Fraud czy nie fraud - Jak bezpiecznie używać karty

[Sem.©® 15 694]

Fraud czy nie fraud - Jak bezpiecznie używać karty

 

Chciałbym pomówić o wszelkich możliwych typach kart w aspekcie bezpieczeństwa ich użytkowania. Będzie o kartach kredytowych, debetowych, zwirtualizowanych oraz o możliwościach ich obciążania. Zanim spytam Was o Wasze doświadczenia, najpierw trochę teorii.

 

Karta Kredytowa

 

Wszyscy wiedzą czym jest karta kredytowa. To kawałek plastiku, który jest własnością banku wraz z pieniędzmi które się na takiej karcie znajdują. Kartę kredytową, można obciążyć na wiele sposobów. Przede wszystkim w trybie "Card Present" czyli za pomocą terminala w sklepie, gdzie karta jest fizycznie obecna. "Card Present" to autoryzacja karty za pomocą Chipu obecnego w karcie, lub (w przypadku niemożności pobrania opłaty za pomocą terminala chipowego) przy użyciu starszej technologii "fallback" za pomocą paska magnetycznego. "Card Present" to również fizyczne wklepanie danych karty do terminala POS lub użycie jej metodą zbliżeniową. Ponadto, kartę kredytową, można obciążyć w trybie MO/TO/IO - mail order, telephone order, internet order. Są to zdalne transakcje kartami płatniczymi dokonywane za pomocą poczty, telefonu lub internetu. Transakcje MO/TO/IO, są to transakcje bez fizycznego użycia karty. Polegają one na podaniu numeru karty i innych unikalnych danych karty płatniczej takich jak imię i nazwisko posiadacza karty, terminu ważności, kodu CVC2 lub CVV2, służących do autoryzacji transakcji. W zależności od banku i rodzaju karty, można również wypłacić środki z karty kredytowej za pomocą bankomatu, lub przelać środki z katy kredytowej na rachunek bieżący. Z uwagi na fakt, iż środki dostępne na karcie kredytowej są własnością banku który taką kartę wydał, łatwiej jest dochodzić roszczeń związanych z nieautoryzowanym użyciem karty, łatwiej będzie nam również złożyć reklamację za brak, lub niedostatecznie dobrze wykonana usługę, dostawę towaru, etc. Pokój w hotelu okazał się nie być z widokiem na morze? Zamówiony towar nie dotarł? Poproś w banku o formularz Visa chargeback, lub MasterCard chargeback, w zależności od typu posiadanej przez Ciebie karty, to najskuteczniejsza droga reklamacji.

 

Karta Debetowa

 

W zasadzie nie ma się nad czym rozwodzić, to taki sam plastik, z takimi samymi możliwościami obciążania go, jak karta kredytowa. Ale jest zasadnicza różnica w odpowiedzialności banku za użycie środków z tej karty. Płacąc swoimi środkami, stajemy się odpowiedzialni za ich użycie w większym stopniu, niż w przypadku karty kredytowej. Mówiąc oględnie, bank nie będzie się przykładał do reklamacji w takim stopniu jak w przypadku pieniędzy, które należą do nich. W dalszym ciągu przysługuje procedura Visa chargeback, lub MasterCard chargeback jednak w pewnych okolicznościach przyrody, zawsze bardziej warto używać karty kredytowej.

 

Karta Zwirtualizowana

 

To taka karta, która fizycznie, w ogóle nie istnieje. Nie wszystkie banki oferują karty zwirtualizowane, sprawdź ofertę swojego banku. Karta wirtualna, tworzona najczęściej na poziomie aplikacji mobilnej, służy przede wszystkim do płatności przez internet, lub transakcji zbliżeniowych NFC za pomocą telefonu. Płatność telefonem to bardzo wygodne rozwiązanie, jednak nie pozbawione wad bezpieczeństwa. Warto zatem używać kart (niekoniecznie wirtualnych), powiązanych ze specjalnie do tego celu uruchomionym rachunkiem oszczędnościowo- rozliczeniowym. Będziemy przelewać sobie tylko taką ilość środków, jaka jest nam potrzebna do wykonania jednej, lub kilku najbliższych transakcji zbliżeniowych, lub taką ilość środków, jaką potrzebujemy by zrealizować najbliższą płatność w internecie i "dowiążemy" sobie do tego rachunku specjalnie wydzieloną kartę. Na przykład kartę wirtualną, właśnie. Karty wirtualnej, nie można obciążyć w trybie "Card Present". To logiczne, ponieważ karta nie istnieje, jest tylko cyfrowym zapisem w systemie bankowości. Nie użyjemy jej zatem by wypłacić gotówkę z bankomatu, nie użyjemy jej w tradycyjny sposób w terminalu POS, no chyba że używamy jej wraz z telefonem jako płatność NFC. Tak naprawdę jedną z dwóch zalet karty wirtualnej jest ów fakt, że nie trzeba na nią w ogóle czekać. O drugiej zalecie, opowiem za chwilę, gdy dotrzemy do transakcji internetowych które wykonywane są nie zawsze zgodnie ze standardami i bywają jeśli nie defraudacją środków to już na pewno nadużyciem, przed którym chroni nas wirtualizacja karty (a co za tym idzie niemożność użycia jej w trybie "Card Present" co jest czynnikiem bardzo ważnym).

 

Pre-Autoryzacja w Hotelu a użycie karty wirtualnej

 

Wszyscy którym zdarza się wyjeżdżać i rezerwować miejsce w hotelu wiedzą, że bardzo często gwarantem rezerwacji, jest podanie w czasie dokonywania tej rezerwacji danych z karty. Ogólnie przyjęło się mówić "karty kredytowej" ale równie dobrze, możemy użyć karty debetowej. Możemy też użyć karty wirtualnej, pod warunkiem iż mamy pewność, że hotel nie będzie dokonywał tak zwanej "pre-autoryzacji" polegającej na czasowym zablokowaniu pełnej lub częściowej kwoty za pobyt w tym przybytku. Dlaczego? I tu pojawia się pierwsza kwestia sporna od której huczą od czasu do czasu fora internetowe. "Podałem w hotelu dane karty wirtualnej, która przecież jest taka sama jak prawdziwy plastik, jedyną różnicą jest jej wirtualizacja, a hotel po kilku dniach anulował rezerwację, ponieważ w ich mniemaniu, podałem dane nieważnej karty i pre autoryzacja nie przeszła!". i dyskusje, i dyskusje. Odpowiedź na to zagadnienie jest bardzo prosta. Hotele, co moim zdaniem jest niedorzeczne ale zawsze tak jest- dokonują pre-autoryzacji za pomocą terminala POS, wklepując dane karty do tego terminala. Transakcja tego typu, jest traktowana przez systemy transakcyjne jak "Card Present" czyli zupełnie tak, jak gdybyście znajdowali się w tym hotelu i płacili tą kartą. Ponieważ karta wirtualna nie może być obciążana w trybie "Card Present" powstaje problem w postaci odrzucenia takiej transakcji. Jest to trochę idiotyczne, ponieważ przesyłacie dane przez internetowy system rezerwacyjny, a dane te, zamiast być płatnością internetową, w samym już przybytku, stają się płatnością "fizyczną". Teoretycznie, to wystarczy przełączyć terminal podczas pre-autoryzacji w tryb MO/TO/IO (czyli mail order, telephone order, internet order), ale najczęściej nikt się tym nie zajmuje, bo to taki czynnik ludzki. Z karty nie da się ściągnąć środków, więc się Klienta wywala a rezerwację anuluje. Po drugie, nie każdy terminal POS, posiada tryb MO/TO/IO. Mamy więc pierwszą dużą wadę używania kart zwirtualizowanych. Nie uwzględniają owego czynnika ludzkiego "sierotek" siedzących na recepcjach hotelowych, lub zwykłych ignorantów, którzy nie wiedzą, nie chcą wiedzieć, nie potrafią obsługiwać poprawnie terminala który mają jako narzędzie pracy. Jednak gdzie coś jest wadą w innym miejscu może okazać się zaletą.

 

Netflix oraz praktyki innych bytów internetowych

 

Czytałem ostatnio wywody jednego internauty, który rozwodził się nad tym, jakim cudem Netflix pobrał środki z kary debetowej (tego prawdziwego plastiku a nie wirtuala) podczas gdy on wyłączył w systemie transakcyjnym wszelką możliwość obciążania tej karty przez internet i zupełnie olał sprawę z Netflixem, postanawiając nie "zakańczać członkostwa" na czas (zanim Netflix pobierze opłatę po pierwszym próbnym okresie wynoszącym jeden miesiąc), bo wiedział (znaczy, tak mu się wydawało) że jak wyłączył płatności internetowe tą kartą, to jest cwany i Netflix i tak mu z tej karty nie ściągnie środków. Więc sobie na tej karcie pozostawił wszystkie środki, nie przelewając ich na inny rachunek. Jakie było jego zdziwienie, gdy okazało się, że gdy przyszedł czas, wskutek braku rezygnacji z członkostwa Netflix pobrał sobie opłatę mimo to, używając do tego trybu "Card Present" czyli wklepując dane do terminala POS, tak samo, jak to robią hotele podczas pre-autoryzacji. Czy robią to legalnie? To są właśnie kwestie sporne o których dużo się mówi. Załóżmy jednak że dokonali tego w pełni legalnie, bo to jednak Netflix a nie jakaś podrzędna mała instytucja. Zapewne mają prawo używać terminala POS, skoro to robią będąc "wielkimi" na cały świat, pomimo tego, że przecież cała operacja od - do, zachodzi przez internet.

 

Powstaje jednak pytanie, co w przypadku gdy jakiś podmiot (pomiot?) ściągnie sobie w ten sposób środki z karty z pogwałceniem wszelkich zasad, dokonując po prostu kradzieży? Co wtedy, gdy "dla bezpieczeństwa", wyłączasz dostęp do karty z internetu a środki i tak znikają? Wystarczy jeden złodziej lub nieuczciwy sprzedawca władający terminalem POS umożliwiającym ściąganie pieniędzy w trybie "Card Present" i danymi Twojej karty. To właśnie tutaj ujawnia się druga ukryta cecha kart zwirtualizowanych. Nie można obciążyć ich w trybie "Card Present". Odpada więc dylemat, że ktoś niespodziewanie obciąży tą kartę niesłuszną prowizją za zakup sprzed kilku tygodni, nieoczekiwaną należnością, nikt też nie posłuży się kartą wirtualną w celach pre-autoryzacji hotelowej, o której przecież możemy nic nie wiedzieć. Warto wspomnieć, że warunki użycia kart zwirtualizowanych, podobne są do polityki kart kredytowych- przedpłaconych. Czyli- trzeba zasilić rachunek powiązany z taką kartą, by móc użyć środków.

 

Jeszcze jedną ważną zaletą karty wirtualnej jest to, że ze skradzionych danych nie wynika wcale, że jest to karta wirtualna. Złodziej tego nie wie, dopóki nie użyje terminala, lub nie spróbuje jej użyć do pre-autoryzacji. A może spróbuje wykonać jej fizyczną kopię, jak to się robi w przypadku skradzionych danych z kart na terminalach płatniczych z nakładkami, albo w bankomacie z nakładką phissingową? Nie można jej odwirtualizować, wyprodukować. Dodać do niej paska magnetycznego lub chipa.

 

Karty wirtualnej nie można podejrzeć w sklepie z monitoringu! Takie przypadki działań też się zdarzają niestety, gdy kasjer współpracuje z jednym z pracowników monitoringu i tak kieruje plastikową kartą podczas jej użycia, by była pokazana z obydwóch stron w kamerze. W tym miejscu kolejna bardzo ważna porada, która uchroni Was przed kradzieżą danych w ten sposób. Chrońcie trzy cyfrowy kod CVV2 widoczny z tyłu karty po prostu zaklejając go cienką taśmą. Podobny zabieg można wykonać z przodu, zasłaniając część numeru karty.

 

Najbezpieczniej jest posługiwać się w sieci taką kartą, na której środki nie leżą przez cały czas. Wszędzie tam, podawajcie dane tylko takiej karty, na którą przelewacie określoną zakupem ilość środków, a potem środki te są wydawane. Jeśli pieniędzy na koncie powiązanym z kartą nie ma, wtedy nikt ich przecież nie ściągnie w żadnym trybie, choćby i nawet sto razy próbował, odbije się od limitu. Do takiego właśnie zabezpieczenia własnych środków Was zachęcam. Tylko takie karty "dowiązujcie" do wszelkich internetowych usług, zakupów, zachcianek, telefonów i umieszczonych w nich aplikacjach mobilnych. Pod żadnym pozorem, nie podawajcie tam danych takiej karty, na której rachunku znajdują się Wasze "bazowe" środki, prawdopodobnie czekając na jakiś wyciek danych z jakiegoś systemu, gdzie podawaliście dane tej karty. Nikt nie chciałby śledząc historię transakcji odkryć tam, że gdy spał, to kupił sobie czterdzieści gier na Amazonie, wyczyszczając kartę do zera.

 

3D- Secure czyli 3DS Wielka Lipa

 

Jakiś czas temu pisałem o tym, jak to super jest mieć włączone 3DS na karcie, i jakie to gwarantuje bezpieczeństwo. Opcja 3D Secure polega na tym, że w momencie transakcji, następuje przekierowanie do banku, i wymagane jest podanie kodu SMS otrzymanego na telefon. Muszę to sprostować. Niestety 3DS to wielka lipa. A dlaczego? A dlatego, że działanie 3D Secure zależy od tego, czy kontrahent w ogóle wdrożył ten system do swojego sklepu. Jeśli go nie ma (a najczęściej właśnie nie ma!) to wtedy 3DS można sobie potrzaskać o kant dupy. Można ściągnąć środki z karty zabezpieczanej przez 3DS całkowicie omijając ten system ponieważ jest opcjonalny, a nie obligatoryjny a co za tym idzie, najczęściej w sklepach w ogóle nie jest stosowany. Co więcej w sieci jest mnóstwo takich sklepów, które do autoryzacji nie potrzebują nawet kodu CVC2 lub CVV2 z drugiej strony karty (lub z karty wirtualnej), wystarczy jej numer, właściciel i data ważności by sobie zrobić zakupy. Lub, by ktoś sobie te zakupy zrobił za nas naszymi pieniędzmi. 

 

Na koniec pytanie, jeśli chcielibyście zabrać głos. Jakie są Wasze ogólne doświadczenia z poszczególnymi typami kart oraz wdrażanym 3DS? Czy używacie kart wirtualnych? Jakie jest Wasze zdanie na temat, używania końcowych terminali POS, podczas gdy składaliście zamówienie w całości przez internet? W jaki sposób zabezpieczacie swoje środki?

[Turbo✩ 1 938]

Bardzo fajny post

Ja chciałbym nawiązać do dwóch kwestii:

1)  w kontekście kart kredytowych i pre-autoryzacji w hotelu...

Często niestety zdarza się tak, że te "sierotki" zapisują dane karty na karteczkach i trzymają na ladzie recepcji.
Znane są przypadki, gdzie klienci hoteli sami zwracali uwagę obsłudze, że takie karteczki mogą być wykorzystane do nadużyć i to już niekoniecznie przez samą obsługę ale i potencjalnego klienta stojącego przy blacie recepcji.
I tu znów zaletą będzie karta wirtualna, pod warunkiem, że będzie prawidłowo obciążona przez obsługę hotelu. Bo nawet jeśli "zginie" karteczka z danymi karty, to potencjalny "znalazca" danych może je wykorzystać tylko w ograniczonym stopniu, co opisał Sem powyżej.

 

2) Może nie do końca o kartach ale jednak trochę
Coś mi się kojarzy, że kiedyś Sem pisałeś o nielubianym przez Ciebie Bliku (jeśli to nie Ty to przepraszam, nie ma to większego znaczenia).

Od pewnego czasu korzystam z tego za każdym razem w bankomacie:
- nie da się zeskanować karty, bo jej nie używam
- kod przeklepywany na pinpad jest jednorazowy, więc nawet jeśli ktoś za plecami próbowałby go podejrzeć....

- transakcja, bynajmniej w moim banku, wymaga potwierdzenia w aplikacji, zanim bankomat wysunie gotówkę

- nikt nie zrobi mi zdjęcia karty z za pleców w kolejce do bankomatu

To tak w nawiązaniu do fraudów z użyciem karty. Żałuję, że tak mało sklepów, punktów usługowych umożliwia transakcje z użyciem podobnych platform.

[Zouza® 29 620]

Sem, powinieneś pisać poradniki w stylu: "... dla opornych".

Świetnie, przystępnie, cenne informacje.

 

 

W jaki sposób zabezpieczacie swoje środki?

Mam osobne konto z taką ilością gotówki, jaka będzie mi niezbędna na dany moment + ofc. kartę do tego konta.

[Sem.©® 15 694]

 

2) Może nie do końca o kartach ale jednak trochę Coś mi się kojarzy, że kiedyś Sem pisałeś o nielubianym przez Ciebie Bliku (jeśli to nie Ty to przepraszam, nie ma to większego znaczenia).

 

To ja pisałem, kiedyś, coś mi świta. Ale pisałem też o 3D Secure jakie to zajebiste jest zabezpieczenie, a w niniejszym nazwijmy go "artykule" sprostowałem. Otóż sam od niespełna roku, korzystam z aplikacji do wypłat środków z bankomatu, są to środki ze SkyCash, i PeoPay banku Pekao SA (Nie mylić z PKO BP). Taka sama procedura jak opisałeś, kod wklepywany w bankomacie, hasło mobilne, potwierdzenie kliknąć i wypłata. Nawet gdyby na czytniku była jakaś złodziejska nakładka, to mnie ona nic nie interesuje, bo żadna karta nie dotyka fizycznie żadnego urządzenia.

 

Zgadzam się również z tym co pisałeś o "karteczkach" w recepcjach. Tym wszystkim, w szczególności gdy są to hotele, rządzi czynnik ludzki.

[surfer77✩ 1 961]

Super temat.

Obawiam się używać kart w bankomatach oraz internecie, dlatego używam blika, zarówno do wypłat gotówkowych oraz do płatności internetowych. Z początku jest trudniej, ale jak już zrobi się kilka płatności, to naprawdę jest to i wygodnie i szybko. 

W przypadku gdy nie ma możliwości płatności blik, bardzo dobra jest opcja o której pisał Sem, to znaczy używanie do płatności internetowych karty która ma podpięty rachunek, który zasila się samemu w miarę potrzeb, w ten sposób ograniczymy ryzyko dość znacznie.

Widziałem też reportaż, w którym pokazywano, jak złodziej korzystając z telefonu i jakiejś apki, zczytywał sygnał z karty z opcją płatności zbliżeniowej, umieszczonej w torebce. Po prostu podszedł do kobiety stojącej w kolejce, przytknął telefon do torebki i pobrał dane karty, następnie dokonał transakcji zakupu na podstawie skradzionych danych. Niby bez PIN można do 50 zł, ale są serwisy internetowe w Azji (nie wiem jakie), na których można przekroczyć ten limit i zdefruadować większe kwoty.

Przed taką kradzieżą danych karty, chroni trzymanie karty w portfelu, ale razem z folią aluminiową, lub specjalnym etui.

[Sem.©® 15 694]

Również w temacie, bardzo proszę o obejrzenie tego wideo. Co prawda jest to celowe działanie i prowokacja, ale doskonale odzwierciedla rzeczywistość. Co dzieje się z pieniędzmi, gdy dane zostaną ujawnione, lub skradzione: