0:35
19/10/2012

Jeden z naszych czytelników (dane do wiadomości redakcji) przesłał nam dziś SMS-a, jakiego otrzymał z banku BZ WBK:

Karta kredytowa - zdjęcie z Twittera

Karta kredytowa – zdjęcie z Twittera

Dostałem SMS-a z numeru 2424 o treści: “BZ WBK prosi o pilny kontakt w sprawie zablokowanej karty platniczej. Numer kontaktowy do banku znajdziecie Panstwo na odwrocie swojej karty. Dziekujemy.“. SMS dość dziwny, (ale) po skontaktowaniu się z infolinią banku otrzymałem informację, że dzisiaj o godzinie 9.xx (nie pamiętam minut) zablokowano moją kartę płatniczą. Bank otrzymał informację od VISA, że doszło do jakiegoś wycieku danych i wśród tych danych znajduje się moja karta. W efekcie Bank zaproponował mi unieważnienie karty płatniczej i przesłanie nowej bez obarczania mnie kosztami.
Jestem zadowolony z takiego obrotu sprawy, zastanawia mnie tylko w którym miejscu doszło do wycieku. Jedyna rzecz, do której mógłbym mieć zastrzeżenia, to ten nieszczęsny SMS. Szkoda, że nie pofatygowali się zadzwonić do mnie. Podejrzliwie podchodzę do wszystkich takich smsów.

Pytanie, czy rzeczywiście chodzi o “wyciek”, tj. włamanie do jakiegoś systemu VISA lub sklepu internetowego i kradzież numerów kart kredytowych albo inne działanie, które spowodowało wyciek danych kart płatniczych — np. przypadkowe ujawnienie ich numerów przez jednego z pracowników poprzez udostępnienie danych kart w pliku znajdującym się w “głębokim ukryciu”? Alternatywą jest “głuchy telefon” na linii VISA -> Bankowa Infolinia -> Klient. Być może “wyciekiem” nazwano tak naprawdę zwykły skimming?

Na pewno należy pochwalić BZ WBK za to, że nie podał numeru kontaktowego w treści SMS-a, a kazał klientowi odwołać się do oryginalnej wydanej przez bank karty (czyli czegoś, czego potencjalny phisher nie byłby wstanie “podstawić”).

Wysłaliśmy w tej sprawie zapytanie do wystawcy karty, po otrzymaniu odpowiedzi zaktualizujemy ten wpis. A może ktoś z Was miał dziś podobny przypadek?

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

47 komentarzy

Dodaj komentarz
  1. Z mojej karty w tymże banku 12 i 13 października ktoś ukradł ponad 400 złotych na zakupach przez internet w jakiejś firmie hazardowej choć się nią praktycznie nie posługuję.
    Myślałem, że została sfotografowana w bankomacie na Rynku we Wrocławiu – bo działał tam “złodziej danych” w okresie jak z niego wypłacałem pieniądze. O czym notabene BZ WBK nie powiadomił ludzi i dopiero wczoraj o tym się dowiedziałem!
    Ciekawe czy to nie jest jednak z tym związane ?

    • Jak będziesz zakrywał PIN przy wpisywaniu i zakleisz taśmą izolacyjną kod CVC na karcie, to skimmer za wielę nie zrobi (chyba, że paypassem :p). W grach MMO stosunkowo łatwo nadziać się na malware, może keyloggerem ktoś je wyciągnął przy rejestracji. Jest też możliwość, że skimmer próbował na chybił-trafił najpopularniejsze PINy 2580 itd. Podaj nam swój PIN, to określimy, czy jest “bezpieczny” :D

    • To zakup przez Internet, więc nie potrzebowali PINu.
      Na zaklejanie CVC nawet nie wpadłem – karty praktycznie nie używam, dlatego wiem, kiedy i gdzie byłem z nią przy bankomacie.

    • To historia z morałem dla wszystkich którzy twierdzą, że noszenie gotówki w kieszeni naraża nas kradzież, dlatego lepiej używać karty hehe.

    • @Pablito: a w jaki sposób ucierpiały fundusze Czytelnika?

    • @Pablito: ale od nieautoryzowanych transakcji na karcie kredytowej możesz się ubezpieczyć

    • dlatego warto ustawić limity na karcie kwotowe i ilości transakcji na bardzo niskim poziomie. A jak potrzeba zapłacić trochę więcej, to pofatygować się i tymczasowo zmienić limit na wyższy

    • @krogon – karty kredytowe sa ubezpieczone przez banki (nie daliby Ci kredytu bez ubezpieczenia), co innego debetowe…

    • Powinieneś dokonać obciążenia zwrotnego (chargeback) i by Ci zwrócili pieniądze, nie mają wyjścia jak płatność kartą w internecie jest nieautoryzowana…

    • @gimbassador czasem montują nakładkę na klawiaturę nie obronisz się:)

  2. Moim zdaniem nie ma się co dziwić, że bank wolał wysłać SMS, a nie dzwonić bezpośrednio do ludzi. Wielu ludzi ignoruje telefony od banku sądząc, że bank znowu będzie próbował nakłonić do wzięcia kolejnej pożyczki czy innej oferty. Nie wiem czy BZ WBK prowadzi takie praktyki ponieważ nie jestem jego klientem, ale przypuszczam, że tak :) Pozatym próba poinformowania tysięcy osób (nie wiadomo ile osób ucierpiało) telefonicznie mogłaby zająć dużo czasu, a tak dzięki smsom wszyscy bardzo szybko dowiadują się, że coś się stało.

    • Dokładnie. Nie znamy skali problemu. Często ludzie po prostu nie odbierają telefonu, ponieważ nie mają czasu. Poza tym, skąd pewność, że osoba, które do Ciebie dzwoni jest z Banku.
      Decyzja o SMS, dzwonieniu na numer telefonu z karty, wymiana karty za free – wszystko super załatwione. Przydałoby się jeszcze szersze info z Banku gdzie doszło do wycieku i jakie podjęli środki w celu zabezpieczenia się na przyszłość.

    • Jestem klientem BZ WBK od 1,5 roku i nie dostałem od nich jeszcze żadnego telefonu w sprawach reklamowych. Co innego mbank, który wydzwaniał do mnie co chwilę z ubezpieczeniami – zwłaszcza chcieli wcisnąć mi takie na dzieci, bo przyda im się w gimnazjum czy w średniej – zapytałem pani, czy widzi moje dane, po twierdzącej odpowiedzi poprosiłem, żeby spojrzała na mój pesel i sama sobie odpowiedziała, czy mogę mieć dzieci w szkole średniej (16-19 lat).

      Ps – mam Visę z BZ, ale żadnego smsa nie dostałem

  3. A do mnie dzwonili. Karta zablokowana około 5 rano, telefon był około 9. Ale inny bank. Podczas rozmowy udało mi się tylko dowiedzieć, że chodzi o zeskanowanie karty w jednym z bankomatów. podejrzewam, że w moim mieście, bo jakoś ostatnio nie podróżowałem. Ale dokładnych informacji który i kiedy już się nie dowiedziałem. Nie wiem, czy bank nie wiedział, który to bankomat(podejrzany bankomat był banku PKO BP – bo z takich z racji lokalizacji korzystam) czy sami takiej wiedzy od pkobp nie otrzymali.

  4. Do mnie rowniez przyszedl taki SMS. Po telefonie podobne wyjasnienie i zamowilem od razu nowa karte. Ciekawe ile lacznie tych danych wycieklo.

  5. Też uważam, że SMS jest lepszy od telefonu. Ostatnio z mBanku wydzwania do mnie robot, który chce żebym wypełnił ankietę na temat tego, jak mnie obsłużono, niezmiernie wkurzające. Generalnie całkiem sprawnie przeprowadzona akcja.

  6. Miałem też dość ciekawą (i pozytywną) przygodę z Deutsche Bankiem, co prawda (na szczęście) nie z kradzieżą, co z potwierdzaniem transakcji. Robiłem zakupy na allegro. Jeden duży koszyk, zapłacić. Po chwili przypomniałem sobie, że powienienem dokupić jeszcze kilka rzeczy i mam gdzieś zapisane “koszyk”. Znowu transakcja. Była około godziny 1 w nocy. Po potwierdzeniu transakcji położyłem się spać, aż tu nagle po kilku minutach telefon z DB. Wypytali o dane (potwierdzająć tożsamość), po czym sprawdzali, czy aby na pewno to ja dokonywałem transakcji.

  7. Zgadzam się z tobą Xarion. Logistycznie (przy odpowiednio dużej skali zdarzenie) rozmowy telefoniczne są najgorszym z możliwych działań. SMS wydaje się tu być najlepszym rozwiązaniem. Treść cytowanego SMS jest jak najbardziej poprawna i nie do końca rozumiem zastrzeżenia ze strony Arnolda. Reakcja banku imho wydaje się być prawidłowa.

  8. Ja jestem klientem BZ już kilka lat i tak samo moja żona i jeszcze nigdy nie dzwonili do nas, żeby nam wcisnąć jakiś produkt albo wypytwać o jakość obsługi.
    Może nie są najtańsi, ale też nie są upierdliwi.
    Do tematu – mamy obydwoje Visy i nie otrzymaliśmy esemsów.

  9. Sytuacja przynosi watek autoryzacji klienta dzwoniacego do banku ale co z odwrotna weryfikacja? Skad klient ma wiedziec ze rozmawia z bankiem?

    Nie tak dawno dostalem telefon z mojego banku (nie jest to BZ WBK) – wygladal mniej wiecej tak:
    – […] dostalismy informacje ze dane Panskiej karty Visa z numerem konczacym sie na xxxx wyciekly do Internetu, w zwiazaku z czym natychmiast zablokowalismy karte. Chcielibysmy zaoferowac anulowanie tej karty i wydanie nowej. Czy chce Pan dokonac takiej wymiany?
    – Tak, poprosze.
    – Dobrze, musze jednak zadac Panu pare pytan bezpieczenstwa aby upewnic sie ze to Pan
    – Chwileczke, to Pan do mnie dzwoni, z ukrytego numeru – skad ja mam miec pewnosc ze jest Pan na prawde pracownikiem banku?
    – Doskonale rozumiem, prosze w takim razie zadac mi dowolne pytanie dotyczace weryfikacji – tak jak my pytamy Pana gdy Pan do nas dzwoni, z przyjemnoscia na nie odpowiem.
    – Ok, w takim razie prosze podac …
    – …
    – Ok, teraz prosze o podanie …
    – …
    – Teraz…
    – Przepraszam, ale my zadajemy 2 pytania, Panu tez przysluguja 2. Teraz moja kolej, prosze podac…

    Rozmowa byla bardzo ciekawa – niestety nie udzielono mi informacji skad karta wyciekla – powiedziano mi ze pojawila sie na liscie wyciekow ale nie wiedza skad, ze tych informajci nie maja. Po rozmowie oddzwonilem do banku na numer ktory znam, zapytac czy na pewno ten czlowiek to byl od nich, bank potwierdzil – dostalem nazwisko osoby z ktora rozmawialem, nazwe departamentu i nazwisko przelozonego, choc nawet o to nie pytalem.

    Czegos takiego nigdy wczesniej nie widzialem :)

    W kwestii BZ WBK – dobrze ze nie podaja numeru telefonu na ktory trzeba zadzwonic. Jestem jednak ciekaw czy gdyby bank zadzwonil, czy zgodziliby sie na taka weryfikacje jak mi zaproponowano? Moim zdaniem to calkiem rozsadne rozwiazanie…

    • Lepszym wyjściem byłoby rozłączenie się podczas rozmowy ze względu na brak pewności czy rozmawiasz z właściwą osobą i zadzwonienie do banku pod numer który znasz (tak jak to zrobiłeś PO rozmowie). A mogę zapytać z jakiego tematu zadawałeś im pytania weryfikacyjne? W sensie pytałeś o swoją osobę (jakieś prywatne dane) czy instytucję banku?

    • Ciekawy przypadek, bo ja już nie raz na pytanie “skąd mam wiedzieć, że Pan/Pani dzwoni z banku (konkretnie mBanku)” otrzymałem odpowiedź: “może pan oddzwonić na mlinię, gdzie potwierdzą, że dzwoniliśmy”… i jaka tu weryfikacja?

      Podobny brak możliwości weryfikacji był też przy spisie powszechnym przez telefon… ankieter jako formę weryfikacji tego, czy jest ankieterem upoważnionym przez GUS odsyłał mnie do strony GUSu, gdzie była informacja na ten temat :D

    • Pytania byly z zestawu tego co oni mnie pytaja… Skoro oni maja kombinacje 5-6 rzeczy o ktore pytaja (najczesciej o pojedyncze litery na konkretnych pozycjach, itp) plus oczywiscie pelne dane adresowe – mozna z tego spokojnie zlozyc zestaw okolo 30 pytan a w rozmowie pada odpowiedz na dwa.
      Jesli oni odpowiedza na te pytania tak samo jak ja, to z duzym prawdopodobienstem mozna zalozyc ze mamy te same dane wejsciowe.
      To ze oddzwonilem do banku PO pierwszej rozmowie bylo tylko do potwierdzenia czegos co juz wiedzialem – formalnosc w sumie. W rozmowie ich bezpiecznik potwierdzil pare innych faktow o ktorych tylko bank mogl wiedziec – np komu chcialem zaplacic dzien wczesniej, kwota, dokladna godzina itd.

    • ostatnio dzwoniłem do sync, to do weryfikacji wypytali mnie o wszystkie dane jakie chyba mieli w systemie, teraz pomyśleć że ta rozmowa może zostać podsłuchana lub ktoś z callcenter się od niej dobierze
      PS. kocham pytania o pesel, a potem datę urodzenia :D

    • W mBanku można ustawić sobie hasło, które podający się za mLinię musi podać zanim przekażemy mu swoje dane osobowe. Działa, sprawdzałem.
      Przy czym telemarketerzy proponujący sprzedaż np. ubezpieczeń nie mają do tego hasła dostępu.

    • A na szybko, bez rozłączania się (nigdy nie chcę mi się oddzwaniać, szukać numeru…) i w ogóle wersja dla leniwców: jak Was zapytają o kombinację PESEL, nr dowodu, nr karty itd. to podajcie zmyślone dane. Jak “konsultant” takie dane łyknie to rozmowa zaczyna być bardzo zabawna.

  10. Ja dostałem sms z mBanku jak raz wczoraj, że zmianie uległy dane na moim koncie. Pierwsze podejrzenie ktoś włamał się na konto a teraz zmienił numer do haseł jednorazowych. Niestety rozmowa z panem z infolinii zamiast uspokoić tylko mnie zdenerwowała. Zaproponował że sprawdzimy wszystkie dane po kolei. Nie chciał zacząć od numeru telefonu, więc najpierw PESEL itd. Dodatkowo dodał że nie ma żadnej możliwości sprawdzić czy sms był od nich. Choć czasami pracownicy poprawiają literówki w danych i wtedy taki sms przychodzi do klienta. Więc że to pewnie o to chodzi.

    Stanęło na tym że zablokowałem wszystkie kanały, i przejdę się do ich siedziby. Na szczęście mam inna kartę i jakoś mnie to nie boli, ale poziom obsługi dno.

  11. jeśli chodzi o mbank to można zadzwonić na mlinię i poprosić żeby nie dzwonili w związku z nowym produktami / ofertami – działa. Odkąd tak zrobiłem nie dostałem żadnego telefonu od nich.

  12. miałem to samo w Mbanku. To indywidualna akcja. Po prostu płacił gdzieś i mu przechwycili nr. Ja zawsze płacę online tylko przez płatnosci.pl i wtedy co mi przechwycili nr karty platnoczej (tak twierdzi visa) było właśnie online. Czyli platnosci.pl mialy gdzies lukę w zabezpieczeniach.

  13. U mnie nie działała dziś bankowość internetowa, a konto od niedawna…

  14. Ja mam pytanie, czy mogę ten kod CVC po prostu zdrapać (kluczem, śrubokrętem, etc.)? Jeśli potrzebny jest on jedynie do transakcji internetowych i nie wymaga stosowania razem z PINem, bezpieczniej jest nie przechowywać go na karcie (to tak jakby na tej samej karcie po chamsku wpisać PIN).

    • Nie wiem kto był taki mądry, żeby podawać kod CV2 na reversie karty… To dlaczego pinu nie drukują na karcie?

    • … bo PIN mozesz zmienic a CVV nie :D

  15. W BZWBK dla kart VISA można włączyć 3D-secure – transakcje internetowe trzeba potwierdzić kodem z sms’a.

    • Tak, o ile dany sprzedawca i acquirer (bank docelowy dla płatności) akurat obsługują 3DS :)
      (a to można sobie wyłączyć, jak się jest bankiem)

  16. Czy na podstawie danych z karty Visa z przodu (numer, ważność) można wygererować numer CCV ? ten 3 cyfrowy z tyłu ?

    • Nie.

  17. sam miałem telefon od Inteligo po tym jak 2x kumplowi tibię opłaciłem “bo VISA wykryła niepokojące tranzakcje i kartę zablokowała” karta wymieniona bezkosztowo :)

  18. Po pierwsze, ustalmy odpowiedzialność. Z wpisów pod newsem bije zachwyt nad zachowaniem BZ WBK.
    Otóż moi drodzy, za bezprawne użycie karty kredytowej nie odpowiada jej użytkownik. Cała odpowiedzialność spoczywa na banku. Bank nie może obciążyć taką transakcją klienta, chyba że potrafi udowodnić, że użycie nastąpiło w wyniku świadomego i zamierzonego działania, prez posiadacza.
    Działanie BZ WBK, czyli poinformowanie użytkownika o tym, że danej jego karty zostały skompromitowane jest działaniem w interesie BANKU (bo to bądź, co bądź bank ponosi stratę).
    Pamiętajcie, gdy ktoś użyje waszej kredytówki, to nawet nie mając ubezpieczenia bank w takiej sytuacji musi reklamację uznać.

    • Nawet jeśli będzie to transakcja potwierdzona PIN-em? ;)

    • No to wtedy jest prowadzone krótkie śledztwo i reklamacja nie jest uznawana, a klient idzie siedzieć za próbę wyłudzenia odszkodowania ;)

    • Siedzieć? Chyba w kącie. Trzeba jeszcze udowodnić zamiar i fakty.
      PIN to nie jest magia, jest zwykle 1/3333 szansa zgadnięcia w trzeciej próbie i 1/10000 w pierwszej i to nie jest zero ani prawie-zero. Tak więc choć banki się migają przed uznaniem odpowiedzialności za takie transakcje, nie oznacza to automatycznie odpowiedzialności klienta banku.

  19. Telefon moglby byc rownie zly. Zalezy co w srodku. Niebezpiecznik ma racje. Lepszy dobry sms niz zly telefon.

  20. Uff jak dobrze mieć Master Card :D

  21. To zależy od okoliczności. Jeżeli transakcja była w Rumunii, a posiadacz przed kilkoma godzinami korzystał z bankomatu/POS/PU w Polsce, to bank na pewno taką reklamację uzna. Płatności kartą kredytową w PU są dodatkowo obarczone koniecznością weryfikacji użytkownika. Np. jeżeli w sklepie zapłaci kartą kredytową facet, a karta była wydana na kobietę, to reklamacja uznana. Pracownik PU ma obowiązek sprawdzić tożsamość płatnika. Jak ktoś daje kartę kredytową i nie chce okazać dokumentu tożsamości, to pracownik sklepu ma obowiązek przeciąć kartę i ewentualnie wezwać policję.

  22. Na zdjęciu do tego artykułu podpisanym “Karta kredytowa – zdjęcie z Twittera” jest karta debetowa a nie kredytowa, nad logiem VISA widnieje napis “DEBIT”.

  23. “Wysłaliśmy w tej sprawie zapytanie do wystawcy karty, po otrzymaniu odpowiedzi zaktualizujemy ten wpis.”

    Czyli już wiadomo jak traktują klientów skoro nawet na maile nie raczą odpowiadać.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: