Je platba přes GoPay bezpečná?

[arrange]

Zdravím všechny,

chtěl jsem si objednat předplatné časopisu echo24 a zaplatit převodem z účtu na účet. Naklikal jsem si to na stránkách toho časáku a pak následovalo toto:

• přišel mail z mail-wg0-x234.google.com (2a00:1450:400c:c00::234) s "MAIL FROM:<support @ echo24.cz>" - neměl by mít ten časák vlastní doménu?
• přišel mail z smtp.thosting.cz (185.18.28.13) s "MAIL FROM:<gopay @ gopay.cz>" - opět - neměl by mít platební portál aspoň vlastní doménu?
• tento mail z gopay nebyl samozřejmě nijak zašifrovaný a obsahoval účet, na který se má platba poslat: 670100-2208238594/6210; když ale zadám toto číslo účtu do Googlu, vyjedou mi různá upozornění na aktivity podvodníků svázané s tímto účtem, žádná spojitost s echo24

Je to takto normální? Mám peníze poslat? Vím, že můžu kontaktovat přímo ty firmy, ale předpokládám, že mi řeknou, že je vše naprosto bezpečné a v pořádku, tak, jak to píšou na svých stránkách. Napadá vás nějaký důvod, proč si ty peníze nenechávají posílat přímo na svůj účet, ale přes GoPay?

Díky!

[Reklama]

[wamba]

tento mail z gopay nebyl samozřejmě nijak zašifrovaný a obsahoval účet, na který se má platba poslat: 670100-2208238594/6210;

jestli poslali e-mail s bank. účtem, tak to bych peníze na ten účet, určitě neposílal. To nemá z bezpečnou platbou nic společného ,
zvlášť, když to vypadá že ten účet (po zadání do google) patří nějakému "Live webchat show."

[Lol Phirae]

když ale zadám toto číslo účtu do Googlu, vyjedou mi různá upozornění na aktivity podvodníků svázané s tímto účtem, žádná spojitost s echo24

No, tak to rozhodně zaplať. Pro ověření ještě doporučuju do zprávy pro příjemce napsat čislo kreditky a CVV kód 

[Makovec2]

Píšete že jste si to naklikal na jejich webu: kde přesně? Můžete sem dát odkaz?

[Makovec]

Když se na to dívám tak papírovou formu jim dělá Send - což je bezpečné a vypadá to jinak; elektronickou je možno zaplatit převodem podle tohoto návodu http://echo24.cz/p/platba-bankou-navod

[Reklama]

[Lol Phirae]

elektronickou je možno zaplatit převodem podle tohoto návodu http://echo24.cz/p/platba-bankou-navod

Hmmm, jako variabilní symbol rodné číslo? Tam to asi vážně nemají v hlavách v pořádku.

[arrange]

Píšete že jste si to naklikal na jejich webu: kde přesně? Můžete sem dát odkaz?

http://echo24.cz/s/predplatne, pak klik "čtvrtletní", "Souhlasím s podmínkami", jsem přesměrovaný na gopay, pak klik na záložku "Bankovní převod", "mbank"

Když se na to dívám tak papírovou formu jim dělá Send - což je bezpečné a vypadá to jinak; elektronickou je možno zaplatit převodem podle tohoto návodu http://echo24.cz/p/platba-bankou-navod

Jo, to by šlo, tahle možnost mi unikla - je to trochu krkolomné (rodné číslo, digitální foto dokladu o zaplacení,...), ale asi nejbezpečnější.

Zůstává mi jedna otázka - jak může takto (můj první příspěvek) GoPay vůbec nabízet platby přes internet?! ("Bezpečnost je pro nás na prvním, druhém i třetím místě." - citace z jejich stránky)

[TVL]

• přišel mail z mail-wg0-x234.google.com (2a00:1450:400c:c00::234) s "MAIL FROM:<support @ echo24.cz>" - neměl by mít ten časák vlastní doménu?
• přišel mail z smtp.thosting.cz (185.18.28.13) s "MAIL FROM:<gopay @ gopay.cz>" - opět - neměl by mít platební portál aspoň vlastní doménu?

Tak časopis i platební portál vlastní doménu mají. Co nemají, to je vlastní server. To že si nechávají někde hostovat mi u časopisu nepřijde ani trochu zvláštní a u českého platebního portálu mi to přijde zvláštní jenom málo.

• tento mail z gopay nebyl samozřejmě nijak zašifrovaný a obsahoval účet, na který se má platba poslat:
  

A proč by měl být zašifrovaný? Max bys mohl chtít, aby byl nějak podepsaný, ale to bys chtěl v současném stavu IT moc.

670100-2208238594/6210; když ale zadám toto číslo účtu do Googlu, vyjedou mi různá upozornění na aktivity podvodníků svázané s tímto účtem, žádná spojitost s echo24[/li]
[/list]

Je to takto normální? Mám peníze poslat? Vím, že můžu kontaktovat přímo ty firmy, ale předpokládám, že mi řeknou, že je vše naprosto bezpečné a v pořádku, tak, jak to píšou na svých stránkách. Napadá vás nějaký důvod, proč si ty peníze nenechávají posílat přímo na svůj účet, ale přes GoPay?

Díky!

Já osobně gopay vůbec neznám. Ale pořád můžeš čelit zcela legitimní situaci, že časopis z nějakého důvodu používá tenhle kanál (při pokusu objednat předplatné se na jejich webu logo gopay objeví. A gopay používá nějaký sběrný účet a občas si na gopay založí účet i nějaký podvodník.

Pokud se ti cokoliv nezdá, tak napiš do časopisu - cokoliv @echo24.cz by měli mít pod kontrolou oni. A nic neplať, dokud tě nepřesvědčí, je to v pořádku. Já echo24 občas čtu (teda bez předplatného) a je na první pohled vidět, že to technicky není žádný zázrak, takže mě osobně přijde normální, že mají maily u googlu (já je tam mám na některých doménách taky), že platební údaje přijdou nešifrovaným mail je naprosto normální. A že používají nějaký český platební portál mi přijde zrovna tak normální.

[Mirek Prýmek]

Tak časopis i platební portál vlastní doménu mají. Co nemají, to je vlastní server. To že si nechávají někde hostovat mi u časopisu nepřijde ani trochu zvláštní a u českého platebního portálu mi to přijde zvláštní jenom málo.

Ono se stačí podívat na DNS záznamy, že...

Kód: [Vybrat]

$ host echo24.cz
echo24.cz has address 217.11.230.128
echo24.cz has address 217.11.230.129
echo24.cz mail is handled by 1 aspmx.l.google.com.
echo24.cz mail is handled by 10 aspmx2.googlemail.com.
echo24.cz mail is handled by 10 aspmx3.googlemail.com.
echo24.cz mail is handled by 5 alt1.aspmx.l.google.com.
echo24.cz mail is handled by 5 alt2.aspmx.l.google.com.
Google poskytuje i služby pro firmy, na takovém mailu není vůbec nic divného.

Kód: [Vybrat]

$ host gopay.cz
gopay.cz has address 185.18.30.20
gopay.cz mail is handled by 10 mx1.thosting.cz.
gopay.cz mail is handled by 10 mx.thosting.cz.

To, co tazatel nazývá "vlastní server" není absolutně žádná garance ničeho. Kdyby obě ty firmy měly nějaký virtuál za tři stovky měsíčně a postfix by jim tam nainstaloval Franta-co-tomu-rozumí, tak by to na jejich důvěryhodnosti něco přidalo?

Dneska se externí služby používají na kdeco a jsou k tomu docela rozumné důvody. Že firma X používá k rozesílání obchodních mailů jánevím třeba Mailchimp, nesvědčí absolutně o ničem.

Nehledej "bezpečnost" ve věcech, které s ní nemají nic společného.

[Mirek Prýmek]

zvlášť, když to vypadá že ten účet (po zadání do google) patří nějakému "Live webchat show."

Ne. Bude to nejspíš nějaký sběrný účet GoPay. Logicky GoPay nebude mít pro každého svého uživatele zvláštní účet, že

[to_je_jedno]

GMail a treba takovy Mailchimp(pro ilustraci) mi na duveryhodnosti firmy naopak pridavaji.
Pokud maji Google Apps tak bud zadarmo(tj maji ho jiz nekolik let) nebo plati castky ktere nejsou mensi nez ceska reseni k hostingu za to aby meli kvalitne fungujici mail.
Vzhledem k tomu, ze vidim jak funguje a co umi Mailchimp tak jeho ovladnuti neni otazka pro nejaky bastleni a uz vubec ne na rozesilani "zakoupene databaze milionu CZ kontaktu" :-)

BTW http://www.thosting.cz/sluzby/web - a hele co to je dole za logo :-) a shodou okolnosti ma ten hosting stejneho provozovatele z jihu cech jako goPay....
Inu a proc ten ucet u gopay ma tak spatne google hodnoceni? Jiz bylo napsano komu patri a tim padem je jasne, ze se na to chyta i ruzna spina ktera si mysli, ze tim znesnadni vystopovani.

[Filip Jirsák]

Tak časopis i platební portál vlastní doménu mají. Co nemají, to je vlastní server. To že si nechávají někde hostovat mi u časopisu nepřijde ani trochu zvláštní a u českého platebního portálu mi to přijde zvláštní jenom málo.

