Previous Entry Share Next Entry
UPS - их нравы
Маска
lerm_ru
Update: спасибо всем за информацию об обыденности части вещей, упомянутых в этой заметке. Все оказалось не так плохо, как мне показалось в первый момент.

Original message:

Что называется - "не могу молчать"!

Во время крайней поездки в Канаду заказывал я кое-что из Интернет-магазина в США - доставка была оформлена через UPS. Покупку я успешно получил, однако через недельку после этого от UPS пришло еще некоторое письмо, описывающее какие-то таможенные сборы. Поскольку одновременно с этим похожее письмо пришло из FedEx-а (другая доставка), на котором большими буквами было написано «это вам просто для информации – платить не надо», то я и на UPS-овское письмо внимания не обратил. Однако, уже дома разбираясь с бумагами, перечитал я это письмо внимательнее и понял, что, скорее всего, они таки хотят от меня денег. Сумма там была смешная, но я-то уже нахожусь в России, а из счета никак не понятно – как его оплачивать (по крайне мере – для меня). Сайт UPS-а также ситуацию не прояснил. Ок, обратимся к ним напрямую – на сайте есть форма отправки писем в их службу поддержки, которой я и воспользовался. Послал свою историю и главный вопрос – как же мне это оплатить? Пришедший ответ просто изумил меня – процитирую кусочек:

The invoice number XXXXXXXX is outstanding for the amount of $X.XX CAD for Canada Customs Duty and Tax for the importation of the goods into Canada.
For payment, you can e-mail me the following information:
- Credit Card holder name
- Credit Card number and expiry date
- CVV2 number listed on the back of the signature strip
Once I take your credit card payment, I will provide you with a confirmation number to show that your payment has gone through and is approved.

Письмо было отправлено с адреса UPS и выглядело как самое обычное письмо из службы поддержки (включая имя отвечавшего сотрудника). Представить себе законный бизнес-процесс, который содержит сбор такой информации по почте, я не смог – фантазии не хватило. Так как другого адреса для связи на сайте UPS не нашлось, то оставался один путь - прямой звонок в офис UPS Canada. Сотрудник, которому я процитировал предыдущее письмо, ответил примерно так:

- Что, прямо так и попросили прислать номер карты по почте? Странно - обычно мы принимаем такие платежи только по телефону, а не по почте. То есть вы можете сообщить эту информацию по телефону (например, сейчас) и мы проведем оплату вашего счета.

Я поперхнулся и от предложенного сервиса вежливо отказался – согласился послать им счет по почте в следующий заезд, на том и завершили разговор.

Глобальные выводы здесь делать не хочется, а частный вывод для меня понятен – избегать пользования UPS Canada при любой возможности.

  • 1
Ну оплата по телефону - нормально, многие компании так принимают (и я платил неоднократно). Имейл - скам однозначно.

Понимаешь, до сегодняшнего дня мне в голову не могло придти, что можно запрашивать всю указываемую информацию через телефон (про почту я не говорю - это даже не обсуждается). Сейчас я порылся - выходит, что такое использование карточек действительно распространено. В данном случае наблюдается явная погоня за наживой платежных систем, т.к. данная практика может рассматриваться как формально противоречащая их же стандарту на примитивную безопасность (PCI DSS), в котором сказано:

Requirement 4: Encrypt transmission of cardholder data across open, public networks
Sensitive information must be encrypted during transmission over networks that are easy and common for a hacker to intercept, modify, and divert data while in transit.
4.1 Use strong cryptography and security protocols such as secure sockets layer (SSL) / transport layer security (TLS) and Internet protocol security (IPSEC) to safeguard sensitive cardholder data
during transmission over open, public networks.
Examples of open, public networks that are in scope of the PCI DSS are the Internet, WiFi (IEEE 802.11x), global system for mobile communications (GSM), and general packet radio service (GPRS).

Телефонный канал можно отнести к такой системе и потребовать его шифрации. Разумеется, я понимаю, что с практической точки зрения существуют намного более доступные способы для получения информации о карточке, но тем не менее указанная ситуация для меня остается дикостью.

neodnakratno platila po telefonu i nichego strashnogo ne sluchilos. k tomu je v konce mes'aca prihodit schet v kotorom ukazani vse tranzakcii s kartochkoi. esli chto-to tam est' chto ti ne paltil to reportish' 'eto v bank.

Спасибо за подтверждение обыденности такой практики.

Ты знаешь, Леш. Это вполне обычная ситуация. Когда в той же канаде например заказываешь из Икеи что-нибудь, то они вообще просят прислать копию лицевой стороны карты по почте. Ну и также продиктовать данные карты по телефону. И нельзя сказать что это плохо/неправильно.
Если говорить про мошенничество связанное с картами, то на самом деле тут все просто, достаточно знать всего 3 параметра: номер, имя и эксп. дату. И все.... Как ты понимаешь, вся эта инфа элементарно (в случае необходимости) достается...
А вот совсем другое дело получается, когда доходит до опровержения транзакций... Если в россии ты придешь и попробуешь откатить в банке транзакцию, то начнутся проблемы, тогда как в канаде наоборот, это магазин должен доказать что ты заапрувил эту транзакцию.
Как-то так.

Ну что сказать - у меня был культурный шок. Я никогда ранее не сталкивался ни с чем подобным (и до сих пор считаю такую практику не совсем корректной). Спасибо за подтверждение обыденности таких операций - это поможет мне разобраться с этим делом быстрее.
Впрочем, это все не отменяет фееричности письма, хотя теперь я и склонен считать это скорее проявлением некомпетентности, чем злым умыслом.

  • 1
?

Log in

No account? Create an account