7/11/2023
Donald Tusk wrzucił na swój profil na Facebooku krótki filmik z wizyty w sławnej pizzerii w Jagodnie. Na filmiku widać moment płatności fizyczną kartą premiera:
Przeglądając film klatka po klatce można zauważyć, że czerwona karta Visy jest wystawiona przez Pekao.
Jak zapewne większość Czytelników Niebezpiecznika wie, numer karty jest ustandaryzowany. To oznacza, że wiadomo, jaka jest pierwsza cyfra numeru karty, a mając bank, można też ustalić kilka kolejnych cyfr (tzw. IIN/MIB). Są one dla danego wystawcy publicznie dostępne. Korzystając z faktu, że numer karty płatniczej musi też spełniać wymogi algorytmu Luhna, można to wykorzystać do ustalenia numery karty (nawet jeśli na stopklatce nie wszystkie cyfry będą dostatecznie wyraźne, widoczne kształty pozwolą wykluczyć błędne “maski”).
Dlatego premierowi radzimy kartę zablokować. To zawsze mniej zachodu niż ewentualne zgłaszczanie chargebacków i dowodzenie braku “winy umyślnej”, zwłaszcza jak gdzieś po sieci hula nagranie użycia tej karty ;)
Niektórym po ujawnieniu numeru karty może się wydawać, że wystarczy tylko ustawić limity dla transakcji o typie “card not present” na 0 PLN, bo przecież danych z paska magnetycznego czy chipu nie da się odczytać na podstawie zdjęcia, ale… pamiętajcie, że jeśli karta była podana w jakimś serwisie internetowym, to wyciek samego numeru nawet przy ustawionych limitach/blokadzie karty może być problemem. Znajomość numeru cudzej karty może pomóc komuś w przejęciu jej konta (atakiem na pomoc techniczną) gdyż często jed(y)nym pytaniem weryfikacyjnym jest podanie 4 cyfr karty. Opisywaliśmy już takie historie.
Więc kartę nie tylko blokujemy ale też usuwamy z serwisów, pod które ją podpięliśmy (można to namierzyć śledząc historię transakcji w banku).
Ale przecież nie widać CVC/CVV2?
Nie musi być widać. Niestety, nie wszędzie podanie CVC/CVV2 jest wymagane do obciążenia karty (3DSecure włączone dla karty niczego tu niestety nie zmienia — da się defraudować karty w miejscach które tego mechanizmu nie obsługują.).
Donald Tusk poszedł w ślady Kuby Wojewódzkiego
Dwa tygodnie temu na naszych profilach w mediach społecznościowych (i tylko tam, bo temat wydawał się błahostką) opisaliśmy niefortunny post Kuby Wojewódzkiego, który na Instagramie zapozował do zdjęcia ze swoją kartą w taki sposób, że zakrył tylko jej początek. Prezenter nie wiedział, że początkowe cyfry kart płatniczych można prosto ustalić w sposób, który opisaliśmy powyżej, jeśli wiadomo do jakiego banku karta należy. A było wiadomo, bo ta fotka miała być reklamą mBanku.
Niech ktoś powie, że ta reklama to jakiś żart…
Dla tych, którzy nie wiedzą, początek numeru karty da się ustalić, bo wynika ze standardów (ISO/IEC 7812-2/ANSI X4.13) – IIN dla mBanku też. pic.twitter.com/RA37TY72Df
— Niebezpiecznik (@niebezpiecznik) October 25, 2023
Prezenter wpis usunął, po części chyba także dlatego, że na fotce która miała reklamować mBank w tle był budynek z dużym logo PKO BP, które swoją drogą włączyło się zabawnie w dyskusję pod naszym postem. Ciekawi nas, czy Donald Tusk też filmik usunie.
Jestem VIP-em i nagrywają mnie jak płacę — co robić, jak żyć?
Wszystkim, nie tylko VIP-om, radzimy, aby w sklepach płacili gotówką lub smartfonami, za pomocą mechanizmów Apple Pay lub Google Pay. Mają one przewagę nad zbliżaniem oryginalnej karty do terminala — nawet jeśli ktoś Was nagra, to nie odczyta numeru karty.
Jest jeszcze jedna zaleta korzystania ze smartfonów do płatności zbliżeniowych. Jeśli zgubicie smartfona, to nikt nie zapłaci Waszymi kartami, bo przed ich użyciem trzeba telefon odblokować (przynajmniej w przypadku iPhona, bo na telefonach z Androidami to różnie bywa…). Bardziej szczegółową analizę zalet (i wad) płatności smartfonami znajdziecie w tym artykule.
Aktualizacja (13.11.2023 15:31)
A dziś poznaliśmy kod blokady do smartfona Donalda Tuska, bo nagrano go w trakcie posiedzenia sejmu jak wpisywał passcode.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Na moim telefonie (android 13) natywnie było ustawione, że ma działać zawsze (NFC) więc dało się płacić nawet zablokowanym telefonem, kilka minut szperania w ustawieniach i znalazła się opcja wyłączenia NFC przy zablokowanym telefonie. Jakaś bzdura, aż się prosi żeby ktoś tak skubał ludzi
donald tustk nie jest premierem
Ale był, taki tytuł jest już dożywotnio
Ale w Polsce jest mania tytułów. Ilu ludzi na uczelniach się wręcz obraża jak nie powiesz do nich panie profesorze/pani profesor. Chociaż jakie ma to znaczenie?
Drogi Janie, Ta pisownia z małej litery dużo o Tobie mówi. Nie martw się kultury można uczyć się całe życie ;-) ja np. mogę napisać Janusz Kowalski i żyje ;-)
Jakby sie przypadkiem okazalo, ze ta karta byla pozyczona (np. na potrzeby ewentu) to miala by miejsce “real life” puenta calej masy zartow o politykach xD
Kiedy w końcu wymuszą używanie 3D Secure. Ten mechanizm jest bardzo dobry, tylko, szkoda że nie wszędzie wymagany :(
W bankach powinni dodać opcje w stylu odrzuć wszystkie płatności bez użycia 3D Secure i bardzo szybko sklepy internetowe zaczęły obsługiwać 3D Secure, inaczej stracili by klienta.
Osobiście na kartach zawsze mam ustawiony limit na 0 zł na płatności internetowe, bo mało kiedy z tego korzystam. A jeśli już to ekarty wirtualne mBank są tutaj superowe, bo bezpłatnie można ich kilkadziesiąt wygenerować, żeby zapłacić trzeba ją najpierw zasilić, a jak się jej nie używa można użyć tymczasowej blokady i żadna autoryzacja się nie uda.
Dodatkowo nie ma żadnego problemu z zastrzeżeniem karty. W przypadku fizycznych kart nie raz nie chce się zastrzegać kary jak nie ma super ważnego powodu, bo trzeba czekać na kartę, później ją aktywować itd. W przypadku kart wirtualnych w 30 sek mamy kolejną kartę.
A co do płatności telefonem ma to jeszcze jedną zaletę, nawet w przypadku gdyby ktoś ukradł nam odblokowany telefon to i tak nim nie zapłaci. Telefon musi zostać odblokowany chwilę przed płatnością, jak jest dłużej odblokowany to dodatkowo trzeba paluchem potwierdzić tożsamość :) Przynajmniej na nowszych androidach
W karcie wirtualnej przeszkadza mi jej ciągłe zasilanie i rozładowywanie. Używam zwykłej karty debetowej, na której mam ustalony dzienny limit płatności internetowych, który wystarcza mi w 99% przypadków. Dzięki temu nie muszę się martwić o dostępność środków ( każdego tygodnia zawieram 2-3 transakcje). Jeśli potrzebuję wiecej środków to ustawiam limit tymczasowy.
Mam również ustawwione powiadomienia o transakcjach na karcie oraz zablokowane transakcje zagraniczne. Blokada dotyczy tylko zwykłych sklepów i bankomatów, ale podoba mi się, że mBank ma taką opcję.
Tyle, że możliwe jest obciążenie karty bez wcześniejszej autoryzacji. Np. bierzesz auto z wypożyczalni za granicą, wracasz do Polski a do wypożyczalni przychodzi mandat. Nikt się nie będzie pytał jak chcesz zapłacić tylko wypożyczalnia obciąża kartę (dodając sobie prowizje). Jak nie masz pieniędzy na karcie to masz debet. Bo bank nie ma prawa odmówić takiego obciążenia. I dopiero wtedy się o tym dowiadujesz i możesz w banku składać reklamacje. Także jest wiele scenariuszy gdy 0 na karcie nie chroni przed obciążeniem karty. Ale zakupów w normalnym sklepie się nie zrobi.
Do tego numer karty można sobie sczytać apką na telefon z Androidem (normalnie z Google Play, nie żadne dziwne miejsca) z każdej karty zbliżeniowej. Do tego pokazuje tam fajne rzeczy, np. kilka ostatnich transakcji kartą (w przypadku niektórych kart).
Tylko wypożyczalnia będzie miała dane osoby której wypożyczyła (chyba że wierzysz że wypożyczalnie dają auta warte kilkadziesiąt tysięcy niewiadomo komu) i z przyjemnością poda daje złodzieja.
“Więc kartę nie tylko blokujemy ale też usuwamy z serwisów, pod które ją podpięliśmy (można to namierzyć śledząc historię transakcji w banku).” Większość jak nie wszystkie banki mają historię do 2lat ale też można pocztę sprawdzić gdzie potencjalnie podaliśmy kartę np amazon/netflix itp. Uwaga bank millenium po zakończeniu ważności karty(do 01.2023r) wysłał mi nową o tym samym numerze – super bezpiecznie co nie ?
akurat wysyłanie nowej karty (kiedy używanej w sposób naturalny kończy się data ważności) z tym samym numerem to myślę że standard (miałem tak w mbanku, mam tak w millenium). Co innego jednak jak zastrzegę kartę. Nowa zawsze przychodzi z nowym numerem.
Dlatego zawsze przed końcem ważności karty lepiej ją zastrzec niż czekać na nową bo po pierwsze otrzymamy kartę z nowym numerem, a po drugie w wielu bankach wznowienie karty jest płatne, a zastrzeżenie i wysłanie nowej karty za free
Nowa karta ma ten sam numer, ale inna datę ważności i CVC/CVV
Wcale nie przewidzisz jaka to będzie data ważności, jeśli ktoś zna starą :)
Są karty, które mają wydrukowane wszystkie dane tylko na rewersie.
A juz bardziej, o czym zapomnialem wspomniec, w takich sytuacjach dochodza dwa dodatkowe czynniki ryzyka:
1. Zamoznosc osoby ktorej dane mozna sprobowac zregenerowac – cos co moze sie nie oplacac dla zwyklego Kowalkiego, bo srednia wyciagalnych pieniedzy nie zwrocila by kosztow, moze byc warte dodatkowej pracy jesli ktos nalezy do grupy z ktorej da wyciagnac sie wiecej.
2. Szerokopojety “udzial” w roznego typu polityczno-narodowych konfliktach, np. po stronie panstwa bedacego w stanie wojny z jednym z potentatow hackingu, ktory moze bez rekompensaty finansowej narobic klopotow tylko po to zeby siac zament…
nie do konca rozumiem czemu zalecane sa akurat apple i google pay skoro taka funkcjonalnosc umozliwiaja tez apki samych bankow, wiec nie widze powodu aby bylo bezpieczniej dzielic sie swoimi danymi z zewnetrznymi firmami.
Ja polecam etui na kartę, które zasłoni cyferki. Wiem – dziś ciężko znaleźć takie, które przepuszcza RFID, ale jeszcze można coś wykombinować.
Ewentualnie, przy płaskich kartach: wydrapać numer. Kod CVV2 da się chyba zawsze.
A jak to samo piszę ludziom na facebooku, grupie miasta pod postami typu “znalazłem kartę”, to mówią, że mam się puknąć w głowę, bo przecież nie ma np. Numeru CVV.
‘Więc kartę nie tylko blokujemy ale też usuwamy z serwisów, pod które ją podpięliśmy.’
Chętnie, ale niektóre serwisy wymagają podpiętej przynajmniej jednej formy płatności. Co ja mam tam dodać jak paypal nie wchodzi?
‘radzimy, aby w sklepach płacili gotówką lub smartfonami’ Ja tam wolę gotówkę. Mój bank nie musi wiedzieć, że o czwartej nad ranem w monopolowym wydałem 1k złotych.
Drugą kartę z innego banku
@Piotr: A ten inny bank to już nie będzie wiedział, że ja to ja?
Na pewno nasi polscy programiści jakiegoś banku wpadli na pomysł, żeby wpisując 0 na płatności internetowe, ustawiało brak limitu. :D
[…] W zeszłym tygodniu Pan premier dał się nagrać podczas zakupów, dzięki czemu można było poznać szczegóły jego karty płatniczej. Dziś, podczas posiedzenia sejmu kamera uchwyciła moment kiedy Donald Tusk odblokowywał swój […]
[…] Kolejny przypadek wrzucenia do internetu zdjęcia z kartą płatniczą. Niedawno informowaliśmy o zdarzeniu na profilu społecznościowym Kuby Wojewódzkiego, który pokazał swoją kartę, zakrywając jedynie część jej numeru. Większość komentujących zwróciła uwagę na fakt, że było to zachowanie potencjalnie niebezpieczne, a sam zainteresowany usunął wpis, mimo że stanowił on część kampanii realizowanej we współpracy z mBankiem. Niedawno podobna sytuacja miała miejsce na profilu Donalda Tuska, który pokazał filmik, na którym dokonuje płatności kartą za pizzę. Tym razem niebezpieczne zachowanie nie miało związku ze współpracą reklamową. SZCZEGÓŁY TUTAJ […]