Přesně tak. Je to dost smutné, že u tak zjevné věci je teprve sedmý komentář správná odpověď.

Ale že ten český platební portál nejen automaticky nepřesměrovává svůj web na HTTPS, ale dokonce vůbec HTTPS nemá, to je teda síla i na poměry českého platebního portálu.

A proč by měl být zašifrovaný? Max bys mohl chtít, aby byl nějak podepsaný, ale to bys chtěl v současném stavu IT moc.

Podepsané by mělo být především PDF s fakturou – to by bylo pro příjemce užitečnější, než podepsaný e-mail (ověřit podpis PDF je pro většinu uživatelů snazší). Podle mne je dnes nejlepší, když v tom e-mailu je odkaz na HTTPS, kde si lze tu fakturu stáhnout. Přeci jen pokud dnes nějaký uživatel náhodou umí aspoň trochu pracovat s kryptografií, umí to právě s HTTPS – tj. alespoň is překontroluje, že mu v prohlížeči certifikát svítí zeleně a že doména odpovídá tomu, kde chtěl něco platit.

A gopay používá nějaký sběrný účet a občas si na gopay založí účet i nějaký podvodník.

Naopak je velmi pravděpodobné, že budou používat sběrný účet – pokud by se peníze posílaly přímo na účet časopisu, ten mezičlánek v podobě platební brány tam úplně ztrácí smysl.

Pokud se ti cokoliv nezdá, tak napiš do časopisu - cokoliv @echo24.cz by měli mít pod kontrolou oni. A nic neplať, dokud tě nepřesvědčí, je to v pořádku.

To jsem zvědav, jak dopadne. Já jsem to samé absolvoval s Economií – e-mailem přišla faktura na prodloužení předplatného, samozřejmě bez jediného věrohodného podpisu. A když jsem jim poslal e-mail, že by bylo vhodné, když už nic nepodepisují, kdyby dali alespoň na web čísla účtů, kam se platí předplatné, aby si to plátce mohl ověřit. Nedočkal jsem se ani toho. Tady je to ještě komplikovanější, že jsou v tom zřejmě dva subjekty.

[NooN]

Přesně tak. Je to dost smutné, že u tak zjevné věci je teprve sedmý komentář správná odpověď.

Ale že ten český platební portál nejen automaticky nepřesměrovává svůj web na HTTPS, ale dokonce vůbec HTTPS nemá, to je teda síla i na poměry českého platebního portálu.

O com tocis?
Tak ako to maju je standart. Prezentacny web bezi na http a klientske veci na https.
Skus si kliknut na prihlasit alebo registrovat.

[Filip Jirsák]

Tak ako to maju je standart. Prezentacny web bezi na http a klientske veci na https.
Skus si kliknut na prihlasit alebo registrovat.

Ve které banánové republice je to standard? Zkuste se podívat třeba na PayPal, Google Wallet, iTunes… K čemu jsou nějaké sliby o bezpečnosti na stránce, která není dostupná přes HTTPS? Co když tam ve skutečnosti píšou, že je to celé nebezpečné a posílat tam jakékoli peníze je hloupost? Odkazy na smluvní podmínky z registrace opět vedou na HTTP a navíc ty stránky neexistují. Jestli si vymysleli, že to budou mít rozdrobené na x domén třetího řádu, a pak nechtějí zaplatit ani hvězdičkový certifikát, vypovídá to hodně o tom, jak asi investovali do bezpečnosti.

[arrange]

...

Pokud platí to, co píšete, pak opravdu nevím, jak můžu věřit jakékoli zprávě, která mi přijde mailem.

Můj příklad: wedos mi pošle mail "výzva k platbě": ověřím cestu v SMTP hlavičkách, vidím, že začíná na il8-f130.wedos.com (2a02:2b88:1:1::13), a pak jde přímo na můj poštovní server. Číslo účtu 313787/2010 zadám do Googlu, vidím, že je uvedeno na stránkách wedosu. Platím.

Pokud v mailu nesedí ani odesílací server, ani číslo bank. účtu, tak se už nemám čeho chytnout (předpokládám mail bez el. podpisu). Musel bych u každé platby vyhledat kontakt, zavolat, sehnat odpovědného pracovníka, a u něho platbu ověřit. Jak to ověřujete vy?

...

... Tak časopis i platební portál vlastní doménu mají. Co nemají, to je vlastní server. ...

Tak nějak jsem ten svůj první příspěvek chtěl původně napsat, ale nějak mi to nevyšlo

Jinak smolím tedy mail na echo24.cz, snažím se tam dovolat, ale neúspěšně.