9:26
27/6/2014

Jeden z naszych czytelników ma wykupioną polisę w Link4, którą chciał przedłużyć i opłacić za pomocą karty płatniczej — o to co go spotkało:

Płatność kartą przez telefon

Rok temu przedłużając polisę OC Link4 zaproponowało zniżkę 5% za płatność kartą kredytową — przystałem, 50zł piechotą nie chodzi. Jakież było moje zdziwienie gdy konsultantka poprosiła mnie o numer karty, datę ważności i CCV, oczywiście odmówiłem. Coś nosem pokręciła, widać było że jej to nie w smak i zaproponowała po paru minutach wysłanie maila z linkiem do płatności online przez jednego z operatorów – da się? Da.

W tym roku sytuacja była analogiczna z tym, że ów linków już “nie wysyłamy od tego roku i musi pan podać dane z karty chcą zachować zniżkę 5%“.

Paranoja jakaś, nie dość że rozmowy mają zapewne nagrywane (czemu konsultant zaprzeczył), ale on sam zawsze może zrobić użytek z takich danych / sprzedać je (to chyba zdrowy rozsądek aniżeli paranoja). Odmówiłem, wolę dopłacić 50 zł zamiast podawać X osobom swój numer karty…

Czy to nie jest dziwne? Ciekawe ilu nieświadomych klientów grzecznie spełniło prośbę. Zastanawiam się jeszcze dlaczego tak im zależy na danych kart kredytowych, że udzielają aż 5% i konsultanci mocno naciskają na podanie, zapewne nie chodzi tylko o pieniądze bo je można przelać również opłacając polisę, lecz bez zniżki już…

I tu czytelnika zaskoczymy. Karty płatnicze po to posiadają kod CVV/CVV2 (który nota bene powinniście zaklejać!):

zaklejony_cvv2_karta_kredytowa

Kod CVV2 na karcie kredytowej - zaklejony

…aby autoryzować transakcje kartą w trybie “card not present” (tzw. MO/TO — ang. mail order, telephone order), czyli właśnie przez telefon czy internet.

W Polsce mamy dość “wysoką kulturę płatności” i kartą przez internet płacimy głównie poprzez paylinki i pośredników w płatnościach (np. Przelewy24.pl, czy Transferuj.pl), które minimalizują ryzyko oszustwa poprzez znaczące ograniczenie liczby podmiotów znających nasz numer karty. Zapewne po części z tego powodu podawanie numeru karty płatniczej w innych miejscach uważamy za coś podejrzanego, ale jak najbardziej możemy to robić i w zasadzie nie powinniśmy mieć z tego tytułu żadnych obaw co do utraty gotówki …o ile poświęcimy trochę uwagi naszym wyciągom (i bierzemy pod uwagę, że ew. reklamacje zajmą nasz cenny czas i nerwy).

VISA/Mastercard Chargeback, czyli jak odzyskać pieniądze z banku po fałszywej transakcji kartowej

Zapamiętajcie, że każdą tansakcję na karcie płatniczej, z którą się nie zgadzacie ZAWSZE możecie reklamować. Najlepiej od razu w trybie tzw. VISA/Mastercard chargeback — banki niechętnie informują klientów o tym sposobie reklamacji (czasami w ogóle o nim nie wspominają), ale jako posiadacze karty macie do niego prawo.

Bank jako wydawca karty zobowiązany jest do prowadzenia procesu chargeback zgodnie z regulacjami międzynarodowej organizacji płatniczej VISA lub MasterCard. Cała procedura chargeback jest regulowana wewnętrznymi przepisami organizacji płatniczych, w jej treść nie ingeruje natomiast prawo krajowe.

Dlatego, niezależnie od tego co bank twierdzi na temat “szans na rozpatrzenie reklamacji”, oprócz złożenia reklamacji transakcji w banku, domagajcie się dodatkowo przesłania formularza VISA/Mastercard chargeback. Zawsze. Redakcji Niebezpiecznika z pierwszej ręki znane są sprawy reklamacyjne w bankach, które ciągnęły się tygodniami, a po zażądaniu przez klienta formularza VISA chargeback, sprawa kończyła się po kilku dniach :-)

UWAGA! Procedura chargeback nie obowiązkuje w mBanku, jeśli poprzez pośredników w płatnościach wybraliście tzw. szybki przelew w mBanku i płaciliście wybierając “przelew rachunku karty kredytowej”.

mTR-maly

Według mBanku nie jest to to samo co płatność kartą, dlatego kartą lepiej płacić bezpośrednio.

Lepsza karta kredytowa niż debetowa!

I na koniec jeszcze jedna mała porada — jak już podajecie dane karty przez telefon, transakcji dokonajcie kartą kredytową, nie debetową. Karty kredytowe mają korzystniejszą dla klienta politykę rozpatrywania reklamacji. W razie oszustwa i złożenia reklamacji, pieniądze nie zostaną pobrane z waszego rachunku bankowego, a zablokowane na linii kredytowej do momentu rozwiązania reklamacji (a to oznacza, że niczego nie straciliście, a dodatkowo bank jest bardziej “zmotywowany” do rozwiązania sporu, bo póki co, to on jest stratny).

Podsumowując, decyzja naszego czytelnika co do płatności kartą przez internet polega na określeniu co dla niego jest ważniejsze:

    1. uzyskanie 5% zniżki ale pod ryzykiem stracenia czasu i nerwów (nie środków!) podczas ewentualnej reklamacji.
    2. brak zniżki, opłacony względnie większym spokojem i brakiem konieczności (tak szczegółowego) monitorowania historii transakcji na karcie niewykorzystywanej do transakcji MO/TO.

PS. Procedurę Visa/Mastercard chargeback można także wykorzystać w sytuacji, w której zakupiony kartą towar lub usługa nie jest zgodna z tym, co znajdowało się w opisie sprzedawcy. Pokój w hotelu nie miał widoku na morze? Słuchawki przyszły w innym kolorze? Zamiast słuchawek przyszła cegła?

PPS. No i na koniec, warto zauważyć, że konsultantka Link4 wcale nie musi “wykradać” danych klientów Link4 (byłoby to wręcz mocno ryzykowne i łatwe do wykrycia), dane kart może po prostu znaleźć w internecie.


Przeczytaj także:



83 komentarzy

Dodaj komentarz
  1. Z tym chargeback to ciekawa sprawa, nie wiedziałem szczerze mówiąc że mamy takie same możliwości jak na zachodzie. W polsce mam przekonanie że jak ktoś mnie oszuka lub ukradnie mi kasę z karty kredytowej to jestem przegrany, powinno się więcej mówić o chargeback’u.

    Współpracuję ze sklepem którego klienci w większości to amerykanie i byłem w szoku jak zobaczyłem ile czasu poświęcają oni na to żeby upewnić się że transakcja jest “legit”. Bo przy każdym chargeback’u po wysłaniu towaru są stratni, także to sprzedawcy bardziej zależy żeby a) towar był najwyższje jakości, b) upewnić się że nie był kupiony z kradzionej karty.

    Obecnie korzystamy z różnych narzędzi np. https://signifyd.com/ i innych do weryfikacji tych zakupów, ale to i tak dodatkowy czas na integracje + abonamenty.

    • Amerykanie poświęcają tyle czasu na sprawdzanie transakcji? :)

  2. Ja już od kilku lat opłacam polisę w ten sposób właśnie w LINK4 i zawsze gdy dochodzi do podawania numeru karty i pozostałych danych konsultant informuje mnie że przełącza mnie na “bezpieczną linię” co się kryje za tym nie wiem ale może bezpieczna linie nie jest nagrywana po prostu. No i póki co nikt mi jeszcze pieniędzy z karty nie zwinął.

    • Numery zapisuje do systemu automat, nie ma sytuacji, że jakiś cfaniak w callcenter spisze sobie dane karty.

  3. Banki jak usłyszą, że chcesz robić chargeback, to od razu chętniej idą na współpracę. Chargeback to wielki kolec w… tyłku wszystkich, którzy przeprowadzają transakcje MO/TO. Znacznie lepiej jest uznać reklamację klienta od razu, niż mieć na głowie ludzi z Visy/MasterCarda pytających czemu chargeback ratio podskoczyło w tym tygodniu. I oprócz zwracania kasy klientowi jeszcze płacić karę za chargeback.

    • I z tego też powodu, okazuje się, że część (w zasadzie to praktycznie wszystkie!) hoteli w ogóle nie przetwarza kart w trybie moto. Moja prepaidowa e-karta podawana przy bookingach przez internet jest przez to odrzucana, a hotel ma pretensje, że “karta nie działa”. Działa, ale jest _tylko_ dla MO/TO, a oni autoryzują ją na terminalu w trybie card present, a nie mo/to — część pracowników hoteli nie wie jak w terminalu przetwarzać karty przez moto (niekótórym już nawet podsyłam instrukcje ;) a pozostałe hotele nawet nie wykupują możliwości rozliczania transakcji w tym trybie od obsługujących ich centrów autoryzacji tzw. procesorów.

    • Piotr, jak to nie wykupują MOTO?? To te numery podawane przy rezerwacji to mogą sobie wsadzić?? Czyli nie mogą potem (po płatności jak się okaże, że np klient rozwalił WC) obciążyć po prostu karty tylko będą musieli występować z roszczeniem? Ciekawe…

    • Skoro nie wykupuja moto, to znaczy ze (i mowie tu z autopsji )
      1. anuluja rezerwacje i ne masz pokoju bo “Probowalismy obciazyc karte ale nie wyszlo ”
      2. Musisz podac inna karte (np. Debetowa lub kredytowa, ale nie ekarte)
      3. Placisz gotowka i wtedy to co piszesz ma sens

    • @Piotrze: Ale z tego co się orientuje to procedura chargeback może być uruchomiona na dowolnej transakcji zarówno card-present jak i card-not-present. Czy Twój wpis sugeruje, że chargeback dla CNP jest inaczej procesowany ?

    • Możesz się podzielić ową instrukcją? :)

    • +1 Dla “Możesz podzielić się ową instrukcją?” :)

  4. To samo miałem ostatnio z AXA. Zależało mi na ubezpieczeniu od dnia następnego więc wymagana była płatność kartą. Zostałem przełączony na bezpieczną linię którą wg AXA nie jest nagrywana. Miałem pewne obawy ale wyjścia nie było. Szkoda, że nie ma automatycznych serwisów do takich zadań albo możliwości szybkiego zapłacenia przez paypal (albo coś w tym stylu).

    • Aż taką wielką różnicę Ci robi, że dane Twojej karty ma zapisany Paypal a nie Link4?

    • karaluch, Konto Paypal możesz zasilać przelewami. Nie musisz podawać danych karty. :)

  5. Nie tylko Link4 … ostatnio wpłatomat uszkodził mi banknot i żeby złożyć reklamację musiałem podać numer karty przez telefon, po odmowie, operator infolinii (euronet) powiedział, że nie może przyjąć reklamacji. Wysłałem jeszcze maila do euronetu o oficjalne stanowisko i … potwierdzili, że mają takie procedury. Co do samego Link4, to już wcześniej ktoś o tym pisał:

    http://samcik.blox.pl/2011/02/Chcesz-zaplacic-karta-za-polise-Musisz-podac.html

  6. Ciekawostka o ktorej malo kto wie – jesli kupisz cos w sklepie on-line placac karta i zrobisz chargeback to odzyskasz kase a sklep dostaje kare w stalej kwocie. Nie wiem czy jest to pod pretekstem visa/mastercard robiacych dodatkowa robote papierowa (choc automatycznie) czy tak mowi kontrakt z procesorem platnosci ale firma w ktorej kiedys pracowlaem za kazdy chargeback chocby najmniejszy dostawala 25GBP kary. Niezla motywacja aby sprawy zalatwiac polubownie, zwlaszcza przy nizszych wartosciach transakcji.

    Bank ma obowiazek chronic swojego klienta, wiec chargeback zawsze wykona ale nalezy traktowac to jako ostatecznosc, chyba ze chcemy sobie ograniczyc mozliwosci kupowania gdy sklepy zaczna nam odmawiac zakupow.

    Patrzac na Paypal – placisz, towar nie dociera, otwierasz dyspute… Paypal decyduje ze nie ma podstawy do zwrotu kasy i zamyka sprawe (jeszcze nie widzialem takiego przypadku ale…) wiec jak sie nie zgadzasz to robisz chargeback (jesli paypal obciazyl karte), odzyskujesz kase, paypal placi kare i zamyka Twoje konto :-)

    • Nie mają prawa.

    • To nie była kara tylko pewnie pośrednik płatności przerzucał koszty obsługi reklamacji na sklep. Sama reklamacja nigdy nie może być większa niż kwota transakcji.

  7. Odnośnie fragmentu ” nie musi “wykradać” danych klientów Link4 (byłoby to wręcz mocno ryzykowne i łatwe do wykrycia)” mam pytanie:
    w jaki sposób to “łatwo” wykryć? Przykładowo: dostałem telefon z dziwnej firmy z dziwną ofertą. O wyciek danych podejrzewam pewien bank i pewnego konsultanta który dzwonił do mnie kilka dni wcześniej. Na moje zapytanie bank nie odpowiedział, a tak naprawde to mogła być równie dobrze inna firma. Jakoś nie wydaje mi się żeby to było łatwe…

    • Telemarketingowcy/konsultanci są nagrywani i mają monitorowane komputery. Gdyby kogoś próbowali naciąć, a klient potem zgłosił się z pretensjami do banku, łatwo takiego pracownika namierzyć. Chyba o to chodziło.

    • “łatwo takiego pracownika namierzyć”
      Chyba nie tak łatwo, powiedzmy, że 10 firm ma potencjalną możliwość kradzieży danych. Karta może być ważna kilka lat. W ciągu jednego roku każda firma może się kontaktować powiedzmy 5 razy. Daje to 50 potencjalnych konsultantów. I jak sprawdzić który ukradł? Jeśli był sprytny to się tego nie sprawdzi. To jest łatwe gdy się wie która firma dała ciała (np. LINK4), ale jeśli po prostu był jakiś wyciek danych – to jak to sprawdzić? Nie da rady raczej..

    • Marketingowcy i infolinie sa nagrywane a czy w momencie gdy pobieraja od Ciebie dane karty to zatrzymuja nagrywanie? Jesli nie zatrzymuja to system nagran nagle wchodzi w zakres PCI-DSS i zaczynaja sie jaja :-)

  8. Kilka lat pracowałem w biurze w UK, gdzie także przyjmowaliśmy płatności kartą.
    Normalnie przez telefon. Nikogo to nie dziwiło.
    W Polsce ludzie sobie po prostu nie ufają i chyba mają powody. W UK dla Polaka to najgorzej pracować w polskiej firmie z Polakami. Polak zawsze wydyma i jeszcze psem poszczuje, a jak jest szefem to uważa, że firma to jego folwark, a pracownicy to chłopi pańszczyźniani. Taka prawda niestety.

    • True story bro…

  9. Pierdu pierdu. Nigdy nie podam numeru karty przez telefon. Wole skorzystać z alternatywnej opcji. Jak wyglądają procedury w bankach/infoliniach wiem od kuchni. Przy odrobinie chęci dostęp do nagrań, dokumentów ma KAŻDY. A z procedurami i bezpieczeństwem jest jak z tą aferą podsłuchową . Służby są super extra przygotowane do obrony kraju a zwykłych podsłuchów nie są w stanie wykryć. Krótka zasada: minimalizuj ryzyko bo z problem czyli ograbioną kartą zostaniesz sam drogi kliencie ;) …

    • Tak, nasze służby są tak zajebiste, że ich statystyki świecą zajebistością.

  10. Dobrze na wszelki wypadek byłoby ich nagrywać. Tylko ciekawe, czy jeśli byśmy ich o tym poinformowali, to bezczelnie by się rozłączyli.

    • Ja tam nagrywam, i jak odzywa się konsultant to go o tym informuję, w “celu poprawienia jakości usługi” :P Nie rozłączają się, ale rozmowa od razu nabiera innego wymiaru, generalnie mniej ściemniają. Na głupie pytania czemu nagrywam, odpowiadam że dla tej rozmowy robię backup gdyby wasz system padł :P jak są dalsze dyskusje, to “bo mam do tego prawo, tak jak wy”. Jeśli to jest firma która ściemnia na maxa, to faktycznie się rozłączy. To bardzo dobry test :)

  11. A co wy na to ze paczkomaty przy platnosciach on line rzadaja loginu i hasla do konta + jednorazowy kod autoryzacyjny jezeli jest wymagany :>
    Ja bym sie nie odwazyl podac takie dane. Jak gdzies wyciekna, ktos moze zmienic mi numer rachunku w ksiazce adresowej lub zleceniu stalym – nie kazdy bank potwierdza to dodatkowo kodami.
    Wogole czesc bankow odmawia potem uwzgledniania reklamacji, jak sie zorientuja ze dane do konta byly podane firmie/osobie trzeciej.

  12. A dla mnie płacenie przez telefon to normalne płatności.
    Często płacimy w sklepie, poprzez internet, a taka płatność widzę, że delikatnie paraliżuje…
    Również miałem taką sytuację ponad rok temu i oczywiście moja nieświadomość była pierwszym argumentem aby tej płatności nie dokonać :).

    W internecie mało informacji (przynajmniej dla obszaru PL), ale “zaufałem” i zapłaciłem ponieważ:
    1. nr telefonu znałem,
    2. rozmowy nagrywane,
    3. zostałem przełączony przez konsultanta do menagera ,który miał możliwość autoryzacji. (nie pamiętam dokładnie, ale również przedstawił się i uświadomił o płatności),
    4. środki przelałem na prepaid (moje środki ostrożności).

    Po podaniu wrażliwych “danych” środki zeszły po 2-3 min, otrzymałem potwierdzenie @mailem i to wszystko :)
    Trzeba się przestawić na taką formę płatności bo będziemy spotykać się coraz częściej, choćby z płatnościami na @ czy smsy.

  13. W końcu jakiś artykuł, który omawia chargeback. Brakowało tego. Dzięki!
    Jeśli chodzi o moje podejście, i tak ufam bardziej systemowi sieciowemu, niż podawaniu numerów przez telefon. Jeżeli dostawca usług płatniczych ma PCI-DSS Level 1, to w zasadzie szanse na wyciek są bardzo niewielkie (choćby z powodu wymagań technicznych, jakie ten certyfikat stawia). Level 2 to już inna historia – stwierdza tylko, że serwerami zarządzają w miarę kompetentni administratorzy.
    Fakt jest jednak taki, że transakcje MO/TO nadal nie umarły i w niektórych krajach mają się dobrze (USA, patrzymy na Was!). O ile pracownicy przestrzegają podstawowych procedur bezpieczeństwa, a system, do którego dane są wprowadzane, też nie składuje ich w formie plain text, powinniśmy być bezpieczni.

    Inna sprawa, czy wiemy, komu tak naprawdę podajemy dane…

  14. Powiedziałbym, że znaczne fragmenty artykułu są bliźniaczo podobne do odpowiednich fragmentów hasła “Chargeback” na Wikipedii, ale nie są zaznaczone jako cytat.
    Nie ładnie, droga redakcjo, nie ładnie.

    • Ech, źle ze mną. Zignorujcie proszę, a najlepiej wywalcie ten mój komentarz. To na moim końcu zjadło formatowanie?

  15. Na info linii lufthansa tez trzeba podawac pelne dane karty kredytowej jak sie chce zaplacic za usluge :)

  16. żeby znaleźć numer karty można też użyć ołówka ;)
    http://s16.postimg.org/zcz3qvxhx/koperta.jpg

    ostatnio w modzie są nawet wypukłe debetówki, nie wiem dlaczego bo żelazka raczej nie wrócą.. chyba ,że dodają +10 do lansu.

  17. To dla podgrzania atmosfery dodam jeszcze, żeby nie było tak radośnie, że wszelkie limity autoryzacyjne kart działają wyłącznie w trybie online (bankomat, terminal elektroniczny). W przypadku, gdy realizujemy płatność “bez obecności karty”, bank zobowiązany jest zaakceptować kwity rozliczeniowe, które po kilku dniach trafiają do banku. Co z tego, że mamy ustawione limity transakcji na 1000 zł skoro gdy przyjdzie obciążenie karty na 5000 musi zostać ono zaksięgowane w ciężar rachunku karty.
    To właśnie dlatego bezpieczniej korzystać z karty nie powiązanej z rachunkiem bankowym na którym trzymamy własne środki finansowe. W przypadku problematycznych transakcji na karcie kredytowej możemy po prostu nie spłacić zadłużenia czekając na wyjaśnienie sprawy (albo spłacić co najwyżej kwotę minimalną żeby nie trafić na liste niesolidnych kredytobiorców gdyby bank chciał nas wkręcić)

    • Kwity może tak, ale VISA/MC mają podłączenia online do banków i zazwyczaj przy płatności card-not-present (nie mówię o całkowicie offline-owym MO/TO, bo taki wymaga pewnie dość specyficznej umowy z bankiem p.t. “chap wszystko, co Ci damy w kwitach”) jednak odbywa się weryfikacja w czasie rzeczywistym, czy delikwent ma jakieś środki na koncie. To znaczy, że przyjmujący płatność bank sprawdza, czy kupujący przypadkiem nie przekracza salda.

      Czy w wypadku LINK4 mamy do czynienia z MO/TO on-line czy off-line – nie wiadomo. Stawiałbym raczej na on-line we współpracy z jakimś payment providerem…

    • Skoro wszystko jest takie super onlineowe, w takim razie jak można wygolić kartę na 5000 PLN, przy max płatnościach radiowych na 50PLN ? Kradzież danych kary odbyła się radiowo. Nazwy banku z litości nie podam, chociaż powinienem.

    • Nie można, bo radiowo można dostać tylko jednorazowy kod autoryzacyjny wygenerowany przez chip. O wiele większe zagrożenie jest z paskiem magnetycznym niż z funkcją zbliżeniową, bo dane na pasku z konieczności są stałe, a dane uzyskiwane z chipa zawierają jednorazowe tokeny autoryzacyjne…

    • Jak nie można? 2 telefony z nfc i apka… Jeden tel przy karcie, drugi przy terminalu, apka robi za TX’a surowych danych i chyba bez problemu powinna polecieć płatność.

  18. Ostanio korzystałem z chargebacku w alior sync. Okazało się, że muszę zadzwonić na infolinię, przez wirtualny oddział tego nie załatwię. Konsultant wysłuchał niezbyt uważnie o co mi chodzi, po czym zwrócił pieniądze na konto w ciągu kilku minut. Ponoć tylko raz na rok coś takiego można zrobić. Także do mastercarda to nawet nie poszło.

    • Z tego, co ja kojarzę, nie ma limitów na częstotliwość w VISA/MC. Inna sprawa, że bank docelowy może informować swoich klientów (czyli sprzedawców/usługodawców; tutaj LINK4, a także innych podpiętych pod niego) o osobach wykorzystujących Chargeback. Jeśli Sync wypadłby słabo, to może bać się wpisania na czarną listę albo zmniejszenia pozycji w jakimś rankingu. Więc blokują, jak mogą.

      Chargebacka używajmy z rozwagą i jako ostatnią deskę ratunku, albo może okazać się, że niektóre sklepy nie będą chciały nas obsłużyć w przyszłości.

    • Alior coś mocno kombinuje. Tylko raz na rok to pewnie bank z własnej woli zwraca trefną płatność. Ja bym spytał o punkt regulaminu visa/mc który narzuca takie ograniczenie :) pewnie bym usłyszał cały stek bzdur zamiast użytecznej informacji, taki sam jak od konsultanta inteligo na temat “bezpieczeństwa” kart radiowych (większość to marketingowe frazesy, na zasadzie tak no bo tak i już).

  19. Chargeback działa, lecz mam wrażenie, że banki/wydawca karty płatniczej (?) celowo utrudniają jego użycie.

    Kiedy mi przytrafił się fail podczas zakupów za granicą i towar nie doszedł i urwał się kontakt ze sprzedającym zgłosiłem sprawę do banku. Rozmowa trwała blisko godzinę, musiałem dyktować treść reklamacji konsultantowi. Dalej przesłałem maila z historią korespondencji ze sprzedawcą do banku. Mało tego – musiałem jeszcze wypisać formularz z opisem przebiegu transakcji i jej szczegółami (! – przecież to wszystko podawałem konsultantowi). Skan wysłałem na @ do banku.

    Po kilkunastu dniach zadzwoniłem do banku i dowiedziałem się, że mimo tego, że status reklamacji jest krytyczny, o co sam poprosiłem, to na rozpatrzenie należy czekać 60 dni roboczych. Sporo.

    Ostatecznie zwrot środków dotarł na konto po około 2 miesiącach a na mój telefon doszedł tylko krótki SMS, że środki zostały zwrócone. Historia dotyczy Alior Sync, teraz T-Mobile Usługi Bankowe / Mastercard.

    • Też przez to przechodziłem w Syncu, tylko w moim przypadku problem wynikał z podwójnego pobrania kasy z mojego konta przy płatności online. Wystarczyło co prawda tylko porozmawiać przez pół godziny z konsultantem, który napisał za mnie reklamację i wysłał mi jej treść do wglądu, ale potem również przez dwa miesiące cisza, sam do nich pisałem, dzwoniłem, cały czas mówili, że sprawa jest w toku, ale miałem wrażenie, że gdybym tego nie robił to by była w toku jeszcze dłuuuugo. W końcu też jakoś po 60-ciu dniach kasę zwrócili.

  20. Przepraszam bardzo, co do diabła znaczy “ów linków”???

  21. w AVIVA jest podobnie, proponują obniżenie płatności w zamian za płatność kartą.
    Osobiście również odmówiłem, nikt mi nie gwarantuje że mój numerek będzie bezpieczny przez następne 100 lat.

    • Masz kartę płatniczą z datą ważności 100 lat?? Wow, moja ma tylko 4 lata…

  22. No a prę paid karty? To fantastyczn

    errozwiązanie Pzdr

  23. Ja założyłem sobie w banku (ING) virtualną kartę Visa – doładowuję ją i te dane podaję tam, gdzie karty wymagają :) Pieniędzy mi nie weźmie bo ich tam nie ma, a jak karta potrzebna to doładuję.

  24. sam byłem pracownikiem działu w link4 (dział ten nazywa się dopis-dział obsługi polis i składki) który za państwa zgodą potrącał ratę składki. o dane które proszą pracownicy link4 możecie być spokojni. mając nr karty kredytowej czy debetowej oraz ten magiczny kod cvv lub cvv2 zupełnie nic nie zrobimy. potrzebujemy jeszcze jednorazowy kod autoryzacji. wszystkie rozmowy są nagrywane i nie ma opcji że użyje ktoś państwa kartę niezgodnie z dyspozycją. kiedyś próbowałem zadzwonić do rodziny i była wielka draka bo akurat rozmowy tego działu są ściśle kontrolowane – głównie po to by dane które podajecie nie służyły do czarnych interesów. pozwolenie na autoryzacje w dziale link4 ma też tylko garstka ludzi więc nawet jak ktoś by chciał z innych pracowników link4 użyć danych z karty i sam ją autoryzować to niestety nie uda mu się. sam kiedyś miałem opory a teraz to już mi mineło – nie mówię by podać każdemu ale w takiej korporacji jak link4 czy firmom tego pokroju bez wahania sam udzieliłbym takiej informacji – przestregam jednak przed podawaniem danych pracownikom nieznajomych firm

    • Posiadajac numer karty i cvv/cvv2 oraz date waznosci i imie i nazwisko klienta (te 3 ostatnie nie zawsze) mozna z powodzeniem pozyskac srodki z rachunku karty. Nie wiem o jakim kodzie jednorazowym mowisz – ale zaden nie jest potrzebny.

    • …może @jk pisze o wewnętrznej aplikacji bankowej…

  25. Paybylink to zgodnie z polska ustawa o uslugach platniczych tzw zestaw procedur i w związku z tym wypełnia definicje instrumentu płatniczego. Wiec można taka transakcje zareklamowac podobnie jak płatność karta płatnicza tylko nie jako chargeback visa MC ale zgodnie z ustawa u usługach płatniczych. Transakcja psypylinkiem jest odwoływalna..

    • Nie w momenckie kiedy pada linia lotnicza a tak kupiono bilet :-)

  26. Mówisz o autoryzacji płatności wewnątrz link4. A artykuł mówi o potencjalnej możliwości wykorzystania, przez nieuczciwego pracownika danych karty do autoryzacji innej transakcji

  27. A ja to robię tak: konto z pieniędzmi, na które przychodzą wypłaty jest w ogóle bez kart. Przelewam wieczorami na konto z kartami małe sumki – “na jutrzejszy dzień do wydawania”. Mam też specjalną kartę do płatności w internecie, która nie jest powiązana z moimi kontami bankowymi. Jeśli wszystko odbywa się w obrębie jednego banku to przelewy są natychmiastowe. Polecam tę metodę wszystkim.

    • też tak robię, lepsze to niż nic. w każdym razie nie jest to żadnym zabezpieczeniem dla terminali offline do płatności radiowych. dane z karty kradnie się radiowo, choćby chipem NFC w jakimś lepszym smartfonie. Karty się przed tym nie bronią, bo nie mają żadnego przycisku typu “teraz można robić transakcje”. pomimo ograniczenia płatności radiowych bez autoryzacji do 50PLN, można wygolić konto i to na debet do wartości 5000PLN, i jest mi znany taki przypadek. bank na szczęście się ugiął i zwrócił kasę.

    • @Jan:
      WTF. Atak typu replay wymaga koordynacji ludzi w dwóch punktach – jednego z czytnikiem obok ofiary, a drugiego w sklepie, przy terminalu (+ połączenie internetowe real-time). Nie da się za pomocą takiego ataku wypłacić gotówki – można tylko kupować, a transakcja może opiewać na co najwyżej 50 zł.

      Odczyt danych z karty nie umożliwi nam też przeprowadzenia transakcji card-not-present (np. w Internecie), ponieważ dane te nie zawierają CVV2 (nie dotyczy kart, które mają CVV1 – starsza generacja; tu akurat brakuje mi informacji – takich kart raczej jednak nie ma już w obiegu).

      Bez CVV2 w większości miejsc (czytaj: cywilizowanych krajów) nic nie kupimy w trybie CNP. Jeśli ktoś przeprowadził trefną transakcję na sam numer karty z datą wygaśnięcia (które już są dostępne przez RFID), to ze zrobieniem chargeback takiej transakcji nie będzie najmniejszego problemu. Wersja, że transakcja, przy której nie podano CVV2, została przeprowadzona przez oszusta, jest bardzo wiarygodna.

      I tak chętnie bym poznał szczegóły takiego grubego przekrętu…

    • Zbliżeniowo owszem, da się sczytać dane umożliwiające przeprowadzenie transakcji, ale tylko w terminalu, tylko do 50 zł i tylko jednorazowo – ponadto, jeśli przed złodziejem sam użytkownik użyje karty, to złodziej już z wykradzionych danych nie skorzysta. Dodatkowo w jednym z dwóch przypadków (albo jeśli właściciel zapłaci pierwszy, albo jeśli złodziej, nie pamiętam) system wykryje, że coś się nie zgadza i zablokuje kartę.

  28. “Zróbmy system płatniczy, który do autoryzacji płatności będzie wymagał tylko numeru karty na niej napisanej. Niech tego numeru nie da się zmienić, i niech będzie z jednej strony sekretny (musi być chroniony), a z drugiej jawny, bo podawany na prawo i lewo przy każdej transakcji płatniczej.”

    Genialne w swej prostocie, nieprawdaż? Stworzyć system, który z definicji nie może być bezpieczny… Aha, i co najlepsze: numery kart mają tylko 16 cyfr, z których pierwsze 6 jest mocno przewidywalne (numery przydzielane bankom), a ostatnie 4 zwykle się zapisuje i wyświetla w celu identyfikacji. No i ostatnia cyfra jest sumą kontrolną (mod 10), która pozwala nam na sprawdzenie 10 razy mniej numerów, jeżeli robimy brute-force na zahaszowane i posolone numery w DB. Hint: Wasze miliardy iteracji niewiele dadzą, jak przestrzeń inputa jest ograniczona do 100 000 możliwości ;)

    Tymczasem, CVV2 nawet nie jest wszędzie wymagane, a 3-D Secure to trochę takie Yeti – niektórzy twierdzą, że znają i widzieli, ale, jak na razie, żadnych konkretów…
    A może są tu jacyś kłusownicy 3DS, którzy mają toto aktywne? Zaskoczcie mnie.

    • W ING na KK (debetówka chyba też) ma 3D-Secure przymusowo dla transakcji internetowych (w dodatku bardzo idiotycznie bo za każdym razem musisz się zalogować do systemu banku), choć jak się okazuje nie jest to przymusowe bo trafiają się płatności które przechodzą bez 3d-s.
      No ale jako klient nie możesz zrezygnować z tego.

    • Tak – to, czy transakcja będzie wymagać 3-D Secure, wymaga od providera płatności i banku. Niektórzy to wspierają, a niektórzy po prostu ignorują i przetwarzają bez tego (bo tak taniej; nie trzeba implementować jeszcze jednego standardu).

      Nieźle, że w jakimś banku jest u nas, w kraju rolniczym (choć właściwie ING kojarzy się bardziej ze Śląskiem, a tam się bardziej kopie, niż sadzi). A i tak standard po części istnieje po to, żeby przerzucić odpowiedzialność finansową za transakcje na posiadacza karty :P

  29. Mieszkam w Anglii 7 lat i wlasnie w ten sposob place wiekszosc rachunkow i ani razu nic nigdy mi nie zginelo ani tez nie slyszalem aby innemu mojemu znajomemu wiec po co sie tak przejmowac ???

    • …są kraje w których ludzie nie zamykają swoich samochodów zostawiając je na parkingu…

  30. Pracuje w firmie handlowo usługowej gdzie klienci także zagraniczni często płacą kartami kredytowymi. Wystarczyło by żebym zapamiętał datę ważności i przypadkowo odwracając kartę 3 cyfrowy kod, nr karty mam już na wydruku z terminala

    • Albo zobaczyl te dane na monitoringu cctv

    • Naprawdę masz terminal, który drukuje pełen numer karty? Złe rzeczy się dzieją…

    • KAŻDY terminal drukuje pełny numer – na świstku, który kasjer wsadza do kasy. Ostatnie cztery cyfry są drukowane wyłącznie na kopii dla klienta.

  31. Ja bym od razu zrezygnował z “usług” link4. nawet przy 5% zniżki i tak nie są konkurencyjni. wystarczy odwiedzić dobrego pośrednika, który sprawdzi ubezpieczenia w kilku(nastu) instytucjach. Ja aby uzyskać więcej niż 5% zniżki przynoszę tradycyjne banknoty, i z głowy :)
    Co do procedury chargeback, nie wiedziałem o niej. Co do kart kredytowych (nie debetowych), unikam ich jak ognia, a banki wpychają mi je przy byle okazji. nie chcę, i mam kolejne uzasadnienie. dzięki :)
    na “nowych” kartach wkurza mnie moduł radiowy, ale to inna historia.

  32. a wy myślicie że link4 poprosi Was o dane karty i już ma kasę u siebie na koncie??? przecież link4 musi autoryzować tą kartę by móc z niej środki pobrać. bardziej stresowałbym się pracownikami formy POLCARD (teraz to się chyba inaczej ta firma nazywa) gdzie większość kart się autoryzuje. POLCARD ma podpisane umowy z większością firm i banków i tam mają dostęp dopiero do Waszych kart. To ta firma tak naprawdę pośredniczy między firmą X a bankiem właściwym.

  33. Nie wiem czemu prowodyr tej dyskusji bije piane, akceptacja takiego sposobu płatności przez sprzedawców oznacza dojrzałość systemów bankowych i wiary w klienta.

    A co chargeback to nie jest tak pięknie w Polsce, proponuję poczytać w sieci jak allegro reaguje na chargeback zamiast zgłaszanie reklamacji u nich.

  34. Allegro na chargeback reaguje tak, że wyłącza możliwość płatności kartą delikwentowi który z chargebacka skorzystał.

    A co do płatności przez telefon, to nic. Lepiej sprawdźcie jak odbywają się płatności w hotelach i przez wszelakie bookingi. Dane karty są przesyłane przez pośredników do hoteli i hotel charguje kartę na własnym terminalu na odległość – byłem w Hiszpanii i przy meldunku sympatyczna azjatka podsunęła mi kartkę na której zobaczyłem dane mojej karty z cvv – podobno to standard i nikt się nie burzy.

  35. A czy jeśli zrobiłem przelew24, to moge skorzystac z chargeback? Przelalem kase na bukmachera, ktory zablokowal mi konto bo dane nie zgadzaly sie z tymi z dowodu osobistego i odpisal, ze ma konto na majorce i gotowka zostala skonfiskowana… Moge w tym wypadku zrobic charge back 300zl?

  36. Jeszcze jedna ciekawostka związana z LINK4. Otóż, jeżeli wykupuje się polisę z płatnością w ratach, a nie jednorazową, to kolejne raty są autoryzowane automatycznie – nikt nie dzwoni z prośbą o podanie danych karty na nienagrywanej linii. Na moje pytanie na infolinii otrzymałem ogólnikową odpowiedź “pracownicy nie mają do tego dostępu, dane są zapisane w wewnętrznym systemie”. W skrócie: LINK4 PRZECHOWUJE DANE twojej karty, również po pierwszej transakcji i jest w stanie ich użyć ponownie, w dowolnym momencie, na dowolną kwotę.

  37. […] zdarzył się wam “fraud”, piszcie nie tylko do Ubera, ale również wykonajcie tzw. chargeback, czyli niezwykle skuteczną operację anulowania transakcji kartowej — jak to zrobić […]

  38. I właśnie dlatego kredytówka tylko typu pre-paid – zasilam ją minutę przed transakcją, potem leci transakcja i karta znowu pusta.
    Normalna kredytowa jest potrzebna tak naprawdę tylko w niewielu sytuacjach, jak np. chcesz wypożyczyć samochód na wakacjach (w większości miejsc bez tłoczonej kredytowej nie wydadzą samochodu, nawet jak opłacisz wszystko z góry włącznie z max. ubezpieczeniem itd., po prostu takie mają procedury). Ale do wszelkich płatności przez internet/telefon – wyłącznie pre-paid i śpię spokojnie.

  39. Zdarza mi się przy rezerwacji przez booking podać niepoprawny cvv lub datę ważności, co ciekawe niejednokrotnie nikt nie zauważa tego, a rezerwacja jest.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: