15/4/2024
Otrzymujemy od Was informacje o atrakcyjnych, ale fałszywych ofertach sprzedaży Kart Miejskich/Aglomeracyjnych z wielu miast. Chodzi o te karty, które pozwalają podróżować komunikacją miejską np. we Wrocławiu (“Urbancard”) czy Trójmiaście (“Fala”). Zakupu karty dokonać można tylko kartą płatniczą, a oszustwo polega na tym, że dane karty zostaną wykorzystane do aktywowania subskrypcji w postaci regularnych opłat, z których ciężko jest potem zrezygnować.
Zaczyna się od ogłoszenia
Atak najczęściej zaczyna się od posta na Facebooku.
Fałszywy fanpage informuje o “promocji” lub “konkursie”. Zdobyć można kartę ważną rok. Trzeba tylko odpowiedzieć na 3 pytania konkursowe, a następnie “odkryć” w 3 próbach pudełko z kartą spośród 9 różnych pudełek.
Niestety, w tym scamie każdy wygrywa, bo o to chodzi. Wygranemu prezentowany jest formularz pozyskujący dane osobowe oraz numer karty płatniczej w celu pobrania symbolicznej opłaty 10 PLN za “koszty obsługi/wysyłki” karty.
Jeśli euforia w postaci wygrania karty przysłoni komuś logiczne myślenie i poda dane karty płatniczej, to jego karta będzie regularnie obciążana płatnościami, a jedyną opcją aby z nich zrezygnować będzie blokada karty i złożenie reklamacji w banku.
Ten scam, to tylko jeden z przykładów, w jaki cyberprzestępcy codziennie okradają Polaków w internecie. Chcesz poznać wszystkie aktualne metody oszustów oraz rady, które pozwolą Ci się przed nimi zabezpieczyć? To wpadnij na nasz wykład “Jak nie dać się zhackować?” i dowiedz się jak ochronić swoje oszczędności, dane i prywatność.
Wykład zawiera wszystko to, co trzeba wiedzieć i jest prowadzony przystępnym językiem, tak aby zrozumiały go osoby spoza branży IT. W ostatnich latach wzięło w nim udział prawie 100 000 Polaków a średnia ocena to 9,34/10. Sprawdź, czy będziemy w Twoim mieście — tutaj znajdziesz pełen opis wykładu i najbliższe terminy.
Zalecenia
Najpierw przeszukajcie swoje wyciągi (i wyciągi swoich najbliższych, którzy wciąż mogą być nieświadomi, że dali się złapać, bo nie mają powiadomień o transakcjach kartowych). Szukajcie tego:
relatonpay.com
Jeśli nie uzupełniłeś formularza swoimi danymi osobowymi lub numerem karty płatniczej, nic Ci nie grozi, nawet jeśli kliknąłeś na link w ogłoszeniu. Jeśli jednak uzupełniłeś formularz danymi osobowymi, traktuj je jako pozyskane przez scamerów. Spodziewaj się e-maili i telefonów, które będą próbowały Cię oszukać kolejnymi metodami.
Jeśli wprowadziłeś numer karty płatniczej w formularzu, to natychmiast skontaktuj się z bankiem i poproś o pomoc w wypisaniu się z subskrypcji lub zablokuj kartę płatniczą. Inaczej będzie regularnie obciążana opłatami.
Ze względu na to, że wabik na kartę miejską jest dość świeży oraz to że ofiarami są mieszkańcy wielu miast w Polsce, ostrzeżenie przed tym scamem wysłaliśmy użytkownikom naszej aplikacji CyberAlerty. Chcesz dowiadywać się o zagrożeniach, które czyhają na Ciebie w internecie jako pierwszy? Zainstaluj aplikację CyberAlerty. Jest całkowicie darmowa i nie wymaga podawania jakichkolwiek danych. Pobierz ją na Androida lub iPhona.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Kiedy w końcu po prostu wymuszą 3d secure dla każdej płatności kartą…
płacąc BLIK wpisuje kod i potwierdzam go w aplikacji, a płacąc kartą 3d secure mało kiedy jest wymagany.
Mam konta w różnych bankach i niektóre jeszcze o to dbają i faktycznie zazwyczaj 3d secure muszę potwierdzić, ale jest masa sytuacji gdzie żadne autoryzacje nie są wymagane.
Z tego względu mało kiedy płacę kartą w internecie, pomimo, że BLIK nie ma chargeback to jakoś potwierdzanie każdej płatności jest dla mnie bardziej odpowiednie.
Oczywiście przy BLIK można zapisać sklep / przeglądarkę i uważam, że tak samo powinno być z kartami płatniczymi.
Wprowadzić obowiązek autoryzacji każdej płatności i wycieki danych kart (a właściwie to podanie tych danych dobrowolnie oszustom) nie były by takie straszne, bo tak to wyskoczy powiadomienie w aplikacji banku, widzisz nie swoją płatność to jej nie autoryzujesz i tyle.
Mamy 2024 a dalej:
-niektóre banki nie mają weryfikacji dwuetapowej przy logowaniu (bank pocztowy, citi) albo mają ją opcjonalną (pko bp, pekao)
-niektóre banki pozwalają wysłać przelew do odbiorcy niezaufanego bez żadnej autoryzacji (np ING)
-płatności kartą w internecie dalej nie wszędzie wymagają 3d secure
-praktycznie żaden bank nie ma obsługi kluczy U2F (spółdzielczych nie liczę, a ING wprowadził to błędnie gdzie jak dodamy klucz do aplikacji to każde jej uruchomię wymaga klucza co jest bez sensu, że własnego telefonu do zaufanych dodać nie mogę
Kiedy banki w końcu zaczną faktycznie dbać o bezpieczeństwo?
3d secure nic tu nie pomoże – nie będzie działał w przypadku subskrypcji (tzn każdej późniejszej płatności), przy jej zawieraniu będzie prompt, potem już nie.
Taka jest idea subskrypcji, że zezwalasz raz, i samo się pobiera…
Hej Piotr, pracuję w banku i powiem Ci dlaczego.
Przede wszystkim, jako że mam do czynienia z produktami od strony ich zabezpieczeń, chciałbym mieć tylko takich klientów jak Ty. Ale niestety to są tylko marzenia. Uwierz, że na jednego takiego “świadomego zagrożeń” przypada 15 takich, którzy powiedzą “a dlaczego zawracacie mi d… dodatkową autentykacją przy transakcji za 10 zł”? Dla jeszcze innego próg zawracania d… będzie na poziomie 50, 100, 500 zł.
Niestety, znacznie więcej klientów ceni sobie bardziej wygodę niż bezpieczeństwo. A banki nie będą strzelać sobie w stopę robiąc dobrze mniejszości. A ryzyko – jakoś się zmityguje. Czasem zwróci stratę. Summa summarum hajs się zgadza.
> a jedyną opcją aby z nich zrezygnować będzie blokada karty i złożenie reklamacji w banku
Byłem pewny, że w mBanku mogę wejść w Subskrypcje albo w “Karta zapisana u odbiorcy” i tam anulować, ale w tych miejscach widać tylko historię użycia karty. No nieźle, ale szit.
Przypuszczam że odpowiednio ustawione limity na koncie na transakcje kartą też uchronią przed tym. Pytanie czy jeśli będzie limit i nie będzie się dało pobrać subskrypcji to czy z automatu zostanie ona anulowana? Czy w serwisie transakcyjnym da się sprawdzić listę subskrypcji? Szkoda że zabrakło takich informacji w artykule.
Zgłaszałem reklamę kilka dni temu. Facebook nie widzi problemu mimo ponownej weryfikacji przez osobę, nie system. Tragedia.
Co nie zmienia faktu, że gdyby taki 3D Secure musiał być chociaż raz użyty do aktywowania subskrypcji to już zwiększa to bezpieczeństwo, bo nawet jak “wyciekną” dane karty to bez naszej autoryzacji nic by się nie stało.
Dodatkowo wszystkie banki powinny wprowadzić blokadę przyszłych płatności tak jak jest to w przypadku Revoluta, jest to super opcja, bo nie trzeba w każdym miejscu zmieniać karty tylko blokujemy 1 płatność i po sprawie.
Szkoda też, że nie wszystkie banki mają jeszcze karty wirtualne jest to o tyle super pod względem bezpieczeństwa, że się nie zastanawiamy czy zastrzegać kartę czy nie, tylko klikamy i za kilka sekund mamy nową
“jedyną opcją aby z nich zrezygnować będzie blokada karty i złożenie reklamacji w banku”
Podobno płatności kartą są najbezpieczniejsze bo chergeback i w ogóle, a tu się okazuje, że problem jest nie tylko z odzyskaniem pobranych pieniędzy ale nawet z wyłączeniem pobierania w przyszłości?!