиганы не изнасилуют...