11:45
20/11/2012

Jeden z naszych czytelników opisał nam, jak to zupełnie przypadkiem zapłacił w internecie za zakupy przy pomocy karty Citibanku zabezpieczonej mechanizmem 3D Secure bez potrzeby podawania kodu przesyłanego przez bank SMS. Wystarczyło kliknąć na przycisk SMS nie doszedł, wyślij go ponownie.

3D Secure miał podnieść bezpieczeństwo transakcji online

3D Secure to dodatkowe zabezpieczenie stosowane przez Visa i Mastercard przy płatnościach przez internet. Właściciel karty z włączonym zabezpieczeniem 3D Secure w Citibanku otrzymuje specjalny kod SMS-em — i dopiero wpisanie tego kodu u operatora obsługującego płatność powinno pozwolić na obciążenie karty kwotą transakcji.
3d Secure

3D Secure

Maciek, nasz czytelnik przesłał nam opis swojej transakcji:

W niedzielę płaciłem kartą kredytową Citybanku na Allegro [Płatność poprzez PayU — dop. red.]. Pojawiło mi się okienko autoryzacji transakcji kodem sms, ale tenże oczekiwany sms nie przyszedł. No to kliknąłem na link typu ‘wyślij ponownie sms z kodem’ i… transakcja została autoryzowana. Bez wpisywania żadnego kodu. Zgłosiłem reklamację, dziś bank przyznał, że kod nie został wysłany.

“Realizacja transakcji bez hasła 3D – Secure może być wynikiem błędu występującego po stronie firmy zewnętrznej zajmującej się wysyłaniem haseł 3D-Secure lub punktu handlowo-usługowego. Informujemy, że zwróciliśmy się z prośbą o wyjaśnienie zaistniałej sytuacji.”

Niebezpiecznik także zwrócił się z prośbą o komentarz do PayU — agenta rozliczeniowego, który obsługiwał płatność Maćka za zakupy na Allegro. Justyna Grzyl, PR Manager PayU, przesłała nam następujące wyjaśnienia (wytłuszczenia nasze):

O godz. 22:21:19 dokonaliśmy przekierowania do banku, a o godz. 22:22:55 otrzymaliśmy odpowiedź z banku, która umożliwiła nam przeprowadzenie transakcji bez 3D Secure, ponieważ bank nie mógł uwierzytelnić transakcji. Dlaczego bank pozwala użytkownikom na ponowne wygenerowanie sms-kodu, a jednocześnie daje do agenta rozliczeniowego [tu: PayU — dop. red.] odpowiedź „nie można uwierzytelnić”, która de facto kończy proces 3D Secure, to już pytanie do banku.

Warto zauważyć, że tą samą kartą została za pośrednictwem PayU przeprowadzona inna transakcja (6 IX 2012), dla której proces autentykacji 3D Secure przebiegł całkowicie poprawnie.

I tu należą wam się słowa wyjaśnienia — komunikat “nie można uwierzytelnić” wcale nie oznacza, jak mogłoby się wydawać, że należy natychmiast przerwać trasakcję (i ją odrzucić). Bank, co potwierdza Pani Justyna, może w fazie weryfikacji 3D Secure odpowiedzieć na 3 sposoby:

  • transakcja uwierzytelniona (Wszystko OK, można kontynuować proces płatności, jeśli klient ma na koncie wystarczające środki, produkt należy uznać za poprawnie sprzedany i opłacony)
  • transakcja błędnie uwierzytelniona (Nie OK, należy przerwać proces płatności – błąd weryfikacji 3D Secure)
  • nie można uwierzytelnić (Z jakieś przyczyny autoryzacja 3D Secure nie doszła do skutku, ale można kontunuować transakcję mimo, że bez 3D Secure)

Jak dodaje Pani Justyna z PayU:

W przypadku odpowiedzi “nie można uwierzytelnić” to akceptant/agent rozliczeniowy [tu PayU — dop. red.] decyduje, czy transakcja przeprowadzana jest dalej, gdyż wtedy to on ponosi ryzyko. W związku z tym, w uzasadnionych przypadkach, w celu ułatwienia procesu zakupowego, PayU pozwala na kontynuowanie i autoryzowanie takiej transakcji.

A zatem po otrzymaniu “nie można uwierzytelnić” z banku, to PayU podjęło decyzję o kontynuacji transakcji (zapewne uznając że ta transakcja wpisuje się w “uzasadniony przypadek”).

Co na to Citibank?

Citibank pomimo odpowiedzi na nasze e-maile, odmówił udzielenia szczegółów związanych z transakcją naszego czytelnika, tłumacząc iż

ze względu na przepisy prawa bankowego, wymagane jest przedstawienie pisemnego upoważnienia banku przez klienta do udzielenia nam informacji. Takie oświadczenie powinno być przez klienta własnoręcznie podpisane w obecności pracownika oddziału albo złożone przed notariuszem. Powinno też wskazywać wprost, jakie informacje (np. operacje na Kartach Kredytowych czy saldo rachunku etc.) komu (Imię, nazwisko + pesel lub nr dowodu osobistego) bank może przekazać.

Citibank zdradził jednak, że przeanalizował przypadek naszego czytelnika i “wszelkie wyjaśnienia w tej sprawie przedstawi klientowi niezwłocznie“. Po kilku dniach, nasz czytelnik otrzymał następujące oświadczenie z Citibanku (wytłuszczenie nasze):

błąd w dniu 4 listopada 2012, który Pan do nas zgłosił, jest wynikiem błędu po stronie firmy, która dostarcza zabezpieczenie 3D Secure. (…) transkacja która jest przedmiotem niniejszego zgłoszenia została autoryzowana przez Bank na podstawie wprowadzonych danych Karty Kredytowej, czyli numeru, daty ważności, numeru CVC/CVV. Weryfikacja tych danych po stronie Banku przebiegła prawidłowo. Weryfikacja kodem 3DS w tym przypadku została pominięta. Jako Bank zapewniamy, że podjęliśmy odpowiednie kroki w celu wyeliminowania takich przypadków w przyszłości.

Co to wszystko oznacza?

Wnioskując z powyższych oświadczeń Citi i PayU “bank pozwala użytkownikom na ponowne wygenerowanie sms-kodu, a jednocześnie daje do agenta rozliczeniowego [tu: PayU — dop. red.] odpowiedź „nie można uwierzytelnić“, problemy są 2:

    1. Po stronie Citibanku: już samo naciśnięcie przycisku wyślij ponownie sms z kodem” wygenerowało przedwczesny komunikat “nie można uwierzytelnić”. Nie poczekano na wysłanie drugiego SMS-a. Nie wyjasniono także na drodze reklamacji dlaczego weryfikacja 3DS została pominięta.

    2. Po stronie PayU: kontynuacja transakcji pomimo otrzymania z banku odpowiedzi nie można uwierzytelnić. Co prawda nie jest to “błąd”, a raczej świadome podjęcie ryzyka i związanych z tym ewentualnych konsekwencji.

    Jak bowiem twierdzi PayU — tego typu “kontynuację transakcji” przeprowadza jedynie w “uzasadnionych przypadkach”. Być może zacytowana poprzednia płatność naszego czytelnika tą samą kartą poprzez PayU miała tu znaczenie. Ale znaczenie mogła też mieć stosunkowo niska kwota transakcji. W końcu czasem lepiej nie stracić klienta (i zarobić na prowizji), niż zrazić go do siebie z powodu uciążliwości wymogów bezpieczeństwa ;-)

Przypadek naszego czytelnika pozwala wnioskować, że ktoś kto znalazłby jego kartę Citibanku chronioną mechanizmem 3D Secure, mógłby nią z powodzeniem zapłacić w internecie poprzez PayU — wystarczyłoby aby podczas autoryzacji 3D Secure złodziej kliknął na wyślij ponownie sms z kodem. Równie dobrze, złodziej mógłby poszukać operatora płatności, który nie wspiera 3D Secure — i zapewne też dokonałby transakcji tą kartą przez internet.

