12:35
24/1/2017

Jednemu z naszych Czytelników pobrano pieniądze za płatność kartą “przez internet”, mimo iż ustawił limity transakcji internetowych na 0 zł. Bank wcale nie był zdziwiony i potwierdził, że to możliwe. Firma Mastercard też przyznała, że limity nie zawsze działają tak jak nam się wydaje. Czytelnicy zgłaszają nam też coraz więcej problemów z ostatnio mocniej popularyzowanym w Polsce mechanizmem 3D Secure. Ma zabezpieczać transakcje kartą, ale da się nią płacić z jego pominięciem.

Limity kwotowe na kartach płatniczych

Banki uczą nas, że ustawienie limitów transakcji (ilościowych i kwotowych) na kartach płatniczych zabezpiecza nasze pieniądze przed kradzieżą. Ba! Znamy nawet przypadek, gdy jeden z banków przed sądem potrafił winić klienta za kradzież jego środków, bo na koncie klient ten ustawił w opinii banku zbyt wysokie limity. Sąd nie kupił tego argumentu, ale najwyraźniej banki bardzo wierzą w to, jak znaczący wpływ na bezpieczeństwo naszych środków mają limity kwotowe. Problem w tym, że limity w wielu przypadkach istnieją jedynie teoretycznie…

Limit nie zawsze działa

Nasz czytelnik — nazwijmy go Romuald — opisał w e-mailu do redakcji taką historię.

W mBanku mam zablokowane transakcje internetowe oraz transakcje
telefoniczne na wszystkich kartach (…) Do tej pory [przy próbach obciążenia karty przez internet — dop. red.] dostawałem tylko SMSy, że transakcja nie mogła być zrealizowana z powodu zbyt niskiego limitu.

Ostatnio zauważyłem, że mam pobrane z Karty 52PLN dla netflix.com (Amsterdam).
Skontaktowałem się z bankiem w celu wyjaśnienia sytuacji, a bank twierdzi, że odbiorca płatności zgłosił do banku tą transakcję jako “Płatność bezgotówkowa zagraniczna”. Z punktu widzenia banku była to transakcja przeciągnięta kartą przez terminal. UWAGA ! – Przez terminal płatniczy, który to przecież weryfikuje super zabezpieczenia w postaci niezłamanego do dzisiaj chipu.

Mówię człowiekowi na infolini, że nie była to transakcja bezgotówkowa tylko internetowa i bank ją puścił mimo założonych limitów (…) Może i jestem sam sobie winiem, że nie zrezygnowałem z subskrypcji na czas, ale nie to jest tematem przewodnim. Istotne jest to, że mimo ustawionego limitu na transakcje internetowe
(0 zł) taka transakcja została zrealizowana.

Bank przyznaje: to się zdarza

Oczywiście poprosiliśmy bank o komentarz — udzieliła go Emilia Kasperczak z biura prasowego mBanku. Stwierdziła, że do wyjaśnienia sprawy potrzebne byłyby dane klienta oraz skan podpisanej przez niego zgody na ujawnienie danych (to oczywiste, bo bank jest związany tajemnicą). Potem jednak pani Emilia dodała “nieoficjalnie”:

Hipotetycznie Netflix mógł tak zdefiniować transakcje. Zdarza się bowiem, że firma mając dane karty klienta przekazane np. podczas transakcji internetowej, wprowadza je manualnie do terminala płatniczego. W konsekwencji transakcja klasyfikowana jest jako płatność bezgotówkowa zagraniczna – stwierdziła przedstawicielka banku.

Czyli taka sytuacja jest możliwa, a jej wystąpienie może zależeć od kontrahenta.

Zadaliśmy więc sobie pytanie, czy o tej sytuacji wiedzą przedstawiciele organizacji takich jak VISA i MasterCard. Spytaliśmy oba podmioty i jak zwykle VISA nie odpowiedziała nam nic. MasterCard na szczęście ma lepsze biuro prasowe.

Mastercard też nie zaprzecza

Anna Marciniak z Mastercard napisała:

Agenci rozliczeniowi podpisują z Mastercard umowy, na mocy których zobowiązują sprzedawców, z którymi współpracują, do przestrzegania szczegółowych regulacji Mastercard dotyczących zasad przetwarzania transakcji, a w szczególności – kwestii bezpieczeństwa. Jednocześnie posiadacz karty jest odpowiedzialny za to, komu i w jakim celu udostępnia swoje dane kartowe. W tym kontekście warto pamiętać o zasadzie korzystania tylko z zaufanych e-sklepów.

Jeśli w opisanej sytuacji, w toku ustaleń z e-sklepem, posiadacz karty wyraził zgodę na transakcję, a sprzedawca błędnie ją zakwalifikował (jako POS-ową – czyli taką, jak np. w sklepie, a nie internetową, bez obecności fizycznej posiadacza karty), to upoważnia to konsumenta do reklamacji w banku. Może on też oczekiwać, że bank zobowiąże agenta rozliczeniowego do przeszkolenia tego sprzedawcy.

Istnieje też techniczna możliwość, że bank przyjął do realizacji transakcję internetową mimo zerowego limitu, jeśli sprzedawca wprowadził ją manualnie na terminal płatniczy, z którego korzysta. W takiej sytuacji klient również może złożyć reklamację, ponieważ e-sklepy co do zasady nie są upoważnione do dokonywania transakcji manualnych.

Zabezpieczenie “opcjonalnie działające”

Mówiąc krótko, Mastercard wie o takie możliwości i tyle. Jeśli klient ma zastrzeżenia to niech składa reklamację. Teoretycznie trzeba przestrzegać pewnych zasad, a w praktyce bywa różnie. Można powiedzieć, że właściwe klasyfikowanie transakcji jest opcjonalne. Tym samym zabezpieczenie, jakim mają być limity, staje się zabezpieczeniem “opcjonalnie działającym”.

Pocieszające jest to, że tego obejście limitów raczej nie przysporzy realnych strat klientom. Co prawda ich kartę ktoś może obciążyć w zły sposób, ale klient na drodze reklamacji, może dochodzić swoich praw. Stworzenie przez przestępców sprzedawcy-oszusta, celowo błędnie (tj. w innym trybie) obciążającego karty jest mało realne. Raz, że formalności, a dwa, że czas rozliczeń transakcji kartowych. Jeśli skarg będzie wiele, procesor po prostu odbierze możliwość obciążenia kart sprzedawcy-oszustowi. I koniec zabawy. Realną stratą dla klienta jest wiec marnotrastwo czasu związanego z procesem reklamacji i ew. procedury CHARGEBACK.

O dziwo, w drugą stronę limity działają lepiej…

Rygorystyczność podczas weryfikacji odwrotnych transakcji w mBanku, co ciekawe, działa doskonale. Otóż mBank posiada w swojej ofercie tzw. kartę wirtualną, przeznaczoną wyłącznie do płatności internetowych. Z tej karty ochoczo korzystają w Niebezpieczniku trenerzy do bookowania noclegów podczas prowadzenia szkoleń wyjazdowych.

Płatność kartą wirtualną jest możliwa jedynie w trybie “Card not present”. Jeden z naszych czytelników, pracownik bramki Espago (PSP Polska Sp. z o.o.) wyjaśnia, że ten typ płatności to

  • transakcje MO/TO (Mail Order, Telephone Order) — nazwa z czasów gdy w USA kartę podawało się przez telefon. Mogą być wywoływane przez terminal płatniczy lub przez internetowego dostawcę płatności.
  • transakcje e-commerce/transakcje internetowe. Są wywoływane przez internetowe bramki/internetowych dostawców płatności

W zdecydowanej większości polskich banków powyższe płatności mają wspólny limit, widnieje on pod nazwą “Płatności internetowe” lub podobną i wtedy ten limit dotyczy wszystkich płatności MOTO, płatności internetowych (zakupy przez Internet) jak i płatności cyklicznych/subskrypcji (gdzie np. kod CVV/CVC nie jest używany).

Z informacji pozyskanych od Espago wynika, że mBank rozdziela limity dla tych płatności.

Jeśli ktoś spróbuje obciążyć kartę wirtualną mBanku w trybie “Card Present” (“karta obecna”) — transakcja zostanie odrzucona. I to działa! Wielokrotnie hotele oddzwaniają do nas hotele z informacją, że “podana karta jest nieważna”. Komunikat ten widzą, gdyż na swoich terminalach próbują wprowadzić przesłane elektronicznie dane karty (numer, datę ważności, CVV2) obciążać w ramach transakcji “Card Present”, a nie “MO/TO”. Nie wszystkie hotele mają wykupiony u procesora płatności tryb MO/TO (to kosztuje), a te które mogą obciążać karty w tym trybie, nie zawsze wiedzą “gdzie na terminalu kliknąć”.

3DSecure – kolejne opcjonalne zabezpieczenie kart

Kolejnym zabezpieczeniem, które działa “opcjonalnie” jest wchodzący coraz powszechniej do Polski (bo wymuszany na bankach przez KNF i dyrektywy unijne) mechanizm 3DSecure. Działa on tak:

    1. Kupujesz coś przez internet i podajesz dane karty
    2. Bank wysyła Ci SMS-a z kodem, który musisz podać na stronie internetowego sklepu (lub sklep przekierowuje Cię na stronę banku, gdzie transakcję trzeba potwierdzić po zalogowaniu się PIN-em).
    3. Dopiero po zweryfikowaniu przez sklep poprawności kodu, karta jest obciażąna

Pewien Czytelnik (inny niż ten od limitów) zwrócił nam uwagę na stronę mBanku dotyczącą 3D Secure. Mamy tam pytania i odpowiedzi

Pytanie: Dlaczego płatność w sklepie obsługującym standard 3-D Secure nie
wymagała potwierdzenia hasłem SMS?

Odp.: Dodatkowa weryfikacja 3-D Secure zależy od wielu czynników m.in. od
sklepu internetowego. W niektórych przypadkach potwierdzenie hasłem
SMS nie będzie wymagane.

Pytanie: Czy mogę wyłączyć standard 3-D Secure lub określić, które
transakcje chce autoryzować?

Odp.: Nie można wyłączyć standardu 3-D Secure. Jest to część systemu
bezpieczeństwa nie zarządzana przez Klienta.

Sami widzicie. Zabezpieczenie “opcjonalnie działające”, choć ze względu bezpieczeństwa klienta, mBank odebrał nad nim kontrolę użytkownikowi. Szkoda, bo — jak informuje wielu użytkowników — 3DSecure zwyczajnie ich irytuje. Wydłuża czas realizacji transakcji i wcale nie chroni karty przed złodziejami. Oni zawsze wykorzytają dane karty w sklepie, który nie implementuje tego mechanizmu i tam wyczyszczą ją do zera.

Sam mBank chyba doskonale zdaje sobie sprawę z tego, jak niewiele korzyści w rzeczywistości daje mechanizm 3-D Secure klientowi, gdyż początkowo w sekcji FAQ odpowiedź na takie pytanie wyglądała następująco:

Co więcej, z racji tego, że 3DSecure dopiero “raczkuje” w Polsce, wiele ze sklepów wdrożyło go niepoprawnie, co całkowicie uniemożliwia płatność kartą… Oto, co spotkało naszą czytelniczkę Karolinę:

Chciałam dokonać zakupów w sklepie internetowym dv247.com. Sklep (UK) akceptuje PayPala tylko na terenie UK, więc jedyną możliwością jaka mi pozostała było zapłacenie za zakupy kartą (jestem klientką mBanku). Ostatnim krokiem dokonywanej płatności była weryfikacja przy pomocy 3D Secure, i tu niestety pojawił się problem – strona płatności się przeładowała, sms z banku z kodem do mnie przyszedł, ale niestety nie miałam gdzie go podać, ponieważ mBank nie zgadza się na otwieranie swojej strony w ramce – tym samym nie mogę podać kodu na stronie płatności, czyli zakończyć transakcji.

I tutaj mam pytanie: co zrobić? jak żyć? wszystkie banki blokują uruchamianie swoich stron w ramkach? jak więc dokonywać płatności za zakupy, jeżeli sklep (zgodnie z jakąś ustawą) wymaga dodatkowego zabezpieczenia 3D Secure?

Z przesłanych nam w ostatnim miesiącu wiadomości (bez zgłębiania się w szczegóły) z poprawnością wdrożenia problem mają także banki. Przykładowo, w NEST banku — skarży nam się kolejny czytelnik — momencie dokonywania jakiejkolwiek transakcji kartą jego dziewczyny, SMS-y autoryzujące transakcję 3D-Secure przychodzą na numer telefonu czytelnika (a nie jego dziewczyny). Czytelnik jest pełnomocnikiem do konta swojej dziewczyny.

A jak Wasze doświadczenia z 3D Secure i limitami na kartach? Namierzyliście ostatnio jakieś niebezpieczne zastosowania? Jeśli tak, podzielcie się nimi w komentarzach.

Aktualizacja 16:45
Do tekstu, dzięki informacjom przekazanym przez pracowników firmy Espago, dodaliśmy ramkę z dodatkowymi wyjaśnieniami odnośnie różnic w trybach przetwarzania kart płatniczych.

Przeczytaj także:

106 komentarzy

Dodaj komentarz
  1. Banki to święte krowy, gdyby sądownictwo w PL działało lepiej to dawno by ten proceder zniknął.

    • +1

    • “Polsce mechanizmem 3D Secure. Ma zabezpieczać transakcje kartą, ale da się nią płacić z jego pominięciem.” Ja się nabrałem na ten bełkot ! milenium 360 – ani razu nie zadziałał ! i do tej pory nie działa.

  2. A czy to nie jest przypadkiem tak, że jeśli oni przechowują nr CCV/CVV to przypadkiem nie jest to jawne naruszenie PCI-DSS więc teoretycznie należy taką uwagę zgłosić wystawcy karty i on powinien podjąć odpowiednie środki mające na celu zaprzestaniu takich praktyk lub odebrania praw do przeprowadzania transakcji takiej jednostce?

    • Nie. Np. w UK PCI zezwala na przechowywanie tych danych pod warunkiem odpowiedniego zabezpieczenia bazy danych (m.in. odcięcie od dostępu z zewnętrznej sieci).

    • Bzdury piszesz. PCI-DSS wyraźnie mówi o tym, że nie wolno przechowywać żadnych danych autoryzacyjnych, nawet jeśli są zaszyfrowane, po procesie autoryzacji. I w UK nie ma od tego żadnego odstępstwa.
      Kwestią dziwną i podnoszoną przez wielu ludzi, jest możliwość przechowywania takowych danych PRZED procesem autoryzacji.

      Zatem jeśli po procesie autoryzacji płatności kartą, cokolwiek zostanie przechowywane (może być szyfrowane 10 razy i trzymane w piwnicy bez dostępu do internetu, nie ma to znaczenia dla PCI-DSS), to jest wbrew PCI-DSS i powinno zostać zgłoszone jako naruszenie nadanego certyfikatu. W takim przypadku jeśli eksperci PCI w drodze audytu potwierdzą to, zostaną na daną firmę nałożone bardzo surowe kary.

  3. IdeaBank – ostatnio już bardzo rzadko, ale do niedawna było to powszechne – przy opcji 3D Secure, zamiast automatycznie wysłać kod, były dwie opcje – “Aktywuj” (wysyłało kod) i “Pomiń” (czyli zapłata bez autoryzacji). Sytuacja niedeterministyczna – przy zamawianiu jedzenia przez jedną stronę (pozdrawiam pyszne.pl !) czasem wymagało 3DS, czasem jak wyżej. Sytuacja zarówno na karcie do konta osobistego, jak i do firmowego (na której “dorzucili w gratisie do karty” blokady zbyt częstych płatności zbliżeniowych – niestety nie wiem na jakiej zasadzie to działa, bo czasem przejdzie kilka w krótkim czasie, a czasem odrzuca już drugą. A zapytani jeno przyznają, że takie coś jest możliwe – “kwestie bezpieczeństwa”, ale już na jakiej zasadzie działa – nic.)

    • Miałem podobnie, w tym samym serwisie. Zamawiałem jedzenie i użyłem kodu rabatowego. Kiedy chciałem dokonać płatności i pojawił mi się ekran odnośnie 3DSecure to zwróciłem uwagę, że nie zaliczyło mi rabatu. Nie wpisałem więc kodu z SMSa i wybrałem opcję ‘Anuluj’ aby nie płacić więcej niż zamierzałem. Okazało się jednak, że transakcja i tak została zatwierdzona i pobrało całą kwotę z konta…

    • Miałem to samo w biletomacie Mennicy Polskiej w Warszawie. Płatność zbliżeniowa PayPassem. Na kwitku “Transakcja anulowana” a pieniądze pobrane z konta.

  4. Mi zdarzyło się że kartą z 3D Secure próbowałem zapłacić w sklepie PlayStation przez komputer, wszystko wyświetlało się poprawnie, lecz po wpisaniu kodu zostałem z powrotem przekierowany na stronę płatności z ponownym żądaniem kodu. Nastąpiło to 2 razy po czym poddałem się z obawy o wielokrotne obciążenie konta.
    Co ciekawe ten sam zakup z zastosowaniem tej samej karty dokonany z poziomu PS4 przeszedł bez problemu ponieważ PS4 nie żądał kodu 3D Secure…

  5. Wnioski z dupy… Przeciez to ze transakcja doszla do skutku nie było wynikiem błędu banku czy błędu klienta co do ustawienia limitów, tylko to było perfidne działanie netflixa, że transakcję zdalną zgłasza w taki sposób, że nie wygląda jak zdalna. I to powinno być przedmiotem zainteresowania: niekoniecznie czyste praktyki sprzedawcy.

    • Bingo! Dokładnie taki jest wniosek z tej historii, Netflix pobiera płatność jakby była to płatność kartą płatniczą u nich na miejscu, choć de fakto obciążali kartę zdalnie.

  6. Żeby uściślić: 3DSecure nie polega na potwierdzeniu SMSem, ale na dodatkowym potwierdzeniu przez interfejs banku. Ten może weryfikację przeprowadzać SMSem, ale może też robić to inaczej – chociażby prosząc o podanie specjalnego PINu czy hasła (spotkałem takie rozwiązania w niemieckich bankach). Zdarza się też, że strona 3DSecure od razu “zwróci sukces”

  7. Ja z 3DSecure zrezygnowałem po przeczytaniu warunków umowy. Po akceptacji bank przerzuca całkowicie odpowiedzialność za transakcje na klienta. Według mnie, biorąc pod uwagę że 3DSecure nie zwiększają w specjalny sposób bezpieczeństwa transakcji, to bank w chytry sposób odcina się odpowiedzialności za transakcje.
    Unikać.

    • tylko jak unikać, skoro np. mBank sukcesywnie uruchamia to wszystkim klientom przymusowo ?

  8. aż sprawdzałem datę artykułu bo myślałem że to jakieś starocie, albo ja się nie znam bo 3d secure jakos kojarzę od dawna. zabezpieczenie włączone na karcie dawno temu, wielokrotnie z niego korzystałem, choć zdarzyły sie miejsca gdzie go po prostu nie było, co mnie zaskakiwało. teraz ze zdobytą tu wiedzą mógłbym porównać obciążenia na bilingu, może wyglądają jakoś inaczej. Ogólnie nie korzystam zbyt dużo, jakies allegro, ebay, bluemedia obsługujący płatności za rachunek tel, pare sklepów komputerowych czy też ogólnego agd/rtv.
    bank BZWBK

  9. Ostatni akapit jest ciekawy. Czytelnik dostaje SMS-y, gdy próbuje płacić kartą dziewczyny autora artykułu. Brzmi bardzo niebezpiecznie ;)

    • To ficzer, a nie bug. A takie skomplikowane struktury emocjonalno-społeczne chyba teraz w modzie ;)

    • Ale jakże praktycznie, pani nie zrobi zakupów bez wiedzy pana xD

    • @stukot – pani nie robi zakupów, to będzie foch i pan śpi na kanapie. ;)

    • To akurat proste. Podczas zakładania karty dla dziewczyny był podany jego numer telefonu.

  10. Mam MasterCard z 3D-Secure i dotychczas nie miałem problemów.

    U mnie działa to tak, że po podaniu danych karty przekierowuje mnie na stronę banku, gdzie pojawia się tekst który sam ustawiłem na stronie banku (więc wiem, że to bank mnie pyta o potwierdzenie) i potwierdzam hasłem. Działa świetnie pod warunkiem, że dostawca płatności implementuje ten standard. Inaczej 3D-Secure po prostu jakby nie istniało.

    • “gdzie pojawia się tekst który sam ustawiłem na stronie banku (więc wiem, że to bank mnie pyta o potwierdzenie) i potwierdzam hasłem. ”

      Nieprawda.
      Nie wiesz tego. To wcale nie musi być Twój bank
      Jaki ustawiłeś tekst w swoim banku wie każdy, kto wpisze NIK do Twojego konta.
      Albo inaczej każdy, któremu podasz swój NIK.
      Np. na podstawionej stronie. :)

      Zabezpieczenie z wyświetlaniem wcześniej ustawionego tekstu (Twój bank) lub obrazka (jak robi np. BZWBK) po podaniu NIKu a przed wpisaniem hasła to żadne zabezpieczenie.

  11. W niektórych sklepach nie da się zapłacić kartą, która nie ma 3d secure, przykład plati.ru i obługa przez PayU.ru. Nie ma możliwości opłaty zamówienia kartą, która nie ma 3d secure.

  12. 3D-Secure nie działa praktycznie w żadnym dużym sklepie z grami – podaje się numer, ważność, użytkownika, CVV2 i gotowe. Z tego miesiąca – tak kupowałem w sklepie Wargaming.

  13. Dlatego powinny powrócić ś.p. karty pre-paid! Wydajemy tylko tyle ile jest załadowane na karcie i ani grosza więcej. A jeśli da się jakoś zapłacić więcej niż jest na karcie to już jest problem banku.

  14. Przypadek sprzed dwóch lat: w citibanku podczas zamawiania karty podaje się numer telefonu. Numer jest formatowany do xxx xxx xxx, następnie propagowany jest do systemu/aplikacji odpowiedzialnej za 3d secure, która najwyraźniej ma inny format, bo podczas autoryzacji otrzymałem informację, że sms został wysłany na numer “19 0”. Oczywiście żadnego smsa nie dostałem. Po telefonie na infolinię okazało się, że numer “źle się wpisał”. Ze znajomymi w parę osób zamawialiśmy karty w citi w podobnym okresie i wszyscy mieliśmy identyczne problemy z płatnościami on-line.

    • To dobrze, że system chciał hasło do 3DS. Ja wziąłem kredytową w tym banku skuszony promocjami. Pomimo zapewnień banku, że system 3DS działa, ani razu płacąc w Sieci nie otrzymałem kodu tylko od razu autoryzował transakcję. W tych samych serwisach płaciłem kartą z innego banku i było musiałem wpisać kod 3DS.
      Wiele sklepów online z zagranicy nie posiada włączonego systemu. Podobnie było jeszcze nie dawno (nie wiem jak teraz) na tchibo.pl. O żaden kod 3DS użytkownik nie jest proszony.

  15. Spotkałem się DOKŁADNIE z taką samą sytuacją z netflixem. Moja dziewczyna tak samo zapłaciła. Owszem – jej wina, że nie zrezygnowała na czas. Była w banku i Pani powiedziała, że tak ma być i koniec. To jest CHORE. Jak ktoś spisze dane mojej karty chociażby w sklepie to może na moje konto coś zrobić pomimo limitów…

    • zaklęcie chargeback zawsze działa :D

  16. Na 3D Secure powinniście spojrzeć trochę z innego punktu widzenia. To w zasadzie zabezpieczanie dla biznesów internetowych przed fraudami. Znam trochę takich sklepów za granicą, które wymagają aby karta obsługiwała 3D Secure żeby można było u nich zapłacić za usługę. Nie masz 3DS – nie kupisz usługi. W ten sposób sklep zwiększa prawdopodobieństwo, że kupuje rzeczywisty posiadacz karty a nie ktoś kto kupił dane karty na czarnym rynku albo włamał się do poczty hotelu, biura podróży itp, które dostają pełne dane karty np od booking.com

  17. Polecam założenie drugiego konta w innym banku, gdzie opłata za prowadzenie konta jest zerowa lub znikoma, wpłacanie na to konto jedynie kwoty potrzebnej do transakcji i używanie w internecie karty do tego konta. Płacenie w internetowych sklepach zagranicznych nie jest dla mnie juz tak ryzykowne.

    • Nic to nie da, jak wejdziesz/złodziej wejdzie na debet, to bank przyśle do Ciebie komornika. Każdy bank przy podpisywaniu umowy wymaga zgody na takie postępowanie.

  18. Mi ostatnio zablokowali płatność na rzecz Googla za gdrive. Bo była jako telefoniczna pomimo iż dotychczas zawsze była jako internetowa. Trochę to bez sensu, jeśli można w tak dowolny sposób zmieniać typ transakcji.

  19. Z tym otwieraniem mbanku w ramce to ciekawa sprawa. Ostatnio – na FB ‘reklamowaliscie’ mozliwosc wplaty na WOSP w wersji on-line. Jako, ze lezalem chory w lozku, opcja wydala sie niezla. Mbank otworzyl sie wewnatrz aplikacji fb na ios, transakcja przeprowadzona z potwierdzenie kodem sms przeszla poprawnie. A dane, jak mniemam przez serwery facebooka po drodze? Jakbyco, dysponuje screenem.

    • Bo to nie jest ramka (iframe) tylko webview (takie coś jak karta przeglądarki).

  20. Inny przypadek, z moją dziewczyną (kobiety…). Oczywiście mBank, zakupy w sklepie z 3d-secure i potwierdzenie na sms… Przyszło po 5 minutach, a w tym czasie status transakcji zmienił się w sklepie na potwierdzony i towar gotowy do wysyłki… po przyjściu smsa strona już wygasła, a mimo to płatność została zatwierdzona i ściągnięta. Paczka przyszła, kasa zeszła prawidłowo. Ciekawe, czy gdyby strona nie wygasła to po wpisaniu nie ściągnęłoby 2 razy kasy…

    • Raczej nie. Twój przypadek sugeruje iż 3D secure w mBanku jest mocno opcjonalne albo sklep ma lukę w przetwarzaniu płatności. Wystarczy poczekać na wygaśnięcie sesji? Podaj namiary na sklep ;)

    • Niepoprawne jest tu tylko ustawienie ze strony banku (albo sklepu) timeoutu tak nisko. Bo jak już timeout wleci, to zgłaszany jest dalej przez organizację kartową poprawny kod “3DS processing error” z którym już merchant może zrobić co chce (czyli wyerrorować całość lub przepuścić transakcję pomimo tego), ale już na własną odpowiedzialność.

  21. Nie wiem czemu tak na siłę wszyscy uczepili się mBanku, jakby to był jedyny bank na rynku. Jeśli się coś nie podoba, a tym bardziej marna obsługa klienta – można zmienić bank na taki, który bardziej będzie go cenił.

    Jako że za reklamę nie dostanę ani grosza, powiem tylko że płacę sporo kartą Visa przez internet i z samym 3D Secure w banku “reklamowanym przez gościa z Polimatow” nie miałem problemu. Gorzej było tylko z jego występowaniem – np. przy płatności na Amazonie czy Spotify tego po prostu nie ma.

  22. Wydaje mi się iż idealnym zabezpieczeniem było by posiadanie 2 kont w jednym banku i obsługiwanych z tego samego panelu przy czym gotówka znajdowała by się na pierwszym rachunku a karta była by przypisana do drugiego. W momencie kiedy chcielibyśmy wykonać jakąś transakcję przenosimy wymaganą ilość środków na konto z kartą i dokonujemy płatności. Trochę więcej zabawy ale bezpieczniej.

    • Niekoniecznie bezpieczniej. Istnieje takie coś jak przekroczenie limitu na karcie więc może się zdarzyć, że dedykowanie konto i karta nie pomogą

  23. Tez jestem posiadaczem przedplaconej karty mbanku do platnosci internetowych. Dostalem takiego smsa, zalogowalem się to banku, sprawdziłem, że opcja jest dostepna. Kliknąłem w aktywacje 3ds dostałem SMSa ale go nie wprowadziłem bo zajęty byłem czytaniem czym jest ów wynalazek. W międzyczasie coś mnie oderwało i zamknąłem laptopa. Po kolejnym zalogowaniu do mBanku opcja 3dsecure byla juz aktywowana. Magia!
    Czy ktoś może wykonać taki sam test i potwierdzić? Nie podoba mi się, że bez podania hasła jednorazowego usługa została aktywowana.

  24. Zamiast specjalnej karty „do płatności internetowych”, za które banki często pobierają specjalne/dodatkowe opłaty, można zrobić prościej: założyć oddzielne konto, do tego całkowicie zwykłą kartę i przelewać pieniądze w razie potrzeby.

  25. Ta bezpieczna karta mbankowa do płatności internetowch również jest bezpieczna tylko teoretycznie:

    https://www.mbank.pl/forum/watek,927881,niebezpieczna-ekarta,1.html

  26. Takie pytanko: Ale tak właściwie to co ten chip na karcie kredytowej zabezpiecza? Przecież i tak wszystkie transakcje między klientem a bankiem są załatwiane po staroświecku, czyli do kupienia czegoś najczęściej potrzebny jest numer karty i podpis właściciela (który nikt nie sprawdza), względnie PIN (jeśli to karta debetowa i płaci się nią w tym trybie), albo kod CVV/CVC, który można znaleźć z tyłu karty (albo z przodu, jeśli ma się AMEX).

    Więc chip wydaje mi się zbędnym bajerem, który po prostu jest bardzo łatwo obejść. Na dodatek każda karta nadal posiada pasek magnetyczny.

    A limity? Banki w Polsce winą za kradzieże pieniędzy z kont obarczają właścicieli kart. Czemu nie ma czegoś takiego, jak w USA, czyli, jeśli nikt ci nie ukradł karty, a straciłeś pieniądze na koncie, to bank zwraca ci ukradzione pieniądze i zaczyna dochodzenie?

    • Przecież jest. Nazywa się chargeback. I jest to standardowe dla VISY i Mastercarda. Nie wiem jak AMEX czy Dinners.

  27. Steam realizuje płatności kartą z 3dsecure, żadnych żądań o kod nie ma, płatność się realizuje, to samo netflix, nawet przy pierwszym podawaniu karty nie ma smsa. 3dsecure jest o kant dupy potłuc.

  28. Limit w pierwszym komentarzu mogl nie obowiazywac w zaleznosci jak mBank traktuje transakcje MOTO. Ogolnie sa 3 rozne tryby platnosci: Internet, MOTO oraz CHP (Card Holder Present). Internet oraz MOTO sa dostepne przez internet, a MOTO oraz CHP sa dostepne z terminali fizycznych.

    Gdy mBank ustalil limit internet na 0, a netflix zrobil platnosc przez internet jako MOTO, to moze byc tak, ze mBank w limitach bierze pod uwage 3 rozne tryby platnosci, nie klasyfikujac MOTO jako platnosci internetowej. Moga tak robic, platnosc MOTO kosztuje wiecej, ale nie wymaga kodu CVV, co pozwala na automatyczne transakcje co miesiac bez potwierdzenia przez klienta za kazdym razem.

    Co do 3DS to jest to skomplikowane. Ten system nie sluzy do ochrony konsumenta, ale do przeniesienia winy ze strony sklepu na strone banku, jesli transakcja byla przeprowadzona z 3DS. Ten system jest ciezko wprowadzic, wiec zapewne nigdy nie bedzie wymagany, i tylko od sklepu zalezec bedzie czy w danej transakcji bedzie uaktywniony czy tez nie.

    • Rozmija sie Pan z prawda – 3-DS nie przenosi odpowiedzialnosci na bank a na klienta – marketingowo opowiada sie ludziom, ze to zabezpiecza ich transakcje (i to po czesci prawda bo dziala to jak PIN do karty). Ale, jesli transkacja została uwierzytelniona mechanizmem do ktorego dostep ma tylko klient (bo w 3-DS ma tylko klient) to jaka bedzie odpowiedz banku? :-) Dodatkowo odnosnie wprowadzenia technologii 3-DS – obsluga mechanizmu 3DS w polskim e-commerce polega na wykorzystywaniu certyfikowanego plugin’u do 3-DS u PSP (najczesciej gotowy produkt, tzw MPI) i nie jest skomplikowane (wręcz banalne) i dziala w polskim e-commerce od ponad dekady. Inna historia to wdrozenie 3-DS w banku lub instytucji obslugujacej bank w ramach 3-DS – tutaj mozemy mowic o komplikacji procesu i sporych kosztach (a na chwile obecna jest to raj dla oferentow 3-DS bo KNF zalozyl “kaganiec” na banki i 3-DS musi byc :-))

    • Chcialem tylko dodac, ze od kilku lat pracuje jako programista u PSP. Mam dostep do prywatnej dokumentacji od visa oraz acquiring bank jako, ze ich solucje musze kompletnie rozumiec zeby moc wdrozyc. W dokumentacjach tych jest tabelka, w ktorej opisane jest kto i w jakiej sytuacji jest winny za transakcje w zaleznosci od odpowiedzi.
      W zaleznosci od VERES i PARES winny jest sklep lub issuing bank. Ale to tez zalezy miedzy VISA i MasterCard, bo jest i tu roznica. System 3DS chroni bank wydajacy karte jako, ze pozwala na dodatkowa weryfikacje, ale sprawia takze ze to bank, a nie sklep jest odpowiedzialny za transakcje.
      Nie mowie tu o marketingu bo na nim sie nie znam, bank nie zacheci ludzi do 3DS mowiac ze jest to tylko dla nich i sklepu lepsze bo nikt nie bedzie chcial tego aktywowac na ich karcie i uzywac. Ludzie by tylko sie denerwowali ze zawsze musza sms przepisac.

  29. ogólnie przy płatnościach nie zauważyłem nigdzie tego 3d secure (chociaż wiem że moja karta to obsługuje) ale zerknąłem sobie na moje limity na karcie gdzie było ustawione 500zł dla transakcji internetowych, i się zdziwiłem, bo wykonywałem przez internet duźo wyższe transakcje i one przechodziły

  30. Przecież 3-D Secure to zabezpieczenie sklepu i banku a nie klienta.
    Jeśli transakcja została potwierdzona 3DS to klient się nie wymiga. Sprzedawca i bank mają dowód (no prawie), że to klient zlecił zapłatę. W druga stronę to nie działa – klient nie ma żadnych gwarancji z tytułu 3DS (np. że nikt mu nie pobierze pieniędzy bez jego potwierdzenia).

  31. Numer telefonu do potwierdzeń niestety trzeba zmieniać w oddziale. Na pewno tak jest w Deutsche Banku.

  32. Mój pierwszy zakup z włączonym 3Ds (przez mBank) z użyciem karty wirtualnej był taki, że nie przyszedł SMS z potwierdzeniem na komórkę, anulowałem zakup i następnie go ponowiłem, wtedy SMS otrzymałem i zakup po wpisaniu CVV został zrealizowany.

    Jakoś rok temu miałem podpiętą powyższą kartę do Google Play, ale zablokowali możliwość płacenia takimi kartami, zostałem zmuszony do przepięcia się na inną “fizyczną” kartę.

    Swego czasu kupowałem na Amazon’ie, tam nawet CVV nie było potrzebne, aby transakcja została zrealizowana i nie było to zlecenie odnawialne (abonament miesięczny). Pewnie 3Ds też będą ignorowali.

    Bardzo bym chciał móc wyłączyć 3Ds, niestety mBank nie umożliwia takiej operacji, na siłę uszczęśliwiają, pewnie dlatego, że za mało SMS’ów i kasy z tego tytułu pobierają.

  33. To co najbardziej wnerwia przy kartach to konserwatyzm i niekonsekwencja organizacji płatniczych. Kiedy wdrażamy nowy rodzaj zabezpieczeń, powinien być jakiś rozsądny okres przejściowy na dostosowanie (max 5 lat) kiedy owe zabezpieczenie jest opcjonalne a potem staje się obowiązkiem. Wszędzie. Bez wyjątku. Technologia 3DS istnieje już od dawna i w tym czasie powinny ją były wdrożyć wszystkie banki, wszyscy agenci rozliczeniowi i wszystkie sklepy, pod rygorem braku akceptacji płatności. I co mamy? WBK już od lat ma 3DS a mBąk właśnie się obudził!

    Inny przykład: pasek magnetyczny. Po jakiego grzyba on jeszcze jest??? Ponieważ tu chodzi o sprzęt więc okres przejściowy mógł być dłuższy ale max 10 lat i potem koniec. Czyli w 2005 r. wszystkie banki jak jeden mąż wydają karty EMV (w międzyczasie pozostają w obiegu stare do końca ich ważności). Przychodzi roczek 2015 i wszystkie terminale bez czytnika chipowego jadą do huty na przetopienie! Tylko karty Chip&PIN, żaden podpis. Czemu tak się nie stało?

    Przykład niekonsekwencji: banki wyraźnie zabraniają zapisywania kodu PIN i przechowywania razem z kartą. Spoko! Dla transakcji internetowych odpowiednikiem PIN-u jest CVV2/CVC2, pełni identyczną on rolę a więc nie widzę powodu aby postępować z nim inaczej niż z PIN-em. Tymczasem numer ten jest… wydrukowany na karcie! Gdzie tu sens i logika?

    Powiem nawet, że pewne sprawy się… cofają! Jakieś 10-15 lat temu niemal wszystkie debetówki do kont na rynku to były VISA Electron lub Maestro a więc z płaskim nadrukiem. Dzisiaj wiele banków (w tym mBąk, Alior, WBK) wydają debetówki wypukłe! Czy ktoś wie do czego służy wypukły nadruk? Odpowiedź: do odbijania numeru karty w tzw. ręcznym powielaczu zwanym też imprinterem lub potocznie “żelazkiem”. Przecież takie urządzenia powinny były zniknąć z powierzchni Ziemi!

    • @Marcin Maziarz:
      … i powinien zostać powołany ogólnoświatowy rząd, który w planach pięcioletnich będzie ustalał kolejne zabezpieczenia i kontrolował ich wdrażanie — jeśli komuś się nie uda, kulka w łeb ;).

      Żeby doprawić narysowany przez ciebie krajobraz horroru dodam, że karty często nadal mają wypukłe nadruki i wymóg posiadania podpisu. Wiesz, dlaczego? Dlatego, że w niektórych krajach Afryki i Azji Południowo-Wschodniej nadal można robić transakcje przez odbicie danych karty ołówkiem na papierze.

      Dlaczego nie ma wszędzie 3DS, dlaczego nie ma wszędzie chip+pin albo autoryzacji on-line, dlaczego nie ma wszędzie nawet pasków magnetycznych? W skrócie: ponieważ rynek tego nie chce; ponieważ nikt nie czuje potrzeby wprowadzenia tego; ponieważ to nie jest wyidealizowana bajka, tylko realny świat, gdzie za wszystko ktoś musi zapłacić.

      W tej rozgrywce jest kilka grup graczy: organizacje płatnicze, banki, sprzedawcy i pośrednicy. Do tego paliwo, czyli konsument. Której z tych grup jest na rękę zakaz używania starszych rozwiązań? Sprzedawcom? Muszą wdrożyć nową technologię (koszty), mogą zostać odcięci od samych usług płatniczych i tym samym klientów (koszty), a sama technologia działa z założenia przeciwko nim (koszty). Koszty/zyski: 3:0. Bankom? Wdrożenie (koszty), strata klientów ze względu na pogorszenie kompatybilności oferty (koszty). Większa osłona przed cofaniem transakcji, ale tak naprawdę całość ma na celu przerzucenie na nich kosztów (niemniej niech będzie: zysk). Razem: 2:1. Pośrednikom? Wdrożenie (koszt). Kłopot z kompilacją procesu, bo muszą nadal obsługiwać stare rozwiązania, ale tylko w części przypadków (koszt). Sam system jest też droższy w utrzymaniu (koszt). Razem: 3:0. Organizacje płatnicze: przerzucają trochę kosztów na banki (zysk). Jednak nie gratis, bo odetną w ten sposób sporą część sprzedawców od możliwości korzystania z ich usług (koszt), co natychmiast wykorzysta konkurencja (ogromny koszt). Razem: 2:1. To ostatnie jest głównym powodem, dla którego w ogóle wiele rozwiązań w świecie płatności tak powoli wchodzi: bo organizacje płatnicze muszą poczekać, aż potencjalny zysk z ich wprowadzenia istotnie przekroczy oczywiste straty.

      Teraz dalej: bardzo fajnie jest myśleć, że to tak „hop siup”, ktoś coś tam zadecyduje i będzie. Tyle, że samych organizacji płatniczych jest na świecie paredziesiąt. Visa i MC (w Europie, plus AE i DC w USA) mają większość rynku, ale to nie są jedyni gracze. Każdy z nich decyduje niezależnie, jak obsługuje się jego karty. Pośrednicy, których jest spokojnie z kilkaset, wybierają kogo i jak obsługują — obydwie strony muszą się zgodzić na warunki współpracy. Oh, zapomniałem — dostarczone rozwiązania muszą też radzić sobie z „lokalnymi” sprawami, jak np. pre-paidy sklepów. Dalej masz podmioty wydające karty: najczęściej banki. Każdy z nich niezależnie dogaduje się z organizacjami płatniczymi. Na końcu masz sprzedawców, którzy mają najmniej do gadania jako jednostki, ale wszystkie trzy wcześniej wymienione strony nie mogą stracić ich jako klientów w sensie masowym, bo odetną sobie kasę. Teraz w całym tym rozgardiaszu, gdzie niezliczone niezależne jednostki dosyć swobodnie pełzają sobie w różnych kierunkach, chcesz ot tak sobie odgórnie zarządzić, że za kilka lat ma zostać wprowadzone coś, co tak naprawdę nie leży w interesie żadnej z nich. I dziwisz się, że to nie działa :D.

    • Wypukła karta wyglada lepiej ;-) a ze nadal jest Debit…

    • Niezbyt świeża historia, ale dzięki temu, że moja karta była embosowa mogłem zapłacić w UK z użyciem żelazka, które sprzedawca wyciągnął, bo terminal (nie wiem z jakiej przyczyny) nie mógł mu się połączyć, a był skonfigurowany w ten sposób, że off-line nie pracował.
      Ale zawsze znajdą się besserwiserzy co uważają, że innych najlepiej uszczęśliwić na siłę…

    • Jeżeli dla uczestników rynku Chip&PIN czy 3DS to zbyt kosztowna rozpusta to po co w ogóle wdrażać? Niech dalej będą tylko karty magnetyczne, na podpis i bez 3DS, wyjdzie jeszcze taniej!!! Sorry, albo coś wprowadzamy i używają tego wszyscy albo nikt. Inaczej nie ma sensu. Możliwość downgrade/fallback czyni nową (i ponoć zbyt kosztowną) technologię dziurawą. Równie dobrze można na wszystkich serwerach bankowych oprócz TLSv1.2 włączyć jeszcze SSLv2, SSLv3. Co z tego, że ucierpi bezpieczeństwo wszystkich użytkowników? Przecież jakiś biedaczek co ma tylko Pentium III i 128MB RAM z Windowsem 2000 z IE 6 przecież nie połączy się jak nie będzie miał starszego protokołu! Do takiego szmelcu można porównać terminal bez czytnika Chip.

      Właśnie fakt, że banki i agenci rozliczeniowi są zrzeszeni w centralnie zarządzanych organizacjach płatniczych powinno był ułatwieniem. Czyli szefostwo VISA i MC mówi: od roku X wprowadzamy 3DS, za kolejne 5 lat opcja obowiązkowa. Decyzja tych dwóch firm w zasadzie zatkałaby lukę bo każdy bank wydaje ich karty. A jak ktoś będzie chciał kartę mniej bezpiecznej organizacji (POLCARD Bis, Diners Cub, AMEX) to byłby jego wybór. Być może te organizacje pod presją konkurencji również unowocześniłyby się.

      Co do żelazka, ja ostatnio takie widziałem jeszcze w poprzedniej dekadzie u jednego taksówkarza a potem już nigdy więcej. Myślę, że miażdżąca większość osób z młodszych roczników to nawet nie ma pojęcia co to w ogóle jest. Jakby im przyszło do zapłaty w żelazku to zaraz by wrzasnęli: – Co pan wyprawia z moją kartą???

  34. Po Niebezpieczniku, portalu aspirującym do fachowości w dziedzinie bezpieczeństwa, można by się spodziewać nieco poważniejszego podejścia do tematu, a tu mamy bazarowe ironizowanie (vide: akapit zaczynający się od “Sami widzicie. Zabezpieczenie “opcjonalnie działające…”). Nieładnie. Nieprofesjonalnie.
    Jako że trochę się znam na 3DS, to może wytłumaczę w kilku punktach.
    1. 3DS to zabezpieczenie mające chronić przede wszystkim środki klienta przed nieautoryzowanym użyciem karty w środowisku internetowym. Jak to jest łatwe – naprawdę trzeba tłumaczyć? Podpowiem: wszystkie dane są na karcie. Wystarczy aparat i/lub dobra pamięć. Nie wspominając o wyciekach danych.
    2. Klient, choć może zirytowany wydłużeniem transakcji, zapewne dopiero doceni to zabezpieczenie wtedy, gdy okaże się że jego karta go nie miała, a on sam musi w procesie reklamacyjnym udowadniać, że nie jest wielbłądem (czytaj: to nie on przehulał 54 tys. PLN w internetowym kasynie).
    3. Kwestia przymusowości, jaką narzucają na klientów kartowych banki. Dwuskładnikowe zabezpieczenie (strong cardholder authentication) wymusiła na bankach KNF. A na niej z kolei dyrektywa Europejskiego Banku Centralnego. Tu nie ma zmiłuj. Albo bank ma wdrożone 3DS dla wszystkich klientów, albo naraża się na represje regulatora. Zapewniam, żaden bank nie lubi być nie w zgodzie z KNF…
    4. Kwestia dobrowolności sklepów. Tu jest temat szerszy, bo moze być mnóstwo scenariuszy, opiszę najczęstsze:
    a) sklep wymaga zatwierdzenia przez 3DS bezwzględnie (tego nie będę opisywał);
    b) sklep wymaga 3DS, ale o dziwo, zdarza się, że przepuści czasem transakcję bez podawania kodu przez klienta! – widocznie sklep w swojej polityce ryzyka uznał, że albo klient jest mu znany, albo transakcja na tyle bezpieczna (niska kwota, nie-fraudowy MCC, określony typ karty, etc.), że mu wsio rawno czy podasz dobry kod, czy zły, czy nie podasz wcale – bierze to na klatę i akceptuje;
    c) sklep w ogóle nie wymaga 3DS, ba, czasem nawet nie wymaga autoryzacji kodem CVV2/CVC2 (a’propos, kody CVV/CVC to coś zupełnie innego niż te 3 cyferki na karcie!) – np. pewien duży sklep amerykański na literę A. ma taką liberalną politykę ryzyka – jego wola (i ryzyko)!
    5. Jakie są konsekwencje punktów 3 a,b,c? Sprowadzają się one do jednej zasady: “liability shift” czyli po polsku “strona niezabezpieczona ponosi konsekwencje”. Czyli, w przypadku reklamacji transakcji przez posiadacza karty, ten uczestnik procesu zakupu, który nie miał wdrożonego 3D Secure, Z AUTOMATU pokrywa stratę. I to bez gadania. Płaci i już. Bo tak.

    Reasumując, 3D Secure na karcie zabezpiecza nie tyle przed utratą środków (bo dokonać frauda internetowego, gdy konieczny jest dodatkowo kod z SMS jest na 99% niemożliwe), co raczej przed odpowiedzialnością finansową za wyłudzenie, gdy któryś z uczestników łańcucha autoryzacyjnego nie aktywował 3DS-a. Dobrze, gdy tym słabym ogniwem nie jest klient.

    PS. Oczywiście, można przechwycić dane z karty, dobrać się do telefonu klienta (przekierowanie SMSów, malware, itp.) – ale to jest opowiadanie na zupełnie inny raz.

    • Arturze, och rzeczywiscie fraud nie jest mozliwy? np. w przypadku transakcji inicjowanej z telefonu? Bo nie slyszales o roznych fajnych aplikacjach ktore czytaja i wysylaja co popadnie robiac jeszcze wioche liftujac sobie uprawnienia..? Brawo Ty!

    • Także mam doświadczenie z procesowaniem płatności kartami i moja opinia jest taka sama jak kolegi Artura, chyba że jest coś o czym nie wiem. Ogólnie “liability shift” to praktycznie zrzucenie odpowiedzialności, jeżeli sklep niepoprawnie obsługuje 3d Secure to jego sprawa, ja jako użytkownik karty mogę stracić przez to pieniądze, ale ten sklep bierze odpowiedzialność za to i w efekcie końcowym pieniądze powinny być zwrócone kosztem sklepu.

      Ktoś może miał z tym styczność jak to w praktyce się odbywa?

      Idealnie by było gdyby bank zwrócił należność i domagał się zwrotu kosztów od sklepu.

    • “Ktoś może miał z tym styczność jak to w praktyce się odbywa?”

      Ja. :)
      Od momentu, gdy wdrożyliśmy w banku 3DS-a, fraudy CNP (internetowe) spadły do wielkości symbolicznych, a “liability shift” uczyniło proces chargeback lekkim, łatwym i przyjemnym. Również dla klienta. De facto bank przestał ponosić straty, bo te nieliczne transakcje fraudowe, które jednak się dzieją (w sklepach bez 3DSa) za chwilę rekompensujemy odzyskami z chargeback. Mówiąc księgowo:
      loss – recovery = 0 :)

      I przy okazji, naprawdę, nie demonizowałbym tego hackowania telefonów. Wiadomo, wszystko się da złamać. Przejąć kartę kolegi “Brawo Ty” powyżej, zapolować na jego telefon, wgrać mu mniej lub bardziej sprytnie jakiegoś buga… Pytanie tylko: jakim kosztem? I po co?

      Fraudziarze też mają swój mózg: nie będą się spinać na kartę jakiegoś gołodupca, skoro w tym samym czasie, mniejszym wysiłkiem mogą zgarnąć więcej kasy zupełnie gdzie indziej.

      A jeśli ten czy inny lamer odhaczy w Androidzie “zakaz pobierania spoza Google Play” i wpuści robactwo na swoją komórkę razem z najnowszym GTA z torrentów, to sam sobie winien. 3D Secure zabezpiecza przed stratami wynikającymi z nieuprawnionego użycia karty – nie przed głupotą.

  35. 3DS to dla mnie ściema. Co z tego, że mam włączone to pseudozabezpieczenie jeżeli działa tylko w polskich sklepach internetowych. Robiłem zakupy w zagranicznych i każdy z nich puścił transakcję bez weryfikacji 3D.

  36. Kochani a moze wzielibyscie sie za to jaki zestaw danych jest udostepniany bezdotykowo bez wymogu jakiejkolwiek autoryzacji przekazu informacji mocno wydawalo by sie poufnych? Sprawdzalem na kartach Mbanku i doslownie jest dostepne wszystko. U innych (np. standartowa karta City czy PKO) juz jest lepiej (ale nie idealnie).
    Jesli wiec w jakims sklepie bez wyciagania karty zostaniesz powitany z nazwiska, imienia, numeru karty i listy ostatnich zakupow to sie nie zdziwcie.
    Brawo Mbank i jego procedury super bezpieczenstwa. Brawo Ty!

  37. Z tą kartą wirtualną mBanku to nie bardzo rozumiem, czemu jest lepsza. Też tak myślałem (że od karty pre-paid nie da się zbankrutować), dopóki mBank nie zgodził się na obciążenie takiej karty z zerowym saldem kwotą ok. 100 USD. Którą to kwotę mBank zdjął mi z r-ku, równoznacznie z ujemnym saldem ror i monitem.

    • Podeslesz szczegoly? Z czego to wynikalo?

  38. mnie bardzo zastnawia wybiórczy system weryfikacji przelewu SMS-em w ING. Bank ten nie zawsze wymaga kodu z SMS-a dla potwierdzenia przelewu.
    Jeszcze rozumiałbym to, że nie wymagają czasem irytującego przepisywania kodu do czestych bądź zaufanych odbiorców albo przypadku wysyłania “znikomej” sumy, ale często zdaża sie tak że wysyłajac ” duży przelew do wczesniej nieznanego Mi odbiorcy nie musze wpisywać kodu a wysyłajac złotówke na rachunek do którego przelewam często spore pieniądze nagle muszę kod przepisać.

    • Reputacja rachunku docelowego ma znaczenie. Tobie moze nie byc znany – ale bank wie, ze to ich klient od 5 lat.

    • Algorytm ING selekcji przelewów do potwierdzenia zmienił się chyba ok. 2 lat temu. Zmienił sie niestety – dla użytkowników, na gorsze. Bo jaką reputację może mieć rachunek spółdzielni mieszkaniowej, której co miesiąc od kilku lat przelewam regularnie czynsz, że od zmiany algorytmu za każdym razem muszę go potwierdzać SMS-em?

  39. Ostatnio rezerwowałem lot przez bank Inteligo i mimo, że nie potwierdziłem transakcji kodem 3D Secure to pieniądze zostały pobrane. Odpowiedź banku: wszystko w porządku – jest to możliwe bo to usługodawca decyduje czy zabezpieczenie ma być potraktowane poważnie. To po co do jasnej cholery te zabezpieczenia?

    • Proste – uslugodawca ma do Ciebie zaufanie (latales z nimi) albo jestes na tyle dobrze sprofilowany (maja dokladna historie Twooich platnosci), ze jest w stanie podjąc minimalne ryzyko, ze Ty to nie Ty i decyduje sie pomimo niesprzyjajacych okoliczności (blad komunikacji z serwerem 3-DS) lub ograniczen systemu rezerwacyjno-platnosciowego (np taki Amadeus) na krok z wykorzystaniem tzw. sciezki SSL. BTW, ktos napisal, że to PSP decyduje, ze transakcje mozna puscic bez 3-DS :-) Raczej jest to bzdura i czarny piar dla PSP – generalnie zaden PSP nie chce ponosic takiego ryzyka i przerzuca odpowiedzialnosc na sklep (regulujac to stosowna umowa) i to sklep (uslugodawca) decyduje najczesciej o przeprocesowaniu transakcji bez 3-DS.

  40. Nie tak dawno kupowalem sobie bilety w Wizzair. Moj bank jest norweski, karta kredytowa – Mastercard, w pewnym momencie przy platnosci wyskoczylo mi logowanie do banku (3DS) i w tym momencie sobie przypomnialem, ze od jakiegos czasu w Operze to logowanie przestalo dzialac (odkad zmienila wlascicieli wiele rzeczy zaczelo mi sie sypac, ale nie o tym). Trzeba zmienic przegladarke, kliknalem wiec gdzies na jakies “anuluj”, “wroc”, czy cokolwiek tam mialem pod reka, wywalilo mi, ze “authorization error”, wszystko na czerwono, a na koncu przeskoczylo na strone, ktora podziekowala mi za dokonanie zakupu… Bilet dostalem, dzialal, platnosc na karte weszla kilka dni pozniej.
    3DS jest opcjonalnie opcjonalne z mozliwoscia zachowan losowych by design :)

  41. Do Smsów z mBanku mam dumbphona, najczęściej wyłączonego, gdzieś w domu. Na codzień używam tel służbowego. Będąc poza domem, nie będę miał jak potwierdzić transakcji? Dziwny ten rynek bankowy, nie chcesz transakcji zbliżeniowych?Nie chcesz 3DS? Nie ma sprawy- włączymy je dla ciebie!

  42. Karta wirtualna mBanku jest fajna. Przynajmniej do czasu kiedy ze chce ją się podpiąć w Google Play. Nie da się, kontaktowałem się z mBankiem ten odsyła do Google, kontaktowałem się z Google a ci odsyłają do banku. Czułem się jak piłeczka ping pongowa. Generalnie podobno problem jest z transakcjami na 0zł które google używa do weryfikacji karty a mbank odrzuca. Koniec końców darowałem sobie po kilkunastu e-mailach z/do google/mbanku.

    • U mnie dzialalo, przestalo dzialac, nie wiem jak teraz. Dodaj ja najpierw do Wallet, potem uzyj w Play.

  43. Przykład z tego tygodnia. Płaciłem w WizzAir kartą za bilety lotnicze. Wybrałem kartę MC w BZWBK. Po przejściu na stronę banku dostąłem komunikat, że karta nie ma zdefiniopwanego numeru telefonu, więc 3DSecure nie może zostać zrealizowany. Wróciło mnie na strony WizzAir.com i oczywiście nie dokończyła się transakcja. Ku mojemu zdziwieniu na karcie pojawiło się obciążenie, a WizzAir potwierdził ten lot!
    Tak wiec brak numeru telefonu dla 3DSecure i odrzucenie operacji (zapewne odpowiedź “nie można dokonać autoryzacji”) nie chroni przed dokonaniem zakupu.

  44. Allegro, wymaga 3d secure
    Aliexpress, nie wymaga
    Czy tylko mnie się to wydaje głupie?

    • Allegro nie wymagha 3-DS…allegro sprawdza czy Twoja karta ma 3-DS i wtedy PROBUJE obsłużyć transakcje w tym systemie…Ali nie sprawdza bo najprawdopododbniej regulacje jakie obowiazuja w CH nie wymuszają na Procesorze sprawdzania kart w 3-DS. Najprosciej zweryfikować to w historii transkacji jak zostalo to oznaczone (SSL, MOTO, 3-DS attempt, full 3-DS itp) i wtedy wiemy, ze sklep w którym użyto karty z właczonym 3-DS np nie obsluguje mechanizmu lub najzyczajniej coś sie schrzaniło w “komunikacji” 3-DS (częsty przypadek).

    • @MK
      Ali obciąża jako spółka z UK, także standardy chińskie nie maja za dużo znaczenia tutaj :)

  45. Z tego co wiem to jeżeli dany sklep nie wdrożył 3d secure to klient ma ułatwioną drogę reklamacji. Więc na coś się jednak przydaje. Zamiast psioczyć dajcie czas wszystkim na wdrożenie. Nie wszystko przychodzi łatwo.

  46. Sytuacja z PS Store sprzed dosłownie kilku dni, próba zakupu gry przez przeglądarkę, mam kartę podpiętą już od jakiegoś czasu. System wpadł w jakąś pętlę, logowanie do serwisu banku, przychodzi kod do 3D secure SMS, wpisuje po czym wyskakuje po raz kolejny prośba o logowanie do banku, kolejny sms i tak 4 razy. Poddałem się ale stwierdziłem że jeszcze spróbuję z poziomu konsoli i płatność przeszła bez żadnego problemu i bez próśb o logowanie do banku i kod 3D-Secure.

    • miałem ten sam problem ze strona ps store kilka dni temu na smartfonie. karta kredytowa citi. z poziomu konsoli płatność przeszła bez problemu.

  47. W t-mobile bankowe mam limit 0 na transakcje internetowe. Płacę od dłuższego czasu spokojnie kartą, ze świadomością, że w razie błędnego pobrania przez drugą stronę bank nie ma innego wyboru jak uznać reklamację – wszak limit jest na zero.

  48. A tak z innej beczki, czy istnieje w Polsce bank, który w żadnym możliwym przypadku nie pozwoli na wystąpienie debetu? Czyli każde obciążenia od operatora karty (Visa, MC itp) zostałyby odrzucone, gdyby przekraczały kwotę na koncie?

    • Takie były karty pre-paid. Karta płaska i wszystkie autoryzacje bez wyjątku on-line, również dla płatności zbliżeniowych. Do tego jeszcze przy płatności w walucie obcej blokowana była kwota o bodajże 3% wyższa niż wynikało to z przeliczenia na PLN (było to zabezpieczenie na wypadek wahań kursu, docelowo karta była obciążana bez tych 3%).

      Nieprzekraczalność salda karty leżała w interesie banku więc bank się starał bo ewentualny debet byłby nieściągalny. Przy kartach imiennych limity są już interesem klienta więc bank ma to gdzieś.

    • Były, ok, a obecnie są takie opcje dostępne (czyli karta tylko z autoryzacją online)? Nie mam nic przeciwko samym limitom na karcie imiennej, ale oczekuję, że taki limit zadziała *zawsze*, a nie tylko dla wybranych transakcji, gdy np. offline’owe obciążenie z VISA/MC i tak zostanie zaksięgowane z pominięciem limitu.

    • @Marcin Maziarz

      Akurat na kartach prepaid parę lat temu setki tysięcy złotych z naszych banków wypłynęły (rekordzista wyciągnął z pustego konta bodajże ~80k).

    • @cienki_bolo
      Jak to zrobili???

    • @Marcin Maziarz

      Zakładam, że błąd już jest dawno temu poprawiony (sprawa wyszła gdzieś w 2011/2012), choć pewności nie mam czy zrobiono to jak należy – tj. po stronie banku – a nie po stronie acquirera. A że anonimowe karty prepaid są jeszcze na rynku, powstrzymam się od odpowiedzi “co i jak”.

  49. Ciekawe, czy w przypadku kryptowalut dałoby się zaimplementować funkcję dziennego limitu transakcji. Oczywiście weryfikowanego przez sieć – ograniczenie kwoty, którą można wydać w danym czasie, na poziomie portfela byłoby trywialne, ale jeśli złodziej uzyskałby dostęp do odszyfrowanych kluczy, mógłby wydać wszystko od razu.

  50. Ostatnio kupiłem aplikację w sklepie Google Play i nie musiałem nic potwierdzać. Wcześniej robiłem zakupy gdzie indziej i musiałem wpisywać kod z SMSa. Mam kartę w NEST Banku z 3-D Secure.

  51. Czy ja dobrze rozumiem, że Netflix (działająca cyfrowo firma, u której praktycznie nic nie dzieje się w realu, a wszystko na serwerach) jak nie mogła pobrać płatności to wysłała kogoś, żeby ręcznie wklepał dane do terminala i w ten sposób ściągnął kasę?
    Przecież przy tej skali działalności to niedorzeczne.
    Chyba, że transakcje MOTO nie dziejące się na terminalu można zgłaszać jako działające na terminalu. Ale wtedy nie tylko ktoś sobie puści transakcję przez terminal, mimo, że nie powinien (jak dla mnie pierwsze naruszenie), ale robi coś w rodzaju wirtualnego terminala, co jest kompletnie z kosmosu (że jest możliwe).

  52. Ktoś narzeka że mu na siłę wciskają 3d secure, zmień wydawcę karty. Ja od dawna nie używam kart MC (złodzieje!!!) i nikt w Visie nie zmusza mnie do 3d secure i zgodnie z prawem biorą pełną odpowiedzialność za wszystkie fraudy za pomocą karty powyżej 150euro (nota bene ktoś słabo tą umowę 3d secure analizował skoro nie zna dyrektyw i praw dotyczących odpowiedzialności, których zwykłą umową nie da się wyzbyć).

  53. “Wielokrotnie hotele oddzwaniają do nas hotele z informacją(…)” – drobny błąd :)

  54. Kilka miesięcy temu kupowałem bilet przez stronę intercity, logując się na stronę banku z 2-3 razy przypadkowo podałem złe hasło, za 4 razem strona płatności mastercard (nie pamiętam jak się nazywała) w ogóle nie chciała żadnego potwierdzenia od banku i zrealizowała transakcję omijając cały 3d-secure

  55. W październiku podczas wizyty w Barcelonie karta Visa PKO BP z włączonym 3D Secure NIE autoryzowała się ani razu. (próby zakupu biletów przez internet). Płatności kartą z mBanku (jeszcze bez 3DS…) przechodziły bez problemu. Od niedawna mam włączone 3DS na karcie mBank, kolejny lot w kwietniu i chyba polecę jak za dawnych czasów z gotówką kupioną w kantorze. Chore :/

    M.

  56. Norma, hotele i inne “zaufane” firmy moga ominac limity naszych kart – np firmy wynajmujace samochody rowniez moga zawierac transakcje wyzsze niz limity.

  57. 3D secure to kpina. Tydzień temu utknąłem we wschodniej Turcji przez śnieżyce. 700 lotów odwołany h. Robiłem chyba z 10 podejść do zakupi biletów karta na stronie tureckich lokalnych linii lotniczych – wszystkie transakcje nie zostały zakończone bo albo wywaliła sie ramka do 3ds albo po wpisaniu kodu strona sie moe odświeżyła. No i oczywiście wtedy dylemat – czy jednak pieniądze ściągnięte z rachunku karty czy nie.
    Dotyczyło to zarówno MasterCard z mbanku jak i ing

  58. Dlaczego w ogóle istnieje możliwość obciążenia karty poprzez ręczne wpisanie danych i następnie zakwalifikowanie jej jako płatność Card Present? Przecież to nielogiczne… Jeżeli karta naprawdę jest obecna, to znaczy, że może być zczytana czytnikiem. Terminale nie powinny umożliwiać płatności Card Present poprzez ręczne wpisanie danych, a jedynie poprzez przeciągnięcie/wetknięcie karty… Problem złego kwalifikowania transakcji zniknąłby od razu. Czegoś nie rozumiem?

  59. Co do “internetowej” płatności kartą, to zdecydowana większość hoteli nabija je jako płatność z fizyczną kartą.

  60. od czasu jak bank włączył mi 3dsecure w kartach wirtualnych i kredytowych, nie da się zasilić konta ani kupić biletu przez Skycash… co ciekawe Microsoft, Paypal czy Netflix na tej samej karcie działa bez problemu – bez podania kodu SMS.

  61. U nie kiedyś 3DS zadziałał ale czy na pewno 3D skoro kogoś przyprawiłem o zawał serca.
    Płatność małej kwoty MasterCardem nie pamiętam przy pomocy jakiego operatora transakcyjnego. Numerki wpisałem “z głowy” nr karty, data ważności, CVV, dane zastały przyjęte i wyskoczył ekran do wpieniania kodu. Długo czkając na SMS w końcu wypatrzyłem że wyświetlana końcówka numeru telefonu w komunikacie na który miał być wysłany kod jest inna od mojego. SMS mógł ktoś inny dostać . Na pewno poprzestawiały się mi się cyferki w numerze karty, bo nie raz pisząc “z głowy” mi się to zdarzało, ale inne systemy transakcyjne od razu informowały. No dobra tym razem udało mi się wygenerować prawidłowy nr karty, ale co z data ważności i CVV, to jest mało prawdopodobne abym jeszcze to trafił i były jak moje!

  62. Najprawdopodobniej ktoś gdzieś skopiował dane mojej karty, gdyż z mojego konta zaczęły znikać drobne sumy od 2$ do 10$. Po dodzwonieniu się na infolinię uzyskałam informację, że są to płatności realizowane na stronie aliexpress, ale nic więcej mi nie mogli powodzieć. Twierdzili, że nie mają możliwości zweryfikowania tożsamości osoby, która używała mojej “karty”. Czy myślicie, że to prawda czy po prostu mnie zbyli? Czy może zgłoszę się do aliexpress? Może oni mi przekażą więcej informacji?

  63. w mbanku na cykliczne płatności trzeba mieć limit ustawiony na płatności korespondencyjne, na samym internecie nie zadziała przy takiej operacji. a przy najmniej u mnie nie działa.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.