20:46
8/4/2018

Dostałeś nową kartę z banku pocztą? Dokładnie ją sprawdź przed aktywacją, ostrzega Secret Service. Przestępcy wpadli na nową metodę kradzieży pieniędzy z kart, które do właścicieli docierają pocztą. I — nie mówimy tego często — ta metoda budzi nas podziw. Suszarka w dłoń

Kradzież jest tak prosta, że aż dziw, że dopiero teraz ktoś wpadł, aby tak okradać właścicieli kart płatniczych. Cały trik polega na:

  • 1. Przechwyceniu koperty, w której bank wysyła ofierze nową kartę płatniczą
    2. Otworzenia koperty i podmianie chipa na karcie (można go łatwo wyjąć, jedna z metod, to podgrzanie go suszarką)
    3. Włożenia na miejsce oryginalnego chipa, chipa z innej, nieważnej karty
    4. Odłożenia karty do koperty, zaklejenia jej i umieszczenia z powrotem w skrzynce ofiary
    5. Poczekania aż ofiara aktywuje swoją kartę.

I tu zatrzymajmy się na chwilę i opiszmy na czym polega aktywacja karty. W większości banków trzeba zalogować się na swoje konto internetowe, a następnie w zakładce “karty płatnicze” wpisuje się numer karty i nadaje się jej nowy PIN. Tyle. Od teraz karta jest ważna i można nią wykonywać płatność.

Oczywiście, w przypadku ofiary takiego ataku, pomimo aktywacji karty, ofiara nie będzie w stanie wykonać nią żadnej transakcji w sklepie, ponieważ terminal odczyta podmieniony chip włożony w kartę przez przestępcę, do którego PIN ustanowiony przez ofiarę nie będzie pasował. Co ciekawe, ofiara może z tej karty korzystać w bankomatach, przynajmniej w Polsce, ponieważ część z nich bazuje na pasku magnetycznym — a ten pozostaje w tym ataku oryginalny.

Kradzież w Polsce nie będzie łatwa, chyba, że…

No dobra, a jak przestępca wyciąga kasę z oryginalnego chipu, skoro nie zna PIN-u online jaki został do niego przypisany? Otóż okazuje się, że w USA, w przeciwieństwie do Europy, możliwe są wciaż operacacje CHIP & sign (czyli użycie karty chipowej, ale autoryzowanie transakcji podpisem, nie PIN-em). I dlatego właśnie ostrzeżenie o tym ataku wydały amerykańskie służby. Innymi słowy, ten atak wydaje się być zupełnie niepraktyczny w Europie, chyba że……przestępca po prostu odczyta imię, nazwisko, datę ważności i kod CVV2 i zamiast używać niezbyt często spotykanej w Polsce autoryzacji Chip & Sign, danych odczytanych z karty użyje do zakupów przez internet. Nie musi nawet podmieniać chipa.

Polacy też powinni uważać

A więc choć atak jest póki co realizowany tylko na terenie USA, to mimo wszystko dokładnie oglądajcie koperty z kartami, jakie na Wasz adres przesyła bank. I pamiętajcie, aby po aktywacji karty ustawić na niej odpowiednie limity (co do kwoty i liczby transakcji w ciagu dnia i miesiąca) — to jedno z najlepszych działań ograniczających ryzyko negatywnych następstw oszustwa.

Bezpieczeństwu kart płatniczych poświęciliśmy drugi odcinek naszego podcastu “Na Podsłuchu”, więc jeśli jeszcze go nie podsłuchiwałeś, zachęcamy Cię do tego.

Przypominamy też, że jeśli nie korzystacie z danej karty do zakupów przez telefon albo internet, to możecie całkowicie wyłączyć te kanały płatności — i warto to zrobić (zawsze też możecie je z powrotem odblokować, jak przyjdzie taka potrzeba).

PS. O bezpieczeństwie kart — i szerzej — czyli tym jak bezpiecznie wykonywać zakupy w internecie i korzystać z bankowości internetowej opowiadamy także w trakcie naszych wykładów pt. “Jak nie dać się zhackować?“. Najbliższy otwarty wykład, na który każdy może przyjść odbędzie się 23 maja w Gdańsku. Ale możemy też przyjechać do Twojej firmy i o tym jak bezpiecznie korzystać z internetu i komputera opowiedzieć na zamkniętej prelekcji, wzbogacając ją o praktyczne pokazy cyberataków jakimi codziennie obrywają polskie firmy. Zainteresowany? Daj nam znać.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

83 komentarzy

Dodaj komentarz
  1. Hmm.. W Polsce to chyba aktywuje się kartę za pomocą transakcji kartą potwierdzonej PINem

    • Niekoniecznie transakcją. W wielu bankach możesz kartę aktywowac online. Chociażby MBank.

    • Miesiąc temu założyłem kartę debetową w mBanku. Dopóki nie dokonałem transakcji z wpisaniem pinu nie mogłem płacić przez internet, a nawet biletomat nie chciał przyjąć karty.

    • Po aktywacji pierwsza transakcja i tak musi być z pinem.

    • To się zgadza

  2. Dobrze, że z chwilą “przechwycenia” i tak odpowiedzialność spada na banku i poczcie. Uffff…

    • Też mam takie wrażenie, że skoro karta została uszkodzona w przesyłce to jest to pełen banku. Jeśli chip da się rzeczywiście tak łatwo wyciągnąć i nie uszkodzić go, to coś zdecydowanie powinno się zmienić…

    • W zbliżeniówkach z wspólnym chipem stykowo-bezstykowym takie wyciągnięcie chipa bez uszkodzenia samego chipa lub całej karty jest niemożliwe (antena RFID jest zatopiona w plastiku).

    • Nie! Bank bierze odpowiedzialność tylko po zastrzeżeniu karty. Jeśli ktoś ją ukradnie, a ty o tym nie wiesz – jest to wyłącznie twój problem.
      Żeby być w pełni zabezpieczonym, trzeba wykupić ubezpieczenie.

  3. W UK aktywuje się kartę poprzez jej użycie (zakupy w sklepie, bądź wypłata pieniędzy z bankomatu). Ostatnio jak dostałem nową kartę próbowałem ją aktywować poprzez wykonanie płatności zbliżeniowej i się nie dało. Trzeba było zapłacić normalnie wpisując PIN.

    • W Polsce też contactless się włącza po pierwszej opinowanej transakcji

    • Co to za bank? W HSBC karte odbierasz w banku. Przychodzi tylko info wewnetrzna poczta, ze nowa karta czeka na odbior. W banku od razu tez proponuja aktywacje. Zauwazylem jednak co innego. Nowa karta ma ten sam numer co stara, zmienia sie sie tylko CVC i data waznosci.

    • Ja jako pierwszą rzecz dodałem kartę do Google Pay i zadziałała płatność zbliżeniowa telefonem.
      Co ciekawe nawet nie znam pin do tej karty

    • > Nowa karta ma ten sam numer co stara, zmienia sie sie tylko CVC i data waznosci.

      Dokładnie tak to działa. Numer zostaje ten sam.

    • W wielu innych bankach jest tak samo.

    • @Wujek Pawel LloydsBank … tak apropo każdorazowo przy wyrobieniu karty nowa posiada nowy numer. Zauważyłem że tuż po wyrobieniu karty wszelkie większe transakcje muszę potwierdzać SMSem. Dobrze, jest to jakiś system ochrony, aczkolwiek do mnie karta zawsze przychodziła listem. Choć z zewnątrz nie powiedziałbyś że jest to list z banku. Ulotki jak przychodzą to od razu z zewnątrz widać że jest to list z banku, ale karta jak przychodzi, albo nowy PIN to anonimowo.

    • @Wujek Pawel: Też mam konto w HSBC, ale że przeprowadziłem się 100 mil od banku, w którym mam konto (Sort Code jest przypisany do danej placówki), to karty nowe dostaję zawsze pocztą.

    • @Jerzy: Ja zakladalem zanim sie przeprowadzilem do UK i tez mieszkam od swojej macierzystej jakies 70mil ale karta nigdy nie przychodzi poczta, tylko zawsze dostaje info, ze jest do odbioru w placowce macierzystej. Musze za kazdym razem prosic, zeby przeslali do lokalnej.

    • @Lukasz032: kilkukrotnie miałem nową kartę z Lloyds Bank-u i za każdym razem numery kart różniły się ostatnimi dwoma cyframi, kodem CVC i datą ważności…

    • Mówiłem o polskim podwórku ;) Banki w UK mogą sobie na to pozwolić, w PL już niekoniecznie (karta z danym numerem nie może potem być wydana innej osobie, numer karty nieważnej i nieodnowionej jest do kosza).

  4. u nas już mocno panuje 3d secure i bez kodu z smsa, nikt raczej zakupów przez neta nie zrobi. Jedyne co pozostanie to transakcje paypass, ale ryzykowanie zarzutu kradzieży z włamaniem dla 500zł to raczej kiepski deal.

  5. Na zapominajmy o 3D secure, który nie pozwoli zapłacić pomimo poznania CVV

    • 3DS raz że jest opcjonalny, dwa że działa (praktycznie) tylko w EOG, a trzy że prawidłowo zaimplementowany ma fallback, gdzie jeżeli agent rozliczeniowy zezwoli, to transakcja przejdzie i tak. Ale wówczas na odpowiedzialność agenta rozliczeniowego.
      Inna sprawa, że są banki, które nie tylko olewają specyfikację 3DS, ale i jak kładą system na czas konserwacji (wat? gdzie failover i serwer rezerwowy?) to żadna transakcja online nie przechodzi. Człowiek w GMT-4 polską kartą próbuje “wczesnym wieczorkiem” płacić i zonk, bo serwery padły.

    • “Wilk 2018.04.08 21:29 | # | Reply
      Na zapominajmy o 3D secure, który nie pozwoli zapłacić pomimo poznania CVV”

      Nie zapominamy. Ale to nie działa jak należy :( Bank millenium jak szeroki i długi to dumnie reklamował na swojej stronie ze, posiadają najlepsze zabezpieczenie w Polsce. 4 razy wymieniałem kartę po każdej płatności internetowej zgłaszając ją jako skradziona bo kazdy serwis internetowy łykał moją karte bez 3DS :(

    • Bo 3DS ma chronić bank, a nie użytkownika.
      Jeżeli 3DS nie działa w ogóle, to bank jest stratny w razie fraudu. Jeżeli “0x00 soft technical failure” a agent rozliczeniowy nalega na kontynuację, to on odpowiada. Natomiast fraudy w jednorazowych transakcjach potwierdzonych pomyślnie kodem 3DS są od razu odrzucane, “bo klient podał poprawny kod”.

  6. Ale przecież aby przestępca mógł kupić coś przez internet przy pomocy przechwyconej karty nie musi on wyciągać chip…

  7. W Millenium transakcje przez internet są chronione przez hasło SMS (3D Secure) więc ten sposób też odpada.

    • 3ds karty nie ochroni

    • Niczego to nie zmienia, bo to muszą implementować dwie strony, bank oraz sklep. Jeżeli sklep tego nie ma, to takie zabezpieczenie niczego nie daje.

    • W teorii też mam 3d Secure na mojej karcie z WBK, ale nie zawsze dostaje kod SMS gdy wykonuje płatność, np. na humble bundle czy steamie. Ofc lepiej mieć niż nie mieć, ale trudno mi ufac tej funkcji

    • 3DS w transakcjach typu “polecenie zapłaty” występuje tylko w fazie rejestracji polecenia, czyli na początku. Potem raz autoryzowany merchant może, mając gotowe potwierdzoną “sesję” jechać z karty każdą transakcję dopóki nie odwołasz ważności autoryzacji (na infolinii w banku).

    • Też potem o tym pomyślałem (dość rzadko płacę kartą a większość szła przez stronę która 3D secure obsługiwała). Szkoda, że nie jest to wymuszone po stronie banku.

    • Bo nie może być w poprawnie zaimplementowanym 3DS. Zawsze musi być fallback, ale odpowiedzialność za fraudy przy zastosowanym fallbacku spada na agenta rozliczeniowego.

  8. 3D Secure jest już powszechne w użyciu w Pl.
    I chociaż karty nie ochroni bto ochroni przed niepowołanymi zakupami.

    • 3DS nie powstało jako zabezpieczenie obowiązkowe, a poza tym w niektórych sytuacjach da się w niektórych bankach (np. linkiem “zapomniałem hasło” na ekranie 3DS) wymusić podanie statusu 0x00 (technical malfunction), który zezwala na kontynuowanie transakcji, lecz na odpowiedzialność agenta rozliczeniowego ;)

  9. Nie tylko w USA można wiele zdziałać bez PINu. W Izraelu na porządku dziennym są transakcje bez PINu, ba, nawet bez podpisu (co istotne, także polską kartą). I podejrzewam że krajów z podobnymi standardami znalazłoby się więcej.

    • potwierdzam, w Niemczech, w Belgii, w Szwecji płaciłem kartą bez wklepywania PINu

    • USA do tej pory to najczęściej magstripe+podpis ;)

    • Żeby daleko nie szukać, w Polsce bez PIN-u da się zapłacić w automatach z napojami / przekąskami. I nie chodzi tu o płatność zbliżeniową. Normalnie wkładamy kartę, wybieramy numer produktu na klawiaturze i pobiera pieniądze z konta. Działa to nawet przy zablokowanym pay-passie.

    • UK to samo – karta w GBP z chip i paypass, płącę a tu mi karzą się podpisać… i to właściwie wszędzie przy użyku karty z Poski z kantoru Alior (co więcej ani razu nie udało mi się zapłacić zbliżeniowo)

    • W Niemczech odchodzą od potwierdzeń podpisem. W tym roku w Kauflandzie wreszcie wprowadzili potwierdzenie pinem. Generalnie to Niemcy są jakieś opóźnione w rozwoju technologicznym.

    • > Niemcy są jakieś opóźnione
      And it all comes sofort, if you know what I mean ;)

  10. A skąd pomysł, że fallback w bankomatach działa?

  11. Tylu z Was pisze o 3D secure a prawda jest taka ze jak chca okrasc to okradna pomimo tego. 3D secure zadziala jesli sklep gdzie placicie karta to wspiera czyli to jest poniekad opcjonalne – sklep wspiera, dostaniesz pytanie o autoryzacje, nie wspiera – transakcja leci dalej bez pytania. Sam bolesnie sie o tym przekonalem gdy gdzies wyplynely dane mojej karty w styczniu. Reklamacja 2 transakcji w banku z zubrem nic nie dala, wyjaśnili ze 3D secure dziala jak opisalem wyzej. Uruchomilem chargeback (Mastercard) a i tak nie uznali reklamacji – ok. 1500 pln poszlo w piach gdzies we Francji i UK… Do teraz zastanawiam sie skad dane wyplynely bo uzytkownikiem jestem raczej swiadomym i korzystalem z kilku popularnych sklepów i serwisow gdzie transakcje obsługują raczej znani operatorzy platnosci online.. 3D secure oczywiscie mialem aktywne.

  12. Irlandia – zakładasz konto/kartę debetową.
    Po 3 dniach od zaaplikowania dostajesz kod PIN pocztą z czymś w rodzaju łatek tamper-proof (trzeba oderwać i zostaje po nich ślad.
    Po następnych 2 dniach przychodzi właściwa karta.

    • Polski bank na P – procedura dostania karty wygląda dokładnie tak samo. PIN w czarnej od środka kopercie z perforowanymi brzegami do oderwania, właściwa karta do tygodnia później listem poleconym.

    • A to w jakimś banku w ogóle jest inaczej?
      Zakładałem karty w kilku polskich bankach, zawsze to tak wyglądało – osobno była wysyłana karta, osobno PIN w zabezpieczonej kopercie. Tylko w jednym przypadku kartę musiałem odebrać osobiście w banku(!), natomiast PIN był również wysłany w ten sam sposób.
      Aha, i poza tą jedna kartą, którą musiałem odbierać osobiscie w banku i która nie wymagała aktywacji, od razu można było jej używać (pewnie dlatego trzeba było ją odebrać osobiście) wszystkie pozostałe trzeba było aktywować w bankomacie, nie było czegoś takiego jak aktywacja przez Internet.

