8:37
3/7/2012

Na Twitterze powstało konto o nazwie NeedADebitCard. Retwittuje ono wpisy tych internautów, którzy publicznie zapostowali zdjęcie swojej karty kredytowej. Tak. Ze wszystkimi danymi. W internecie. Facepalm.

Karty kredytowe na Twitterze

Większość wpisów to radosne (i jakże debilne):

Popatrzcie, właśnie przyszła moja nowa karta kredytowa, super!

Wpisom zazwyczaj towarzyszą zdjęcia (oczywiście nieocenzurowane; pomarańczowe kropy są od nas):

Karta kredytowa - zdjęcie z Twittera

Karta kredytowa - zdjęcie z Twittera

Mamy nadzieję, że jesteście mądrzejsi od użytkowników Twittera i nie publikujecie w internecie zdjęć swoich kart kredytowych. Przypominamy także, że potencjalnemu złodziejowi do płatności elektronicznych w większości przypadków potrzebny będzie jeszcze kod CVV2, który znajduje się na odwrocie karty.

Dobra rada

Jeśli wasza karta kredytowa/debetowa nie ma ustawionego limitu 0 PLN na płatności przez internet, warto kod CVV2 zakleić przed skorzystaniem z karty w sklepie.

zaklejony_cvv2_karta_kredytowa

Kod CVV2 na karcie kredytowej - zaklejony

Dlaczego? Aby zapłacić kartą w waszym imieniu atakującemu potrzebne są dane, które się na niej znajdują (z przodu: numer, nazwisko, data ważności; z tyłu: kod cvv2). Potencjalny scenariusz ataku to:

    a) kasjerka zapamiętuje dane z karty (lub ustawia ją tak, aby pan Ziutek z ochrony mógł złapać je sklepowej kamerze CCTV)
    b) ktoś stoi za wami z telefonem i udaje, że pisze SMS-a, a tak naprawdę robi zdjęcia (pierwsze jak podajecie kartę numerem do góry, a drugie, jeśli kasjerka odda wam kartę kodem CVV2 do góry…)

Inne serwisy inwigilujące sieci społecznościowe

Co do ujawniania innych informacji na Twitterze, to przypominamy o serwisie “Proszę, obrabuj mnie”, który pokazuje kiedy użytkowników Twittera (i Foursquare’a) nie ma w domu. Ostatnio pojawił się też ciekawy projekt o nazwie Wiemy co robicie, przeszukujący publicznie dostępne wpisy z Facebooka i sporządzający listy osób, które np. zostały zwolnione, zażyły narkotyki, zmieniły numer telefonu, są na kacu…

Najlepsza rada? Zakładaj, że wszystko co wrzucasz do sieci jest publiczne i widzą to miliony osób (nawet jeśli wydaje Ci się, że ograniczasz widoczność zdjęcia tylko dla przyjaciół, to pamiętaj że na skutek błędu w oprogramowaniu, kiedyś te zdjęcia mogą stracić ochronę i przez kilka minut być dostępne dla wszystkich — przejechał się na tym sam twórca Facebooka – Mark Zuckerberg. Ale wstyd, prawda?)

Przeczytaj także:


73 komentarzy

Dodaj komentarz
  1. Piszesz, że podawanie CVV2 jest wymagane w większości przypadków. To są takie przypadki płatności internetowych, kiedy nie jest wymagane podawanie CVV2?

    • Tak, w pewnych miejscach/pewnych warunkach, kod CVV2 nie jest wymagany do płatności za towar/usługę kartą, niestety (niekoniecznie mówimy tu o Polsce). Na marginesie, w niektórych kartach, kod CVV2 jest wypisany na froncie karty.

    • Amazon nie wymaga podania CVV2, a dokładniej nie ma nawet gdzie podać. Wystarczy numer karty, nazwisko właściciela i data ważności.

    • ostatnio było tutaj info, że amazon bierze na siebie odpowiedzialność w przypadku nieautoryzowanego użycia karty bez podania cvv2. widać taniej jest im pokrywać koszta lewych transakcji niż dbać o ochronę cvv2. a może jest inne wytłumaczenie?

    • Widać wielu Amerykanów nie jest w stanie obrócić karty i podać właściwego kodu:)

    • @wiktor: wytłumaczenie było chyba takie, że ustawa zabrania przechowywania tego kodu wraz z danymi karty przez kontrahenta, a na zamówienie trzeba czasem oczekiwać kilka dni.

  2. No właśnie a jak ja ładnie proszę o przelanie na konto to nikt nie chce a rozdawać to wszyscy…:(

  3. nie “zostały zwolnione”, tylko proszą się o zwolnienie, pisząc że nienawidzą swojego szefa :)

  4. ecard np nie wymaga imienia i nazwiska

  5. Nigdy nie sądziłam, że ludzie wpadną na pomysł chwalenia się swoimi kartami na portalach społecznościowych. Przecież to czysta głupota, zwłaszcza, że w łatwy sposób podajemy potencjalnemu rabusiowi wszystkie nasze dane. Ludzie, trzeba myśleć co robicie.

    • Hehe.. To zdecyduj czy jesteś kobietą czy mężczyzna? :D spamerze

    • może mało “informatycznie” ale skoro zdarzają się przypadki chwalenia się częściami ciała, których co do zasady publicznie się nie pokazuje, to czego się spodziewać?
      O tempora… O mores…

  6. nie mogę uwierzyć, że mój kochany bank naraża mnie na takie niebezpieczeństwo bez mojej wiedzy. publikowanie wszystkich danych potrzebnych do wykonania przelewu bezpośrednio na karcie? to po jakiego grzyba przesyłają mi pin do karty w jakiejś specjalnej kopercie listem poleconym??? po co mi ten pin w ogóle? dlaczego banki przy wydawaniu karty nie informują mnie o tym, że na odwrocie jest jakiś kod który umożliwia tamto a siamto???? :/

    • Stary… z choinki się urwałeś?

    • A emitent pieniądza naraża cię na niebezpieczeństwo, że ktoś ci banknoty podpieści bez znajomości jakiegokolwiek kodu. Ja rozumiem, że wiele osób oczekuje, że wszystko w dzisiejszych czasach będzie fool-proof, ale czy to jest w ogóle możliwe?

    • Damian, chyba zapomniałeś sobie zmienić nick na “troll”.

  7. Citibank ma opcję potwierdzania SMSem transakcji internetowych z użyciem karty kredytowej. Nie wiem jak w innych bankach jest, ale ta opcja bardzo mi się podoba,

  8. @Szymon Barczak: a Tobie bank powiedział co to są te wszystkie numerki?

  9. Witam, moze z innej beczki.
    Wie ktoś może dlaczego jak place za zakupy w Tesco w jednej miejscowości kartą to muszę podać PIN, a jak płacę tą sama kartą w Tesco w innej miejscowości to wystarczy podpis?

    Wg. mnie jest to chore.. jeśli komuś zwineliśmy kartę, to podpisu możemy nauczyć się ( o ile nie jest skomplikowany w pare chwil) więc wg. mnie jest to idiotyzmem, żeby składać podpis a nie podawać numeru PIN.

    Nie wiem czy terminale w obu sklepach są takie same.. więc może zależy to od terminalu ?

    • Podpis? Rany… Co oni tam za system maja – sprzed 10 lat lekko liczac.

    • @Artur: Nie ma to znaczenia, bo jak Ci zniknie kasa to i tak w sensie prawnym okradany jest bank, a nie osoba korzystająca z takiej karty. To samo jak skanują nakładkami na bankomaty.

    • IMO podpis lepszy – PIN to może każdy zapamiętać albo zapisać, podpis jest mniej trywialny do podrobienia a jak przyjdzie grafolog to naprawdę by się ktoś musiał postarać. Choć faktycznie przy małych kwotach gdzie nikt nie bawi się w późniejszą weryfikację PIN bardziej irytujący dla złodzieja.

    • Tak naprawdę do obciążenia karty kredytowej opłatą (charge) przez bank wymagany jest tylko i wyłącznie jej numer. Wszystko inne jest opcjonalne, w tym sensie, że jeśli bank, który przyjmuje płatności, ma numer karty, to może obciążyć każdego, kogo mu się podoba, i nikt tego nie autentykuje. Wszystkie podpisy, PIN-y, CVV2 i inne takie, to tylko autentykacja transakcji do tegoż właśnie “pierwszego po drodze” banku, z którym właściciel terminala ma umowę.
      Czyli jeśli znajdziemy sobie bank, który oferuje terminale bez żadnego rodzaju autentykacji, i ma umowy z VISA/MC – bingo, każdy do takiego terminala może podejść z kartą, przeciągnąć ją, i po sprawie.

    • “ja uważam, że podpis jest idiotyzmem…”, “ja uważam, że CVV jest idotyzmem..”, “ale z was cielaki…” bla bla bla, nikt wam nie każe z tych idiotyzmów korzystać. Chyba, że sami jesteście idiotami

      @Thrash02: rodzaj weryfikacji nie zależy od wieku systemu, ale od tego, co karta oraz terminal sobie wynegocjują.

  10. “Dopóki nie skorzystałem z Internetu, nie wiedziałem, że na świecie jest tylu idiotów.”

  11. Jak wydawali mi nową kartę to od razu powiedziałem, że chce limit 0 zł na płatności przez internet.. W razie co, gdybym zgubił albo ktoś poznałby numery.

  12. Nie za bardzo rozumiem sensu kupowania kartą debetową/kredytową przez internet (w sklepach internetowych), jak można przecież przelewem bankowym zarówno bezpośrednio na konto sprzedawcy/usługodawcy jak i poprzez np. PayU itp. ;)

    Przecież płacąc kartą w internecie, to podając te jej dane, tak samo się chyba narażamy, bo w końcu podajemy te ważne dane, heh :)

    • prawda ale są sytuacje, w których liczy się czas realizacji przelewu. Płacąc kartą, masz od razu programi/rzecz. Tak jest to rozwiązane w gCheckout ;)

    • Jeśli kupujesz coś z zagranicy bzdurą by było robienie normalnego przelewu zagranicznego bo mają ogromne opłaty. O wiele prościej podczepić kartę do PayPala i wszystko dzieje się automatycznie. Przelewy bankowe to przeżytek gdziekolwiek poza granicami tego kraju… Na android market/play market (czy jak to tam się teraz nazywa) np. można płacić jedynie kartą kredytową (nie ma nawet paypala).

    • Są banki, jak np. IdeaBank, że nie da się zapłacić via chociażby przelewy24 przelewem, pozostaje tylko karta.

    • @Andrzej, wszystkie tego typu systemy, z którymi się spotkałem miały opcję fallback, gdzie drukował Ci normalny blankiet polecenia przelewu, z którym kiedyś szło się na pocztę lub do banku. Dziś można dane z tego blankietu przepisać na formularzu przelewu w banku i viola. No chyba że IdeaBank nie pozwala wogóle zrobić przelewu, to rzeczywiście tylko karta zostaje ;)

  13. Wytłumaczcie mi proszę, jak coś tak łatwo podatnego na ataki, może funkcjonować na taką skalę w świecie finansów? Przecież są możliwości zabezpieczenia tego PIN-em, autoryzacja telefoniczną, tokenem, itd.
    A tu od kilkudziesięciu lat wystarczy poznać trzy numery na krzyż, wydrukowane dużymi znakami na kawałku plastiku, który wędruje z rąk do rąk, aby wyczyścić komuś konto…
    Nie pojmuje, serio.

    • Chodzi o uproszczenie systemu. Wystarczy wyjąć kartę z kieszeni, podać w kasie, wpisać pin (by było bezpieczniej trzeba by jeszcze bawić się tokenami, sms, mailami, hasłami w/g ciebie, a kto ma na to ochotę?) Przecież już powoli wprowadzają w tym kraju te karty zbliżeniowe, a jeśli dobrze to rozumiem jedynie skanuje się kod i podpisuje rachunek. Wszystko w imię wygody i lenistwa. Co w tym takiego trudnego do zrozumienia?…

    • Nic się nie podpisuje. Przykładasz (lub pani kasjerka przykłada) kartę do terminala, zapiszczy, zamryga i zapłacone.

  14. Wszystko fajnie, ale nie moge sobie ustawic 0 zl na platnosci przez internet bo uzywam kredytowki wlasnie do takich platnosci, nie tylko w sklepie. Chociazby iTunes. Chyba ze mozna juz u apple wpisac zwykla karte, nie sprawdzalem. Wie ktos?

    • Słowo klucz: przedpłacona karta wirtualna dla płatności internetowych.

    • Można. Moja mBankowa eKarta działa z iTunes. Tj. na iPhonie, i kupowanie aplikacji w AppStore, i kupowanie muzyki w iTunes mi działa — nie wiem czy platforma ma tu jakieś znaczenie.

  15. @koptok: nie noszę aż tyle kasy w portfelu. btw wyjaśnij mi ten usecase: bank daje mi kartę-login i pin-hasło. W którym momencie jest powiedziane, że hasło jest niepotrzebne? do swojej poczty też logujesz się przy pomocy tylko loginu czy może hasło też trzeba wpisać?

  16. Jest też polska wersja http://wiemycorobisz.pl :)

  17. ja zamazuję czarnym niezmywalnym flamastrem kilka cyfr z numeru oraz kod cvv – dla kamer nie do podpatrzenia, a dla ludzkiego oka bez problemu pod światło. To też zabierze troszkę czasu więc szybkie odwrócenie karty żeby spojrzeć na cvv przez np: kelnera nic nie da :)

  18. Nie wierze aby kamery CCTV, miały taką rozdzielczość by czytać numer karty. Szczególnie że najwyższe modele oferują 700 linii. Przymykając że sygnał idzie analogowo.

  19. Ale z was cielaki! Do zakupów przez internet powinno się wyrabiać wirtualną kartę (ja mam tak w mbank). Przysłali przeźroczystą kartę i ona ma swój numer i kod CVV (na niej nie ma).

    I tak gdy chcę coś kupić to doładowuję kartę poprzez system transakcyjny w mbanku na okresloną kwotę i dokonuję zakupu.

    Tak poza tym polecam Google Checkout ;)

    • Ale z Ciebie ciołek :-) Ja mam jedną kartę, której używam z głową. I w przeciwieństwie do Twojej mBankowej nie muszę za nią płacić a dodatkowo mam parę % zwrotu kosztów kartą :-) A nowy bank (w którym też mam kartę) daje 5% zwrotu.

  20. Opis ciekawy, ale dopisanie, że CVV podejrzy ktoś na kamerze przemysłowej to już fikcja.
    Nawet te HD które są to można sobie darować do takich eksperymentów. Musiałaby być kamera HD zaraz obok kasy, do tego odpowiednie światło i przynajmniej chwila (pół sekundy) przed kamerą postoju.
    To że pani kasjerka zapamięta numer karty i CVV to też ciężko mi uwierzyć. Chyba że są terminale co drukują cały numer karty.

    • Kopia dla sklepu zawiera pełny numer z tego co wiem.

  21. Imię i nazwisko nie kiedy nie sa wymagane przy zakupach przez internet

    • Jak coś kupujesz kartą to masz formularz do wypełnienia gdzie jest imię, nazwisko, adres, kod pocztowy i reszta. Jeśli ktoś poda fałszywe dane to można jako kolejny dowód strać się o rekompensatę ubezpieczonej karty.

  22. A co do kamer to BEZ PROBLEMU odczyta wsze dane z karty np. kamery w vegas montowane 12 metrów na sufucie bez probzlemu wykrywaja zawansowane przekręty

  23. Ja przestalem juz wierzyc, ze ludzie to wszystko pojma i przestana sie zachowywac jak czterolatki. Nie wierze w rodzaj ludzki, nie wierze w masy, wierze w jednostki, ktorych jest niewiele. Przestalem juz kogokolwiek ewangelizowac, bo i tak nie rozumieja / nie sluchaja / nie wdrazaja zalecen. Jak grochem o sciane. Niech sobie tona w tym swoim kolorowym, slodkim syfie. To oni beda pozniej plakac i prosic o uratowanie ich godnosci i reputacji internetowej, ale bedzie juz za pozno …

  24. Warto też włączyć sobie 3-D Secure na karcie http://pl.wikipedia.org/wiki/3-D_Secure

    • za wikipedią “Całkowitą odpowiedzialność za transakcję dokonaną przy użyciu 3D Secure ponosi właściciel karty.”
      jeśli dobrze rozumiem mam włączać usługę, która pod pozorem ochrony transakcji przenosi na mnie odpowiedzialność za nią?

    • Złe wieści: żeby 3-D Secure było efektywne, musi być włączone w banku, który przyjmuje płatność, a także w banku który wydał kartę (issuer), i usługa, przez którą płacimy (gateway), musi to obsługiwać. Nie ma żadnego problemu z obciążeniem karty wydanej przez bank obsługujący 3DS bez użycia 3DS – sprawdzone w praktyce.
      Prawda jest taka, że 3DS nie istnieje dla bezpieczeństwa użytkowników. Istnieje, żeby zmniejszyć ilość wycofań (chargeback), bo klienci często, rozmyśliwszy się, kręcą, że to nie oni wykonali transakcję. No, ale jeśli już nas naprawdę okradną, to od opłaty, która nie szła przez 3DS, można się odwołać i odzyskać utracone środki.

    • To raz. Dwa, że można zrobić reset hasła 3DSecure przez WWW – często podając dane które są na karcie + nazwisko panieńskie (facebook).

    • wiktor:
      na mojej karcie z mbanku stoi jak byk: Niniejsza karta zostałą wydana przez BRE i pozostaje jego własnością. Z formalnego punktu widzenia to bank jest właścicielem karty.

    • Właścicielem karty jest zawsze bank kartę wydający, nigdy konsument, który jest tylko jej użytkownikiem. 3DS ogranicza możliwość nieautoryzowanego użycia karty przez osobę, która poznała wszystkie dane potrzebne do jej użycia w płatności internetowej. Przy płatności kartą w włączoną opcją 3DS, do potwierdzenia transakcji wymagane jest dodatkowo zalogowanie się na konto w banku oraz podanie kodu autoryzacyjnego – sms/telekod/token, itp. Dopiero wtedy płatność kartą “leci dalej”. Nie zmienia to faktu, że nadal można złożyć reklamację na zasadzie chargeback – dla banku jest o tyle lepiej, że odsiewa potencjalnie reklamacje z tytułu nieautoryzowanego użycia karty, ot ;)

  25. Jak częste są przypadki takich kradzieży?

  26. Dla Ziutka z ochrony to żaden problem ukryć przy kasie kamerę full hd z super zoomem, pożyczoną ze stoiska rtv. A pół sekundy przed kamerą to aż nadto – przecież nagranie można oglądać poklatkowo.

  27. Kiedys ogladalem program i pokazywali dzialanie kamer w hipermarkecie, tam nie sa zwykle CCTV, tylko sa np. ruchome kamery, ktore jezdza po szynach pod dachem, i maja taki zoom, ze za ich pomoca jest sie w stanie przeczytac tekst z ksiazki przez cala dlugosc hali.

  28. AVE…

    Jak ktoś jest tak wielkim idiotą, to zasługuje, by go okradli z ostatniego grosza. Inaczej i tak wydałby na jakieś głupoty…

  29. Ja się pytam dlaczego wszystkie dane potrzebne do wykonania płatności są wydrukowane na kawałku plastiku który każdy może zobaczyć? Na co te wszystkie piny, paski magnetyczne hasła i https skoro wystarczy jedno dobre zdjęcie?

    • PIN – wystarczy nagrać kilka sekund dobrego video, hasło – to samo, pasek magnetyczny – skimmer.

    • @h – a czy to, o czym mowisz jest argumentem za tym, by nadrukowywac wszystko na kawalek plastiku?

      Innymi slowy: “dobry zamek mozna zawsze obejsc, wywazyc”, po co zatem uzywac jakiegokolwiek?

      Logika, panie szanowny, logika … argumentujesz pan czyms, co sie na argument w sprawie zupelnie nie nadaje, bo to portal o zabezpieczeniach, a nie o czynieniu wszystkiego mniej bezpiecznym [choc nazwa moze – jak sadze – niektorych wprowadzac w blad].

  30. Na usta ciśnie się tylko jedno: Mają Złotą Kartę a DEBILE!

  31. Ostatnio popularne są na allegro aukcje kart prepaid. Bardzo sprzedający dają ich zdjęcia, zwykle tylko awers, chociaż zdarzają się również obie strony. Co ciekawe, chętni na takie karty się znajdują.

  32. Ja na starej karcie starłem CVV2, na nowej nie chciał zleźć, więc zakleiłem taśmą. Teraz mam taki problem, że boję się kartę włożyć do bankomatu, z obawy, że się zaklinuje. Ktoś już tego próbował?

  33. Sokrates powiedział ‘Wiem, że nic nie wiem’. My ludzie, jesteśmy głupi, i to, że wiemy do czego służy kod CVV2 nie znaczy, że jesteśmy mądrzejszy od innych. Wszyscy tańczymy tak jak nam Visa i MC zagrają. Szczególnie w Polsce, gdzie ludzie są najgłupsi.

  34. Słynny Brytyjski zespół JEDWARD właśnie opublikował i swoją kartę kredytową na Twitterze – ludzię już stoją w kolejce i kupują: Wakacje i prezerwatywy (wnioskując z komentarzy) http://t.co/VpVSL1vT

  35. Czy ktoś może mi powiedzieć dlaczego ludzie nie wystawiają na chodnik otwartej kasety z pieniędzmi? Przecież jest to coś bardzo podobnego!

  36. Jak się zaklei CVV to nie można będzie płacić kartą w internecie.

  37. […] I tu czytelnika zaskoczymy. Karty płatnicze po to posiadają kod CVV/CVV2 (który nota bene powinniście zaklejać!): […]

  38. Robiąc rezerwację hotelu przez Booking, hotel otrzymuje inf o rezerwacji wraz z danymi karty faxem.
    Transakcję bez fizycznej obecności karty przeprowadza recepcja hotelu.
    Od rodzaju operatora płatności i rodzaju terminala zależy czy CVV jest wymagany czy transakcja jest autoryzowane bez CVV.

    • A od rodzaju karty czy taka transakcja w ogole przejdzie :)

  39. No i co że macie zdjęcia karty? Zazwyczaj w internetowych transakcjach potrzeba trzech ostatnich cyfr z tyłu!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: