Zneužití platební karty

[vrabi]

Jedna z možností zneužití platební karty:
Při platbě přes platební bránu v e-shopu jste přesměrováni na platební bránu, kde normálně proběhne platba, zboží je pak následně doručeno.
Bohužel, zároveň z této brány jsou okopírovány vaše údaje o platební kartě (číslo karty, majitel), eshop s tím pravděpodobně nemá co do činění, napadená je samotná brána, navenek jako uživatel nic poznáte.
Je "vyrobena" nová platební karta a s touto jsou fyzicky prováděny platby v nízké výši, tak aby nebyl nutný PIN, většinou se jedná o platby v dopravě (taxi a podobné platformy), platby jsou prováděny dokud to banka nebo uživatel nezarazí ...
Stalo se to nedávno kolegovi po platbě na jednom větším českém eshopu s dětským zbožím, bohužel neví jaká tam byla platební brána a při pokusu o další platbu je tam již vizuelně jiná brána Původní brána měla údajně v odkazu zabezpečenou komunikaci, ale nepamatuje si jaký to byl poskytovatel.
Platby na internetu si odblokovával jen na danou platbu, bohužel v tomto případě jsou platby prováděny "novou" kartou napřímo a tak toto nepomůže.
Počítač jsem mu důkladně prohlédl a žádnou havěť v něm nemá, reverzním inženýrstvím jsme dospěli k tomuto scénaři.
Takže pozor, i u většího českého eshopu důkladně prověřte na jakou bránu vás přesměrovává a v případě jakýchkoli pochybností plaťte raději převodem
Škody většinou nebývají velké, jelikož se jedná o nízké částky v řádu 50-300,- a tak je buď po čase zarazí robot v bance nebo samotný uživatel po kontrole, nicméně čeká vás zdlouhavé dohadování s bankou a vydání nové karty.
U inzerátu na bazoši, nebo u asijského eshopu bych toto čekal, ale že se to stane i u poměrně známého českého obchodu mne zaskočilo.

[JOBU]

No bohužiaľ, mne dnes nejaký expert vycucol z účtu 700€. Z toho 400€ priamo cez bankomat, a 300€ si poslal rovno na nejaký slovenský účet. Dnes sms o zrušení autorizacie cez sms a koniec.
Príčina sa našla, pred pár dňami sa mi nepodarilo dobiť cez net kredit pre dcéru, prišiel normálne autorizačný kod v sms ako vždy, potom prihlasenia a k.kot sa mi dostal do bankingu. Číslo karty som nezadával nikde, a predsa na ňu urobil výber. Chvalabohu ho vyššie nepustili limity platieb.Platbu som reklamoval, plus rovno trestné oznámenie, no pochybujem, že niečo dostanem naspäť. A verim tomu, že aj ten účet na ktorý to šlo už asi neexistuje.
A to sa stalo mne, čo heslo do bankingu mením pravidelne každý druhý týždeň...

[Trace]

žádnou havěť v něm nemá

nikdy nevíš. antivir je jen takové placebo dneska.

Mohl být napadený rovnou ten eshop a mít na platební bránu "špatný" odkaz.

Proto je dobré platit jednorázovými virtuálními kartami a fyzickými radši moc ne.

[dracekvo]

Úplně přesně do toho nevidím, ale pochybuju, že jen ze znalosti čísel na kartě lze vyrobit duplikát, kterým je pak možné platit v obchodech.
Ty čísla si může kdokoliv vyfotit, když tou kartou někde platíte.
Proč by se jinak zloději snažili složitě kopírovat karty při vkládání do bankomatu?

[JOBU]

K platbe na nete potrebuješ iba číslo karty, platnosť a CVV kód zozadu.

[sigurd]

Ako v ktorej banke- mňa to potom ešte prehodí na bránu banky, musím zadať kód, čo mi príde v sms z banky na môj mobil, potom ešte môj e-pin, a až potom prebehne platba.

[Rafael]

Zkusil jsem kdysi předplatné na idnes. Platba kartou, zkušební období za myslím 1Kč.
Jenže po něm si už sami začali stahovat měsiční poplatky. A dalo mi to celkem dost času se toho zbavit.

Pakatel, cca 50Kč, celkem blbost, ale od té doby jsem na nějaké podobné netové platby kartou hodně obezřetný.

[glock69]

Na platby na netu už používám eKartu od mBank. Před každou platbou zadám limit pro pro konkrétní platbu, po provedení platby mám limit zase 0 Kč...

[steve_michalik]

Já to třeba vůbec neřeším, platím plastovou kartu na netu téměř pořád mnoho let a zatím jsem s tím neměl problém. Dokonce mám kartu uloženou v chromu . Na druhou stranu jedná se o provozní účet, na kterém nikdy není moc peněz a všechny transakce mi chodí jako upozornění v mobilu.

Jinak ad ověření karty při platbách na netu. Opravdu základ celého "zabezpečení" jsou jen ty tři číselné údaje na kartě. Většina bank má nějaký další mechanismus (nyní i musí díky EU) ověření (SMS, potvrzení v aplikaci,...). Nicméně vypozoroval jsem jistou heuristiku. Pokud se jedná o nízké platby z časté IP tak někdy potvrzení vyžadováno není.
Další věc jsou pak platby letenek a hotelů. Tam jde o velké částky a chodí to rovnou. Kdysi mi někdo říkal, že na to mají tyto subjekty u karetních společností výjimku. Takže tři kila na alze je nutné potvrzovat mobilem, zatímco na letenku za třicet klacků stačí často pouze opsat pár čísel z karty.

[Rafael]

Přišel mi email, že jsem vyhrál nějaký drahý iphone. Na stránkách s logem Alzy jsem musel otevřít nějaký balíček a bylo to. Pak už jen stačilo vybrat si způsob dopravy a čas doručení. Vlastně ještě vyplnit krátký dotazník ohledně telefonů.
A zaplatit poplatek 1 euro. Ještě vyplnit formulář s údaji o mé platební kartě.

A tím jsem skončil protože úplně na konci bylo toto:

[Trace]

pokud je něco zadarmo, není to zadarmo

Ten text na snímku zřejmě vznikl strojovým překladem do češtiny a pravděpodobně stejným způsobem i mail který jsi dostal. Pokud text mailu obsahuje podivné fráze, můžeš oprávněně tušit podvod. Doporučuji mail hodit do spamu a v prohlížeči tuto stránku označit jako podvodnou a doufat že lump už neokrade další lidi.

jsou věci před kterými antivir nechrání (navzdory tomu že sleduje síťový provoz)

EDIT:
tenhle typ podvodu je typický pro chudší východní část světa, která takto okrádá lidi z bohatšího západu. Proto většina z nich používá (čím dál tím lepší) strojový překlad.

[vrabi]

Nějaká klička na platbu evidentně existuje, všechny platby z netu, kde zadává CVV musí autorizovat přes mobil a nic mu nepřišlo, nicméně částky se v pohodě strhávali bez jakéhokoli upozornění.
Přes prohlížeč v mobilu se nepřihlašuje, takže tuto variantu jsem vyloučil.
Jediné údaje, které si mohli okopírovat jsou údaje, které se zadávají v platební bráně, to zda byl napadený web a přesměrovalo ho to jinam a nebo zda byla napadená brána je v podstatě shodné.
Nicméně dopadl ještě dobře, na obchod jsem mu našel ještě recenzi od jiného nakupujícího, který dopadl hůř (viz. příloha níže) Věc je momentálně v reklamaci u banky a až se dovím, jak dopadl, dám vědět, na vyřízení mají údajně 35 dní.
Každopádně jsem mu doporučil to co mám já, pro platby na netu mít druhý účet u jiné banky, na kterém mám jen "provozní" hotovost a tudíž tam není co sebrat

[dracekvo]

Je "vyrobena" nová platební karta a s touto jsou fyzicky prováděny platby v nízké výši, tak aby nebyl nutný PIN

Ten tvůj příběh mi nějak nesedí. Nebo má ten tvůj kamarád napadeno víc věci, nebo si jen vymejšlí.

Psal si, že si na netu zkopírovali údaje z karty, udělali kopii karty a z ní fyzicky prováděli platby. Já chápu fyzicky jako něco hmotného. Tj. platby na terminálech. A stále si stojím za tím, že jen díky ofocení čísel na karte si nejsem schopen vyrobit kopii platební karty (chápeme tu plastovou kartičku s magnetickým proužkem).

A teď zase píšeš že:

Nějaká klička na platbu evidentně existuje, všechny platby z netu, kde zadává CVV musí autorizovat přes mobil a nic mu nepřišlo, nicméně částky se v pohodě strhávali bez jakéhokoli upozornění.

Takže bych si v tom udělal jasno jak to vůbec bylo.

[Krevel]

Já na platby na netu používám Revolut, registrace za pár minut a bez poplatků (samozřejmě potřebují ofotit doklady). Mám tam několik karet pro pravidelné platby za různá předplatné i s měsíčním limitem a během chvíle se tam dá vytvořit jednorázová karta, kterou používám třeba pro platby na eshopech. Alzu třeba platím přes aplikaci a Applepay (skryje údaje karty). Víc zabezpečit platby už asi nejdou.

[Kubak]

Nicméně vypozoroval jsem jistou heuristiku. Pokud se jedná o nízké platby z časté IP tak někdy potvrzení vyžadováno není.
Další věc jsou pak platby letenek a hotelů. Tam jde o velké částky a chodí to rovnou. Kdysi mi někdo říkal, že na to mají tyto subjekty u karetních společností výjimku. Takže tři kila na alze je nutné potvrzovat mobilem, zatímco na letenku za třicet klacků stačí často pouze opsat pár čísel z karty.

V případě, že se do platební brány posílají i fakturační údaje, které se shodují s majitelem karty, může dojít k výjimce, kdy není potřeba dvojité ověření.

Podobnou transakci "bez ověření" jde udělat u mimo-EU webů.

[vrabi]

to dracekvo:
Takže napíšu to ještě jednou a srozumitelněji, pouze potvrzená fakta:
- zaplatil ve svém PC na velkém českém eshopu platební bránou na kterou ho eshop přesměroval, platba v pořádku proběhla (platbu schválil kódem doručeným na jeho mobil), částka došla eshopu na účet (u podvržených bran jde většinou jen o vyplnění údajů z karty a částka nikam nedoputuje), zboží bylo v pořádku doručeno
- v platební bráně vyplnil běžné údaje, tedy částku, vlastníka, číslo karty a CVV, nic víc
- ještě ten den mu začali být strhávány z účty platby za sdílenou taxislužbu v řádech 50-300,-
- toto se dělo několilkrát denně až do doby než na to ve výpisu přišel a kartu zablokoval, pak to samozřejmě přestalo
- ve výpisu účtu se objevilo "placeno kartou" + čas a název firmy, která peníze dostala (Uber)
- kartou kromě velkých obchodů typu Kaufland a Tesco nikde dlouhou dobu předtím ani potom neplatil, z bankomatu kde by mu teoreticky mohli kartu zkopírovat nevybíral
- nechodilo mu žádné schválení platby na mobil jak by mu mělo, kdyby platil převodem nebo bránou, platby se mu strhávali bez jakéhokoli potvrzení (stejně jako kdyby platil nízké částky fyzickou kartou)
- PC jsem mu zkontroloval, žádná havěť, mobil má tlačítkový a pouze z něj opisuje kód pro potvrzení transakcí
- nebyl jediný komu se toto v tomto konkrétním obchodě stalo

[Teal'c]

V Uberu se pokud vím platí v aplikaci, ne fyzickou kartou. Prostě tam opsali ty čísla. Pokud jde o to potvrzení, tak záleží IMHO na platební bráně. Věci jako aplikace pro sdílené koloběžky, Uber ho asi nevyžadují, to by byl strašný opruz.
Jinak pokud nevyjde reklamace u banky, mohla by vyjít reklamace u karetní společnosti (Visa, MasterCard).

[vrabi]

Banka již peníze vrátila zpět na účet, s tím, že bude provádět vlastní šetření a případně může tyto peníze zase z účtu strhnout. O výsledku šetření bude informovat.
Jak to dopadne, budu informovat až bude výsledek doručen
Předpokládám, pokud bude Uber spolupracovat, že by neměl být problém doložit z lokace použití aplikace nemožnost být fyzicky na dvou místech zároveň

[bacil]

Co je to za dobrou banku, že vrátí prachy předem?

[vrabi]

Jak jsem psal, je to vrácení tak jenom na půl. Peníze mu přišli, ale k nim zpráva, že si je mohou sami bez jeho souhlasu zase zpět strhnout, pokud nic nevyřeší, nebo zjistí nějaké pochybení. Na vyřešení mají 35 dní od podání reklamace.
Tuším, že jde o Monetu, nicméně předpokládám obdobný scénář i u ostatních českých bank.