Dywagacje co do możliwości lokalizacji złodzieja po podanym adresie wysyłki zostawiamy na inny post.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

66 komentarzy

Dodaj komentarz
  1. Kart nie kradlem ale placic karta kredytowa, z wlaczona opcja 3D Secure chcialem i sie nie udalo ;)
    Wiec nie bylbym taki pewny z sugestia, szukania sklepu bez obslugi 3D Secure ;p

  2. Czy dobrze zrozumiałem, że Citi pisząc “jest wynikiem błędu po stronie firmy, która dostarcza zabezpieczenie 3D Secure” wskazał sam na siebie, ale nie wprost? :D

    • Raczej nie, sam bank nie obsługuje sam 3D Secure, tylko korzysta z zewnętrznej firmy która udostępnia api do tego. Bardziej bym się spodziewał, że jest to firma powiązana z operatorem karty, niż bankiem.

  3. Używam kart w elektronicznych płatnościach. Ten przypadek pokazuje, że ciągle należy być nieufnym. Obecnie lansuje się kolejną nowość, płatności przez telefon. Ciekawe, jakie tam wyjdą błędy. Bo to, że wyjdą, nie mam wątpliwości. Banki powinny szczególnie poważnie traktować wszelkie tego typu przypadki. Lekceważenie problemów klientów związanych z bezpieczeństwem może podważyć zaufanie do wszelkich nowości. Kilkanaście lat temu posiadałem w jednym z czołowych banków kartę kredytową, tzw. wypukłą. W pewnym momencie zauważyłem, że na niektórych wydrukach z transakcji, system umieszcza cały numer karty. Natychmiast skontaktowałem się z bankiem, skąd otrzymałem arogancką odpowiedź, że “tak ma być”. Nie muszę chyba dodawać, że natychmiast tę kartę zlikwidowałem, a konto przeniosłem do innego banku. Mimo wszystko uważam, że należy wykorzystywać płatności elektroniczne. Ułatwiają życie, jednak od myślenia nikt nas nie zwolni. Gratulacje dla właściciela karty Citibanku, który okazał wyjątkową spostrzegawczość!

    • Dodam jeszcze, że 3D Secure niekoniecznie oznacza przesyłanie SMSów. W innych krajach jest to np dodatkowe hasło, wszystko zależy od implementacji. Chodzi po prostu o kolejne uwierzytelnienie dodane do standardowej tranzakcji card not present

    • @waldemar
      “na niektórych wydrukach z transakcji, system umieszcza cały numer karty”
      A, nie, to akurat pani sprzedawczyni Ci źle wydała paragon – jeden ma pełny numer (to dla merczanta, czyli sklepu), drugi ma poiksowany (to dla Ciebie). I bank ma rację, “tak ma być”.

  4. Nici z transakcji, skoro podajemy adres zamieszkania :)
    “Dywagacje co do możliwości lokalizacji złodzieja po podanym adresie wysyłki zostawiamy na inny post.” – mam nadzieję, że już niedługo taki wpis się pojawi. Zawsze można zamówić coś na adres nielubianego sąsiada :)

    • Są też inne, skuteczniejsze metody, ale z wiadomych powodów nie chcemy ich rozpowszechniać.

    • Czyli wiemy ale nie powiemy, za to pochwalimy się jacy jesteśmy zajebiści i wtajemniczeni.

    • Paczkomaty?

    • To takie trudne, serio?

    • paczkomaty InPost i jednorazowa komórka – a co ze sklepami zagranicznymi reshipping i sparowanie się z jakimś Rosjaninem?

    • Adres, adresem, a z kurierem i tak można się umówić byle gdzie.

    • Albo można wysłać komuś paczkę z żartem w środku. Odpalasz jakiegoś linuksa na usb, żeby nie zostawić żadnych charakterystycznych śladów, robisz spoofing mac, wpinasz się w jakąś niezabezpieczoną sieć na mieście, wykonujesz transakcję np. kupujesz budzik w kształcie kojarzącym się z Brunonem K. i jako adres podajesz ul. Wiejską.
      Wszyscy zadowoleni, Ty zrobiłeś żart, właściciel karty dostanie odszkodowanie za brak honorowania zabezpieczeń karty, a rząd będzie miał kolejny temat zastępczy na następne kilka tygodni.

    • lockpicking euroskrzynki pocztowej?

    • można napaść na listonosza.

  5. Najłatwiejszym chyba sposobem ochrony karty to…
    wydrapanie numerów CVC/CVV i przechowywanie ich w innym miejscu :P

    • Na pewno warto je zasłonić/zakleić, jeśli tą samą kartą płacimy w sklepie i w internecie (tj. karta nie ma limitów na transakcje internet/telefon).

    • Zasłonięcie to konieczność, jeszcze lepszym, bardziej wyszukanym sposobem, jest ‘nadpisanie’ numeru CVC/CVV. To w przypadku zgubienia/kradzieży powinno nas zabezpieczyć zanim nie zastrzeżemy karty.

    • @pit
      Nie wiem, jakie Wy tam macie karty, ale w normalnych krajach bank po prostu oddaje jeśli ktoś Ci zwinie kasę/transakcję. Tak, tak, banki są ubezpieczone.

    • @Jozef – Banki są ubezpieczone, klient niekoniecznie. Tylko część transakcji jest ubezpieczona z automatu i tylko do pewnej kwoty, reszta jest w odpowiednim pakiecie.

    • CVC/CVV jest taki samym zabezpieczeniem jak 3DS. Czyli żadnym łamane przez pozornym.

  6. “Równie dobrze, złodziej mógłby poszukać operatora płatności, który nie wspiera 3D Secure — i zapewne też dokonałby transakcji tą kartą przez internet.” Myślę, że znacznie łatwiej znaleźć bank, który takiego zabezpieczenia nie wykorzystuje. Obecnie chyba tylko 3 czy 4 banki maja 3DSa.

  7. Miałem taki sam przypadek. Wygląda na to, że 3DSecure głupieje jak z jakiegoś powodu nie jest dostępne NotificationGateway (w tym przypadku jakaś bramka SMSC).

  8. Posiadam kartę w BZ WBK z włączonym uwierzytelnianiem 3D-Secure i również kilkukrotnie zdarzyło mi się, że autoryzacja kończyła się powodzeniem bez konieczności logowania się do banku i wpisania kodu z SMS-a.

    • @KrissN
      Koleżanka pracuje w Visa Europe, i kiedyś sikretnie opowiedziała jak to “jak mamy przeciążenie, to zezwalamy bez dodatków [czyt: 3DS] – w końcu transakcja to prowizja”.
      Gorzej, że teraz się zbierze klika szukaczy spisku, heh.

  9. Co ciekawe, nie tylko bank, ale też gateway, przez który idą płatności, może (zwykle) podejmować decyzje na podstawie statusu 3DS. Czyli firma, która taki gateway prowadzi, może np. wyciąć wszystkie transakcje, gdzie autentykacja nie mogła się odbyć z przyczyn technicznych. Powinno to podnieść bezpieczeństwo transakcji nawet, gdy bank by taką odpowiedź zaakceptował zgodnie ze swoją polityką – chroniąc nas przed takimi sytuacjami.
    Dałbym przykład firmy, ale nie będę prowadzić autoreklamy :P

  10. Niektóre banki trochę lepiej podchodzą do bezpieczeństwa, przykład z dziś:

    Jestem web developerem, modyfikuję system płatności oparty o sagepay dla brytyjskiego klienta. Dla testu płacę swoją kartą ₤0.01, transakcja przeszła bez 3DS, ale po kilku minutach zadzwoniło do mnie “Biuro Przeciwdziałania Wyłudzeniom ING” aby upewnić się, czy wszystko ok.
    A po potwierdzeniu, że to nie wyłudzenie dostałem jeszcze jakieś szybkie przeszkolenie, gdzie mogę pozmieniać opcje karty, itp…

    Można? MOŻNA!

    • A drugi telefon do Urzędu Skarbowego, czy prawidłowo rozliczasz eksport, a trzeci do ABW i NBP, że podważasz rację stanu, potęgę strategicznych sektorów or sth. :) Ciekawe, ile w groszach cię obciążyli i czy na każdej międzynarodowej transakcji karcianej bank ma zysk (a jaki ma organizacja płatnicza, akceptant i finalnie sprzedawca, w jakiej walucie i czy w dziesiętnych częściach pensa).

    • @Smerf: W groszach obciążyli go po standardowym kursie Visy/MasterCardu, bank ma na tym zysk, organizacja płatnicza i akceptant również, za wszystko płaci sprzedawca, w funtach (w tym przypadku), w dziesiątych częściach pensa właśnie. Po prostu co miesiąc czy coś jest to sumowane i zaokrąglane do pełnych pensów. ^^

  11. Jednak wole swoje niskie limity kwotowe i możliwość raz dziennie użycia karty w transakcjach internetowych.

    • Dopóki na którymś lotnisku nie zorientujesz się, że płatność nie przechodzi, bo musisz podnieść limity. Do odlotu została 1h, a ty wisisz na infolinii w banku (bo logując się do konta system antyfraudowy wykrył, że Albania to kraj z którego do tej pory się nie logowałeś i prewencyjnie zablokował dostęp do kanału internet) ;-)

    • Nie jestem jeszcze na tyle bogaty, aby kupować bilet 1 godzinę przed odlotem, muszę kupować tak z półrocznym wyprzedzeniem.

    • @pk
      A, stary. Gorzej że potem robisz awanturę w banku, i przepraszają, ale co z tego – (sprawdzone na korpoAmeksie!) na pół roku masz faktycznie “przyzwolenie na transakcje”, ale potem jest to samo.
      A czemu? Bo wiedzą, że i tak muszą za to zapłacić, to się zabezpieczają.
      Tylko, co koszmarne jest, w PL nie ma tego świadomości. Ludzie myślą “łomatko, przepadło mi X”, gdy bank prawie na pewno (95%? [1]) odpowiada za transakcję.

      [1] Dane udostępnione przez Narodowy Instytut Wyciągania Losowych Numerów Prosto z Mojej Szanownej Dupy.

      @glass
      I życzę Ci, żeby przyszedł dla Ciebie czas tzw. jednodniówek.

  12. A u mnie jest na odwrót. Mimo podawania kodu do 3DS transakcje się nie udają (Citi), więc mi tą opcję wyłączyli i już się nie pojawia :)

    • Też jedną z kart mam w Citi i kiedyś to działało jak opisano powyżej. Może Citi czyta nibezpiecznika i szybko zablokowali żeby nie było jak z pewnym sklepem niedawno :P

  13. Hmm.. Wystarczy znaleźć kartę kredytową i są na niej wszystkie dane do autoryzacji. Te 3DS to jakaś logiczna kpina, jeśli tak to ma działać. Utrata karty = identyczne ryzyko utraty pieniędzy co bez 3DS

    • Ale wyciek danych (np. jak to było w przypadku STRATFOR-a) już nie (zakładając, że wszyscy procesują 3DS).

  14. @waldemar – Napisz który bank umieszczał cały numer karty na wydruku. Przekazujmy wszystkie niebezpieczne informacje niebezpiecznikowi. Tylko w ten sposób możemy wpłynąć na poprawę zabezpieczeń. Jest też szansa ze inne banki też przynajmniej sprawdzą + zwiększą nakłady na zabezpieczenia

    @Piotr Konieczny – Dużo w tym poście brakuje – albo trzeba edytować, albo materiał na kolejny post.
    1) Brak wyjaśnienia kto odpowiada za wprowadzenia tych jQuery “Verified by Visa”czy “MasterCard SecureCode”. Sygnity? Asseco?

    2) Bank wskazuje że nie on, a może faktycznie to nie bank odpowiada? Zapytaj go w jeszcze – jeśli klient chce reklamować płatność – czy ma pisać do banku? Do VISA?

    3) Czy przy włączonym 3DS klient zostaje 100% odpowiedzialny za wszystkie płatności, bez względu na status? Czy to wyłącza odpowiedzialność tylko banku? czy VISY ?

    4) Czy jednoznacznie lepiej jest wyłączyć 3DS, czy wtedy reklamacje też będą odmowne, tylko że ktoś inny nam odpowie. (wtedy bank). Bo jeśli bez względu na 3DS to my jesteśmy odpowiedzialni (czyli będzie brak podstaw prawnych do reklamacji) ale włączone 3DS zmniejsza liczbę atakujących to jest to klasyczne “mniejsze zło”.

    Bo jeśli jest problem, ale nie ma winnych, to sprawę można i trzeba zgłosić do UOKIK (bo to interes dużej grupy konsumentów).

    • @peter
      1) W skrócie: http://5.asset.soup.io/asset/3551/0917_aa4e_480.jpeg
      2) Klient zawsze musi reklamować do banku. Taki regulamin, zawsze taki był. Visa nie rozmawia z ludkami, ino z bankami.
      3) Nie, 3DS to jest kolejna bankosztuczka żeby przekonać klientów [1], że o nich dbają [2]. Cokolwiek się stanie, to bank odpowiada (ubezpieczenie) za transakcję. Dlatego jest premium za płacenie kartą vs gotówką (w drugim przypadku odpowiadasz sam przed sobą)

      [1] W większości krajów nie ma ściem, ale z tego co widzę w PL banki promują (niepełnoprawnie) tezę “odpowiadasz za swoją kartę”, gdy wykładnia EU – prawa nadrzędnego w PL, o ile nie ma danego tematu w konstytucji – mówi inaczej.
      @niebezpiecznik – znajdźcie polski numer sprawy (pewnie Sąd Administracyjny, raczej nie Sąd Najwyższy) który o tym mówi i rozpowszechnijcie tutaj. Dla Was to godzinka-dwie pracy, dla Waszych czytelników i ich rodzin – po prostu kosmos.
      Czemu polscy klienci banków mają być na straconej pozycji. Teraz to akurat banki są… no, w pozycji nie do pozazdroszczenia. I za to je teraz na świecie… lubimy ;>

      [2] A to zupełnie jak security na lotniskach. Ale to temat na inną okazję. (polecam “Unsafe at any altitude”).

  15. Bardzo podobnie do 3DS działa AVS czyli usługa weryfikacji adresu posiadacza karty. Właściwie to weryfikacja dotyczy części numerycznej adresu: nr budynku, lokalu, kodu pocztowego, itp. W odpowiedzi bank zwraca kod literowy, który informuje że adres jest poprawny, jakiś składnik adresu był błędny albo że nie można sprawdzić adresu bo wystawca nie wspiera AVS. Po odebraniu kodu statusu, merchant podejmuje decyzję, czy uzna transakcję pomimo błędów lub braku AVS. Oczywiście wtedy poniesie większe ryzyko fraudu.

    • AVS nie jest praktycznie brany pod uwage jezeli karta ma wlaczone 3d secure, a chodzi o tzw liability shift gdzie to bank bierze na siebie odpowiedzialnosc za authoryzacje karty, czyli gateway i klijent sa kryci a transakcja jest realizowana “normalnie”..

  16. Sytuacja podobna to tej z autoryzacją bez pinu – są terminale na podpis i już. Niestety wszystkie systemy są dla ludzi, a wiadomo, że to człowiek jest najsłabszym ogniwem. Przypuszczam, że decyzja dotycząca obsługi płatności gdzie 3d secure nie może zostać zweryfikowana jest celowo pozostawiona merchantowi, żeby mógł ponieść ryzyko i nie tracić klienta bo coś tam w banku nie działa.

    Gdybyśmy mieli super bezpieczne systemy, to klient mógłby zdecydować jaka forma zatwierdzania transakcji go interesuje biorąc pod uwagę chociażby kryterium kwoty: do 50 pln pay-pass, do 250 pln PIN, powyżej sms. jeżeli dana metoda nie działa to transakcja nie przechodzi i już.

    • Nie, to nie blad ludzki to zwykla ordynarna CHCIWOSC banikow. Straty sa wliczone w zyski.

  17. I tak lepiej kupić zwykła kartę na blackmarkecie, aniżeli bawić się w hackowanie 3ds.

  18. Mechanizm działa tak jak zostało to opisane w artykule. Pominięto jednak jeden fakt – nie wszystkie transakcje da się tak zautoryzować. Zależy to prawdopodobnie od kwoty tranzakcji. Miałem taki przypadek jakiś miesiąc temu kiedy tranzakcja przeszła bez kodu (wyślij kod ponownie), ale następnego dnia opcja ta już nie działała – prawdopodobnie ponieważ kwota tranzakcji była większa. Nie jest to więc raczej luka, a rzeczywiście zdrowy rozsądek. Potwierdzanie na 2 sposoby (kod z karty + pin) tranzakcji do 100 zł to paranoja.

  19. Najlepsze jest to, że w przypadku gdy DRUGA STRONA nie obsługuje autoryzacji SMS a mamy to włączone w CitiBanku to płatność idzie BEZ AUTORYZACJI.
    CZyli, mimo iż włączymy opcje AUTORYZUJ SMSEM to jak ktoś zapłaci naszą kartą na stronie która ma autoryzajcę SMS w poważaniu, to i tak nas obciążą.

    Reasumując : ZABEZPIECZENIE DZIAŁA JEŻELI DRUGA STRONA O NIE POPROSI … PHI.

  20. Ogólnie polecam karty VIRTUALNE do płatności online. Nie obciążą Cię, jeżeli jej nie zasilisz odpowiednią kwotą. A przechodza validajce np. w apple store, google play czy przy rezerwacjach hoteli np. na booking.com.

    • Oj możesz się zdziwić – (procedury mogły się już zmienić, ale:)
      w pewnym banku jakiś czas temu kolega dokonał płatności wirtualną kartą. Miał wyliczoną kwotę na karcie, ale sklep policzył mu dwa razy i oprócz pieniędzy z karty zdjęło mu pieniądze z normalnego konta… Wysłał reklamację po czym zadzwonił do niego pan z banku – na numer, który nie był dowiązany do konta. Pyta pana z banku skąd ma ten numer, a pan odpowiada radośnie, że to numer, który był najczęściej doładowywany z tego konta, a więc zdecydował się na niego zadzwonić, żeby było szybciej (<- pierwszy fail, pracownik banku przegląda sobie spokojnie płatności bez skrępowania i nie widzi problemu? :o). A potem tłumaczy, że faktycznie karta wirtualna działa na zasadzie doładowania, ale czasem klienci się mylą w kwocie doładowaniu, więc bank dla ułatwienia ściąga potrzebne pieniądze z normalnego konta (<- fail drugi). A na koniec mówi, że oczywiście już wszystko załatwione i nie ma problemu – pieniądze wróciły na zwykłe konto, więc czemu się pan denerwuje…

    • Karty wirtualne to nei takie, gdzie masz podpiete inne konto. To ze np mBank nazywac cos karta wirtualna ma taki sam sens jak nazywanie MBanku bankiem.

  21. Citi od lat jest w czolwce bankow z najgorsza infrastruktua IT. Pisalem o tym nie raz. Trzymac tam pieniadze to komedia.

    • Podkręcisz jasność wypowiedzi?
      (bank odpowiada za błędy, pamiętaj)

  22. “wystarczyłoby aby podczas autoryzacji 3D Secure złodziej kliknął na wyślij ponownie sms z kodem”
    Nie zadziałało by to, gdyby sms został rzeczywiście wysłany, w tym konkretnym przypadku sms nie został wysłany przez co bank wysłał komunikat umożliwiający kontynuację transakcji. Gdyby błędu z wysłaniem smsa nie było po kliknięciu na wyślij ponownie sms z kodem przyszedł by kolejny sms, który, w razie niepoprawnej weryfikacji spowodowałby komunikat: transakcja błędnie uwierzytelniona.

  23. >Przypadek naszego czytelnika pozwala wnioskować, że ktoś kto znalazłby jego kartę Citibanku chronioną mechanizmem 3D Secure, mógłby nią z powodzeniem zapłacić w internecie poprzez PayU

    A dlaczego PayU miałoby pozwolić na płacenie kartą, o której wie, że wcześniej płacił nią inny użytkownik ? Przecież znalazca nie zapłaci z tego samego konta PayU co właściciel karty, bo skąd będzie znał login i hasło ? Też znajdzie ?

    • a dlaczego miałby nie pozwolić? ja płaciłem kartą za zakupy współlokatora bo potrzebowałem wyrobić limit i jakoś żadnych komunikatów ostrzegawczych nie było

  24. Widzę jeden błąd w Waszym rozumowaniu: zakładacie, że 3D secure ma chronić posiadacza karty. A tak nie jest – to jest dodatkowy dupochron dla banku i akceptanta. Dla klienta to jest tylko i wyłącznie dodatkowa niedogodność, chociaż oczywiście w interesie banku jest, aby klient wierzył, że to dla jego dobra. ;)
    Wszelkie reklamacje transakcji zdalnych skradzioną kartą bank od ręki uzna (i najczęściej obciąży nimi zwrotnie sprzedawcę) – przecież poziom zabezpieczeń takiej transakcji jest żaden. Jeśli by się zdarzyło, że jednak nie uzna, to każdy sąd przyzna w tym przypadku rację klientowi.

  25. Widocznie mają coś pochrznione w Citi albo w Mastercard, bo ostatnio w sklepie chciałem zapłacić kartą Citi Banku ale sprzedawca źle wbił sumę na terminal i prosił bym anulował transakcję czerwonym przyciskiem. Po naciśnięciu czerwonego przycisku przerywającego transakcję na terminalu, transakcja została przeprowadzona, bez pytania o PIN.

  26. Getin Bank już wprowadza kartę z wbudowanym tokenem challenge-response MasterCard Display Card. W ten sposób omija się zewnętrzna firmę dostarczającą sms-y.

    • Challenge-response? A dlaczego wciąż zlotys, a nie dollars? Nie pojmuję tej bankowości. ;)

  27. Zapewne pierwsza transakcja zostawiła ślad w postaci IP i przy nowej transakcji z tego samego IP system stwierdził, że ryzyko jest niewielkie.
    Cały problem w tym rozwiązaniu, jest pytanie co by się stało, gdyby to była kradzież?
    Czy naprawdę PayU wziąłby konsekwencje na siebie, czy cichaczem obciążony zostałby końcowy użytkownik karty? To należałoby doczytać już w regulaminie usługi.

  28. Kto to w ogóle wymyślił, po co mi karta kredytowa skoro muszę nosić numer klienta i telefon a potem czekać na sms. Ideą kart jest szybka płatność bez formalizmu.

  29. Niech MasterCard zmieni w swoich kartach redagowanie numerów i nie drukuje numeru CVC/CVV na odwrocie karty na pasku z podpisem właściciela. Ten numer powinno się ustalać w ten sam sposób jak kod Pin do karty przy płatnościach w terminalach. Czas najwyższy to zmienić, by ostatecznie skończyć z wyłudzeniami i oszukańczymi transakcjami.

  30. Przed chwilą zgłosiłem reklamacje do ING w podobnej sprawie. Co gorsza, bank nie zamierza przerwać transakcji… Musiałem złożyć reklamację i mam teraz przez 30 dni zablokowaną kase na karcie kredytowej… Pare tyś zł…

    Nie wiedzieć czemu dopiero przy 4 transakcji dostałem SMSa z prośbą o potwierdzenie… Mechanizm był prosty. Wczoraj poszła płatność na kilka euro, późnie już na kilkaset euro… bez SMSa… dzisiaj ten sam mechanizm, całe szczęście przy kolejnej transakcji dostałem SMSa…

    Banki niestety mają to gdzieś, bo nawet nie chcą tego przerwać za wczasu (albo zablokować docelowego banku do czasu wyjaśnienia)

  31. Ależ to nie jest żaden odosobniony przypadek! Mamy grudzień AD 2019, a na takim Allegro z zapisaną kartą debetową mBanku płatności realizowane są regularnie z całkowitym pominięciem jakichkolwiek weryfikacji 3DS czy jakiegokolwiek choćby SMSa z informacją, że płatność jest realizowana! Dopiero po fakcie – patrząc na konto – dowiadywałem się, że z mojego rachunku znikają pieniądze! Na razie transakcji dokonywała tylko moja żona, więc prędzej czy później i tak sama mi o tym mówiła, ale no właśnie – na razie tylko ona. Ale tak w sumie mógłby ktokolwiek, np. pracownik Allegro. Następnego razu nie będzie – kartę już z Allegro usunąłem. Ale niesmak straszny pozostał, i sam się zastanawiam, do których instytucji (poza moim bankiem of kors) powinienem to zgłosić.

    • Dzieje sie tak od lat. nie tylko na allegro, ale wszedzie, gdzie zapisuja nr karty. paypal, amazon – wszystkie omijaja 3ds (mozliwe ze nawet nie maja go zaimplementowanego!). o antifraudzie na amazonie nie mowmy bo jest to jeden wielki zart, ten na paypalu jest calkiem ok.

  32. […] nie wszędzie podanie CVC/CVV2 jest wymagane do obciążenia karty (3DSecure włączone dla karty niczego tu niestety nie zmienia — da się defraudować karty w miejscach które tego mechanizmu nie […]

Odpowiadasz na komentarz Peter

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: