20:52
4/2/2018

Do dość odważnego ruchu posunął się Maciek Budzich, który na Facebooku opublikował zdjęcia swojej karty płatniczej. Karta po 5 minutach została obciążona przez kogoś, kto kupił sobie nią elektronikę na Amazonie.

Maciek nie czuje się okradziony, bo publikacja karty była zaplanowana (karta zostałą dopięta do rachunku, na którym nie było więcej niż 300 PLN, więc “kradzież” była kontrolowana). Maciek zrobił to celowo i nie była to kampania reklamowa mBanku, choć Maciek przyznaje, że ostrzegł bank, co planuje zrobić i to mogło mieć wpływ na szybkość reakcji banku, który już w kilka minut po pierwszym fraudzie skontaktował się z Maćkiem telefonicznie. Całość rozmowy macie dostępną w filmie Maćka, a w towarzyszącym mu artykule znajdziecie odczucia Maćka co do reakcji jego facebookowych “znajomych” na ten eksperyment.

Mnie bardzo ciekawi, jaki będzie wynik reklamacji. Jest raczej oczywiste, że w tym przypadku powinna zostać odrzucona. Maciek świadomie i celowo przyczynił się do ujawnienia danych karty. I jeśli bank nie odda mu pieniędzy to do banku Maciek pretensji mieć nie będzie. W końcu był od początku świadomy tego, co robi. Ale sporo osób tego typu “ujawnienia” generuje nieświadomie i jest potem zdziwiona, że pieniądze znikają z konta.

Nie raz na Niebezpieczniku przytaczaliśmy przykłady takiego nieodpowiedzialnego zachowania — nie tylko wśród właścicieli kart, czy ich przypadkowych znalazców, ale również wśród samych banków (por. T-Mobile zachęcia do wrzucania na Facebooka zdjęć swojej karty płatniczej)! Jest nawet specjalny bot, który takie wpadki wyszukuje i retwittuje.

Dla tych, którzy chcieliby dowiedzieć się dlaczego w przypadku Maćka 3D Secure nie zadziałał, jakie tajemnice skrywają karty płatnicze i jak się nimi bezpiecznie posługiwać przypomnę, że bezpieczeństwu kart płatniczych poświęciliśmy drugi odcinek naszego podcastu pt. Na Podsłuchu. Dowiedzieć się z niego można, dlaczego w internecie powinniśmy płacić przede wszystkim kartami płatniczymi, dlaczego w Amazonie nie potrzeba CVV2 i dlaczego posiadacze kart zbliżeniowych powinni je obwijać folią aluminiową (i dlaczego nie chodzi o to, aby zapobiegać kradzieżom w autobusie np. przez przyłożenie terminala do kieszeni, w której ktoś trzyma kartę — taka kradzież nie ma sensu).

Przeczytaj także:

38 komentarzy

Dodaj komentarz
  1. Tak właściwie to jest to ciekawy temat. Jak to możliwe, że mimo autoryzacji poprzez SMS jakakolwiek transakcja mogła dojść do skutku?

  2. Kolejny eksrkement społeczny, który udowadnia oczywiste hipotezy. Nawet mi nie żal.

    • tzn czego żal? Nikt tu nie pisze o żalu, sprawa była zaplanowana i zamierzona, więc sobie daruj…

    • Rozumiem, że bardziej testował reakcje banku, niż widzów…

    • Raczej testował znajomych :). Z ludźmi najlepiej wychodzi się na zdjęciach, bo jeśli chodzi o pieniądze to można polegać na promilu od promila. Jak się da choć rąbek okazji to zedrą z człowieka ostatnią koszulę.

  3. Bzdurą są mechanizmy uwierzytalniające oparte na jawnym przekazywaniu danych które następnie mogą być wykorzystane przez osobę która je otrzymała (i ogólnie przez kogokolwiek w do kogo te dane trafią). To tak jakbyśmy uwierzytelniając się musieli przekazywać stronom trzecim nasz klucz prywatny, i mieć nadzieję że nikt tego klucza nie wykorzysta by się po prostu pod nas podszyć i nie przekaże go dalej. A tak niestety działa to z numerami kart płatniczych, PESELami i wieloma innymi danymi. Prawo i przepisy tkwią głęboko w XX wieku i najwyraźniej nikt nie kwapi się do tego, aby cokolwiek zmienić (wręcz przeciwnie, można często odnieść wrażenie, że komuś zależy na tym, aby oszuści mieli jak najszersze pole do nadużyć).

  4. Fakt, mogło to umknąć mojej uwadze zważając na fakt, że słuchałem “w drodze” :)
    Jednakże nie wiedziałem jakie prawdziwe skutki są odpowiedzi “nie można uwierzytelnić” w weryfikacji 3d-secure. Dziękuję za informacje

  5. 1. Wygląda na to, że dla odświeżenia wiedzy warto będzie jeszcze raz przeczytać Wasze poprzednie teksty w tym temacie
    2. Szkoda, że bezpośrednio na stronach Waszych podcastów nie ma linka do wersji .mp3 (czy cokolwiek w tym rodzaju) – wyklikiwanie go na stronach Speakera jest nieco upierdliwe
    3. Szkoda (2), że nie zarejestrowałem sobie rozmowy z konsultantką mBanku (na samym początku, jak tylko to wprowadzili), która twierdziła, że aktywowanie sobie 3D Secure całkowicie zabezpiecza mnie przed wszelkimi fraudami :)

    • Wystarczy jakakolwiek aplikacja do słuchania podcastów.
      Ja używam PodcastAddict. Spróbuj-a może zaczniesz słuchać innych.

  6. szkoda ze poinformowal wczesniej bank.

    zobaczylibysmy jak skutecznie dziala bank.

    i zobaczylibysmy iel faktycznie mozna pobrac z konta (tzn. czy dzialaja transakcje offlilne albo STIP, nie wiem jak jest w przypadku debetowek)

    • Zawsze ktoś może powtórzyć eksperyment. My zalinkujemy i “przypadkiem” nie ocenzurujemy fotografii.

    • To może od razu na bogato iść … Założyć konto w każdym, upublicznić karty, zobaczyć które pójdą jako pierwsze na cel, a później reakcję każdego banku… :)

  7. Może trochę nie na temat, ale kiedyś ze znajomym na Krupówkach wyciągaliśmy kasę z bankomatu. Ja z mBanku, on z pekao s.a.
    Na bankomat nałożona była nakładka, o czym dowiedziałem się kilka dni później, kiedy próbowałem zapłacić kartą. Terminal odrzucał ją. Zadzwoniłem do mBanku i pani powiedziała, że nastąpiła próba skopiowania karty i została zablokowana.
    Znajomy nie miał tyle szczęścia, jemu karty nie zablokowali, za to wyciągnęli kasę w Bułgarii. Odzyskał ją co prawda po pół roku chyba, ale za tę akcję mBank ma u mnie ogromego plusa. Tak ku przestrodze :)

  8. Zakładając, że to był ktoś z Polski, to czy da się jakoś łatwo ustalić kto to był?

  9. Byłoby dziwne, gdyby uznano te reklamacje. No ale w pl dzieje się wiele dziwności, więc nie mówmy “hop” ;)
    A właśnie.. przy okazji dbania o dane.. zobaczyłam niedawno w sieci, jak o dane pracowników (i/lub potencjalnych pracowników – osób aplikujących) “dbają” firmy z branży opieki, które wysyłają ludzi do pracy za granicę. Ich dokumenty (cv, jakieś certyfikaty i tym podobne zawierające dane chronione) leżą sobie ot tak na serwerach bez żadnych zabezpieczeń, do których jest dostęp bezpośrednio z sieci. Gugiel wyłapuje to zwykłym zapytaniem “typ dokumentu” site:adres-strony

  10. … i odbije sobie wielokrotnie za wejścia na yt a może i wypromuje się na celebrytę.
    … he he he

    • I pewnie się ustawił z kimś, żeby szybko zrobił zakupy z tej karty. Nie wierzę w inne intencje niż “będą wyświetlenia i subskrypcje!”.
      A mbank pewnie rozpatrzy reklamację pozytywnie, bo dobry PR :(

    • Hipotezy “watsonów internetu” zawsze mnie rozwalają, zwłaszcza te dotyczące zarobków z YT :-) tak, już w moją stronę płyną miliony z YT i subskrypcji :-) z tych 60 tys. wyświetleń :-)

      @Agnieszka – tak, mogłem się ustawić z kimś, kto kupił, ale tak naprawdę po co? Wrzuć foty swojej karty, zobaczysz, że żadnej ustawki nie trzeba robić.

    • @Mediafun – bez urazy, ale jak nie miałeś co zrobić z 300 PLN to trzeba było dać jakiemuś potrzebującemu. Przecież wiadomym było jak to się skończy. A teraz będzie robienie szumu z niczego.

  11. Chore jest to, że Banki ciągle edukują ludzi aby nie podawali PINu, a sami drukują go na karcie. Lepiej, często nawet on nie jest wymagany. Ja rozumiem, że to jest karta operatora VISA lub MasterCard ale to Bank zamawia takie karty i może mieć inne wymagania.

  12. Hej,
    A co z Na Podsłuchu? Tak chętnie przytaczacie, ale umarło po piątym odcinku.
    Chętnie bym dalej posłuchał.

  13. Jak najbardziej reklamacja powinna zostać uwzględniona POZYTYWNIE ponieważ kradzieży dokonano wyłącznie w oparciu o dane widniejące na karcie, takie same jakie zobaczyłby znalazca karty zgubionej na ulicy! Ignorancja banków pozwala na takie elementarne braki bezpieczeństwa a impotencja KNF i innych organów państwowych temu przyklaskuje! Gość to tylko ukazał.

    Skoro istnieje 3D Secure, powinno być obowiązkowe dla wszystkich transakcji internetowych (bez wyjątku) a nie jako opcja według widzi-mi-się. Inaczej zabezpieczenie nie ma sensu – albo stosują go wszyscy albo nikt.

    Inna ciekawostka: dlaczego regulaminy banków wyraźnie zabraniają zapisywania PIN-u na karcie lub przechowywania z kartą a kod CVV2/CVC2 (który dla płatności internetowych pełni przecież taką samą rolę jak PIN w terminalu) jest nadrukowany na karcie? Gdzie tu sens i logika???

    • Z tego co pamiętam, to 3D Secure jest zabezpieczeniem głównie dla sklepu, a nie dla posiadacza karty.

      Co do CVV to chyba istnieje możliwość wykonania transakcji internetowej bez CVV (a przynajmniej mi się parę lat temu coś takiego udało, chyba na Amazonie albo gdzieś indziej zagranicą).

      Kolejną ciekawostką jest to, że terminal można tak skonfigurować, żeby nie pytał o pin przy transakcjach czipowych (i nie ma tutaj ograniczenia kwotowego do jak przy PayPassie, czy możliwości wyłączenia tego).

    • Bez sensu, co nie?
      Ja, od kiedy w internecie płacę wyłącznie kartą, nauczyłem się mimochodem jej nr oraz CVV na pamięć, nawet nie wyciągam jej z portfela. Gdyby było można, to wziąłbym kartę bez nadrukowanych numerów.

    • W takim razie mBąk uznaje reklamację pozytywnie a wszystkie sklepy, które nie wymagały 3D Secure od razu zwracają kasę. Jeśli to tak ma działać to spoko!

  14. jaki wplyw na reklamacje ma brak podpisu i info : “not valid unless signed”?

  15. Zastanawia mnie jakie zagrożenie takie coś stanowi z punktu widzenia kradzieży tożsamości. Może za miesiąc do Maćka przyjdą smutni panowie, bo ktoś jego kartą chciał kupić narkotyki/bomby/uran ;)

  16. Podobne testy robiono ile minut wytrzyma podłączony do Internetu komputer z Windows-em bez żadnych zabezpieczeń i aktualizacji! :)

  17. Ale zwróćcie uwagę też na to jak dużo koleś dostał komentarzy ostrzegawczych od znajomych. Jednak ten “eksperyment” ujawnił też pozytywne cechy :)

  18. Wystraczyło zaklic cyferke CVV czy jak sie to tam nazywa…

  19. Temat jest bardzo ciekawy. W moim odczuciu projektant technologii oraz producent karty, a przez to także wystawca (Bank) użyli zabezpieczenia, a w zasadzie nie zabezpieczyli swojego produktu. Jeżeli do obciążenia “karty”, dokładniej powiązanego z nią konta dochodzi na skutek samego ujawnienia wizerunku tejże karty, to moim zdaniem nie ma tu winy klienta (choć działał z premedytacją). Wizerunek karty jest niemożliwy do ochronienia. W dobie wszechobecnej i taniej elektroniki, wizerunek może utrwalić każda osoba uczestnicząca w łańcuchu płatności (kamery w sklepach, okularach, aparaty w telefonach itd…). Branża zauważyła to wprowadzając 3Dsecure, ale nie jest to standard obligatoryjny i globalny. Dlatego w USA z miejsca otrzymał by pełną kwotę, gdyż Bank lub producent chciałby uniknąć precedensu i fali pozwów o odszkodowania za utracone w podobny sposób kwoty. Proszę zwrócić uwagę że sfotografowanie wypchanego portfela nie naraziło by posiadacza na tak szybką i “anonimową” utratę środków, chyba że odwiedził by go “znajomy” z rympałkiem.

  20. Super, można zobaczyć jak system działa w praktyce.
    Po tym artykule zdrapałem kod CVV z mojej karty i zapisałem w innym miejscu.
    Zawsze to jakieś utrudnienie dla potencjalnego znalazcy.

    • Super, a teraz spójrz na kartę pod światło albo z drugie strony – jak numer był odciśnięty to drapanie może nie zdać egzaminu. Może dziurkaczem? ;-)

  21. Ale czy Maciek zgłosił sprawę na policję? Przecież to dalej kradzież – bez znaczenia czy bank mu zwróci środki. A skoro to znajomi z fb to krąg podejrzanych jest ograniczony…

  22. niech się cieszy że mu nie zrobili debetu na koncie

  23. Ciekawe czy zaproponowalo mu zlodzieja w znajomych.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: