POLi Payments es un proveedor de pagos en línea con sede en Australia que ha comenzado a comerciar en Nueva Zelanda. Se admiten como opción de pago en algunos sitios web de comercio electrónico de gran tamaño en Nueva Zelanda, incluidos Air New Zealand, JetStar y The Warehouse.
Básicamente facilita la verificación de que, como cliente, ha realizado un pago desde su instalación de banca por Internet para que el proveedor pueda completar la transacción de inmediato.
Es muy atractivo, porque las aerolíneas no cobran una 'tarifa de pago' cuando usan POLi (que generalmente cuesta entre $ 10 y $ 20). Me preocupa cómo logra esto.
Como cliente de ANZ bank, después de visitar el sitio web de Air New Zealand, elegí la opción de pago 'POLi' y me presenté (mientras aún estaba en el sitio web de Air New Zealand) con mi página de inicio de sesión de banca por Internet. Entonces, para ser claros, la barra de direcciones contenía "airnewzealand.co.nz", que tenía un iframe, cuya dirección apuntaba a " enlace ". Entonces se esperaba que inicie sesión en mi banca por Internet, momento en el que se me presentó la página web de transferencia bancaria ANZ, con algunos campos desactivados (código de referencia, cantidad, etc.).
Lo que se estaba haciendo es que el servidor POLi solicitaba el sitio web del banco al servidor ANZ, le daba un masaje del HTML y me pasaba el HTML. Luego completo el formulario, que se envía al servidor de POLi, que luego vuelve a pasar esa información a ANZ. Esto se repitió para cada página.
Debido a esto, POLi pudo
- rellene el formulario de pago para que no obtenga el código de referencia o la cantidad incorrecta
- deshabilitar campos para que no pueda cambiarlos
- valide el pago como completado para que la transacción pueda continuar.
¿Cuáles son, si las hay, las implicaciones técnicas y de seguridad social de esta técnica?
Gracias a todos