  13. > właścicieli kart płatniczych
    Posiadaczy. Właścicielem jest co do zasady wystawca, czyli bank.

  14. Niestety w bankach w USA nie da się ustawić żadnych limitów na karcie. Na stronie baku można sobie co najwyżej pooglądać historię. Przelewów też nie da się zrobić (można zrobić to w oddziale 40$ + % od przelewu). Do płatności nadal służą czeki – tak działa monopol, mimo tego że są tutaj banki takie jak BNP Paribas czy Citi Bank.
    Plusem jest to, że w większości banków jest tzw. 100% fraud liability i to bank jest odpowiedzialny za fraud.

  15. W jednym z Warszawskich hoteli pięknego miesiąca maj 2016r., miałem przyjemność poznać pewnego przemiłego Pana, który to od ponad roku zajmował jeden z apartamentów tego samego hotelu i doskonale znał ten temat.

  16. W niemczech transakcje w sklepach bez podawania PINu to norma. Kasjerka wkłada kartę do terminala i prosi o podpis na paragonie. Nie zawsze porównując go z tym na karcie. Zauważyłem, że jedynie kiedy używałem karty kilka razy tego samego dnia, podczas bodajże piątej płatności był już wymagany PIN. Wszystkie wcześniejsze tylko podpisem.

  17. “… to jedno z najlepszych działań ograniczających ryzyko oszustwa.”
    W tej sytuacji mowa chyba o skutkach oszustwa?

  18. Trochę amerykańskich realiów:
    1. Chip and sign nie tylko jest spotykane i możliwe ale zupełnie powszechne – wszystkie karty są na podpis, nawet te z chipem. Standardem jest to że kelner w restauracji ma terminal na zapleczu a nie przy sobie, bierze ze sobą karte i potem przynosi wydruk z prośbą o podpis.
    2. Najlepsze zabezpieczenie przed fraudami dla klienta to nie robienie limitów ale po prostu fakt że bank bierze pełna odpowiedzialność za fraudy. Nie od 200 euro przy założeniu że natychmiast się zauważy i powiadomi ale po prostu za wszystkie. Raz skradziono mi kartę i zrobiono transakcje na 500 dolarów i nie było żadnego problemu – następnego dnia nowa karta była pod drzwiami z nowym numerem a pieniądze zwrócili. To tylko w Polsce banki przerzucają odpowiedzialność na klienta.

    • Bo my, w Europie, niejako płacimy za ten wysoki standard obsługi klienta w USA. Nie myślisz chyba, że bank zwraca ze swoich środków za te fraudy, które w USA są baaardzo powszechne. To są łącznie setki tysięcy, jeżeli nie miliony dolarów. Oni to sobie odbijają gdzie indziej, m.in. w Polsce – gdzie ceny wyższe, reklamacje utrudnione albo z założenia odrzucone i trzeba walczyć, często nawet w sądzie.

    • Apropos USA, to Amazon ma tak wynegocjowane, że nie pyta o CVV/CVC w ogóle. I działa to także polskimi kartami.

  19. Ciekawsze rzeczy w temacie kart chipowych (z technicznego punktu widzenia – bo nie wyciąganie układów ale programowanie nowych kart) dzieją się od paru lat w Brazylii – a po aktywności tamtej grupy/grup widać, że “sondowali” też rynek brytyjski, choć jak chcieli z tymi swoimi “wynalazkami” zaistnieć w UK – nie mam pojęcia.

    No tak… Krebs o tym nie pisał ;)

  20. Ciekawe – ja 09.2017 na stacji benzynowej w PL zapłaciłem kartą i podpisem. W momencie, w którym czekałem, aż obsługa zadzwoni na policję, dostałem taką propozycję. Nie było problemów ani telefonu od banku.

    • Z jakiej racji mieli dzwonić, jeżeli posługiwałeś się kartą, do której byłeś uprawniony jako posiadacz?

  21. Chip & sign spotkałem w Polsce raz, jak płaciłem kartą za spożywkę w Intermarche
    Zrobiłem karpia konkretnego ale podpisałem i tyle. Nie wiem dlaczego akurat mieli na podpis? Może im coś nie działało. Bo teraz normalnie autoryzuję w tym samym sklepie PINem

  22. Apropos blokowania transakcji MOTO (telefonicznych i pocztowych), to można się niemile przejechać – ja np kiedyś próbowałem pożyczyć samochód z firmy Budget i to co ciekawe w ich biurze (nie na okienku na lotnisku) – i transakcja się odbijała. Po 2-3 próbie przeprosiłem na chwilę, pobiegłem do hotelu (który na szczęście nie był daleko), tam miałem wifi, podłączyłem się do banku, zmieniłem limity, wróciłem i poszło.

    Nie wiem jak terminal to łykał, bo na 100% gość nie przepisywał numeru karty, tylko ją przeciągał… logika by podpowiadała że wtedy terminal powinien zadziałać w trybie CARD-PRESENT…

    Ciekawe czy są jakieś statystyki jak dużo transakcji jest źle oflagowanych.

  23. A jak jest z płatnościami zbliżeniowymi? Jak się prześwietli kartę zbliżeniową innego rodzaju latarką, to widać, że antena zajmuje większą powierzchnię, niż styki chipu. Czy do płatności zbliżeniowych jest inny chip?
    Szkoda, że w czasach, kiedy znaczna część smartfonów ma NFC, trzeba przy płatnościach internetowych przepisywać dane nadrukowane na karcie, co nie jest ani bezpieczne, ani wygodne. W przypadku usług, za które opłaty są naliczane w sposób ciągły (np. Uber) to ma sens, ale jak płatność jest jednorazowa, dawanie firmie możliwości pobierania dowolnej kwoty z konta klienta jest zbędne.

    • Przepisywanie uzywaja tylko przestarzale sklepy. W nowszych jest scam (zdjecie) karty i wpisanie kodu… Nie potrzeba NFC. Kamery sa wszedzie.

  24. Dlaczego na kartach znajduje się Imię i Nazwisko oraz podpis właściciela?

    Przecież to zupełnie nic nie wnosi dobrego, tylko ułatwia przestępcom robotę.

    • Posiadacza, nie właściciela! Ot chociażby po to, by dało się ustalić, czy kartą nie posługuje się ktoś inny niż posiadacz (merchant w razie wątpliwości ma OBOWIĄZEK wylegitymować posiadacza, a w razie niezgodności zatrzymać kartę).

    • Nie raz już zapominałem pinu i wtedy płaciłem inną kartą z innym pinem.
      Nigdy przez te naście lat nikt mi nie sprawdzał Imienia i Nazwiska.

      Nawet w hotelach wystarczyło wsadzić w czytnik i wprowadzić pin.
      Jakiś rok temu zakleiłem tą część taśmą, i tylko się czasem patrzą jak na wariata, że karta pooklejana, ale słowem nikt się nawet nie odezwał.

      To, że gdzieś być może jest jakiś przepis o tym, że ktoś ma Cię prosić o okazanie dowodu to jeszcze nie znaczy, że ktokolwiek tak robi, lub, że to cokolwiek daje.

    • Trochę daje, bo w krajach, gdzie nikt się nie patrzy, przechodzi atak MitM-owy aktywnym urządzeniem między kartą a terminalem, tzw. przewodową kartą – z podmianą po stronie karty metody uwierzytelniania na podpis podczas, gdy terminal myśli, że uwierzytelniono PIN-em. Było tutaj:
      https://niebezpiecznik.pl/post/karty-kredytowe-z-chipem-podatne-na-atak/

  25. nikt nie zwrócił uwagi na fakt, że sam listowny sposób dystrybucji kart jest niebezpieczny. Każdą taką kartę obsługującą płatność zbliżeniową można skopiować nawet jej nie rozpakowując. Nie mylę się?

    • No właśnie żeby aktywować moduł zbliżeniowy trzeba (w PL na pewno) zrobić transakcję (wtedy dopiero karta zaciąga z centrum rozliczeniowego instrukcję od banku, by aktywować moduł).

  26. Który debil i po jakiego grzyba wymyślił Chip and sign??? Jak już robi się wdrożenie na wielką skalę, wymienia terminale to chyba nie po to, żeby utrzymywać stare rozwiązania!

    • A co wiesz o wdrożeniu EMV w USA ? Jak wygląda tamten rynek i czym się różni np. od naszego ? Common Debit AID, routing ?
      Pytanie pomocnicze nr 1: jak wyglądało wdrożenie EMV w UK ? Skąd się wziął termin “chip and PIN” ?
      Pytanie pomocnicze nr 2: liability shift, jaka jest różnica w traktowaniu PINu i podpisu ?

  27. Dostałem ostatnio kartę z nadanym pinem w kopercie. Aktywacja karty przez internet, zmiana pinu możliwa tylko z poziomu bankomatu…

    • Prepaidy czasami się tak wysyła, ale nie kredytówki czy debetówki, przynajmniej w PL ;)

  28. W sumie po co coś wyciągać starczy pospisywać dane karty i czekać na aktywację a potem robić zakupy tam gdzie nie ma 3d secure … kod CCV powinien tez być nadawany on-line jak pis i by nie było problemu.

    • Tyle, że te kody służą do czegoś kompletnie innego! PIN uwierzytelnia użytkownika (w końcu: Personal Identification Number) podczas gdy CVV jedynie kartę (Card Verification Value)! I takoż różni się procedura reklamacji fraudów, bo PIN ma znać tylko posiadacz karty, a CVV może poznać merchant dokonujący transakcji internetowej (ale nie MO/TO! do MO/TO nie używa się ani PINu, ani CVV).

  29. “Uważajcie, żeby przestępcy nie przejęli przesyłki zanim do Was dojdzie…” Poważnie taka rada? Jak mamy to zrobić?

    Trzeba pomyśleć o zmianie kanału dystrybucji nowej karty, jakaś autoryzacja odbioru. I trzeba by tu kampanię społeczną wystosować, aby wywrzeć presję na bankach, które teraz odwalają dziadostwo stawiając na wygodę klienta ponad bezpieczeństwo jego pieniędzy.

    • Tu raczej chodzi o specyfikę powszechnych usług pocztowych w krajach anglosaskich. U nas są listy polecone (które nie kończą w skrzynkach na listy), a u nich FedEx, UPS albo WorldSend. Nasi też mogą kurierami wysyłać listy do rąk własnych adresatów, ale to jest zwyczajnie drogie, bo powszechne usługi pocztowe świadczy co do zasady operator publiczny tudzież naznaczony (zwał jak zwał) – zresztą chyba nawet niedawno uszczelnili redirecty poleconych.

  30. W PKO BP oprócz wpisania pinu na stronie banku trzeba ją aktywować w bankomacie więc raczej nie znając pinu złodziej nie aktywuje karty no chyba że zna pin starej karty a właściciel użył ten sam pin co jest skrajną głupotą.Dobrze jest co jakiś czas zmieniać pin jeżeli bank to umożliwia a przede wszystkim śledzić dzienne transakcje. Jeżeli ludzie tego nie robią sami są sobie winni bo nikt nie ochroni za nas pieniędzy. Ja wiem słyszę już głosy że to bank powinien pilnować no ok ale bank nie jest jasnowidzem że akurat padliśmy ofiarą złodzieja.

  31. blik, blik, blik once again:)

  32. Eeeee – ja tam płacąc chipową kartą na stacjach benzynowych z automatami pre-paid dostaje czasami maila z informacją, że transakcja została odrzucona z powodów technicznych. Pieniądze z konta nie schodzą chociaż odjechałem ze stacji, nie widać transakcji w historii.

    Po tygodniu transakcja magicznie się pojawia jako rozliczona. Śmiem twierdzić, że transakcje w Polsce wcale nie są bezpieczniejsze nawet z ustawionymi limitami. Limity to delikatna sugestia, której banki wcale nie respektują.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: