netes lopás bankkártyáról

 ( bzs | 2016. június 4., szombat - 12:17 )

Sziasztok.

A témakör-kategória lehet hogy nem megfelelő, de úgy gondoltam, hogy egy bankkártya jelszava szintén lehet ,,eszköz''. Mindegy.

Egy orvos barátom/ismerősöm a facebook elnevezésű portálon megosztott egy hírt, ami saját balszerencséjéről szól.
Inkább idézem.

"
Figyelem! Csalás és velem történt! Egy teljesen ismeretlen cég leemelt a kártyámról némi pénzt. Nem sokat, de bosszant. Körbekérdeztem, és ez másokkal is előfordult, ötven dollárok, ha valaki sokat költ kártyáról föl sem tűnik.

Tehát: • Tranzakciós partner:
FACEBK .(szerk: itt volt a szám....)

Semmi köze a facebookhoz, egy írországi rablóbanda (állítólag) Figyeljetek! És persze osszátok!

Mellesleg nem lenne hülyeség egy olyan lehetőség, hogy letilthassunk akárkit, hogy a kártyánkról leemelhessen pénzt!
Tudtok olyan bankról, amelyik ezt lehetővé teszi?
"

Az a kérdésem elsősorban, hogy egy ilyen jelenség mitől származhat.
A doki window$ rendszereket használ, mely szerintem eleve veszélyes, de persze a M$ mossa a kezeit. Tranzakcióknál nem tudom, hogy a bankok milyen titkosítást használnak (SSL stb), miként történik mindez. Mivel lehet védekezni hogy ilyesmi ne történhessen, hogyan lehet felismerni a gyanúsnak tűnő webáruházakat, azaz gyanútlan júzernek miket kell betartania, milyen szabályokat, melyeket a bankok sosem mondanak el?

Így ennyi a dolog, a doki nevében is kösz az információkat, és külön köszönet azért, ha valaki esetleg úgy fogalmaz, hogy egy informatikai dolgokban kevésbé jártas ember is megértse!

ui.
gyanúm szerint a dózer (vö. windóz) valószínűleg benyelt valami trójait, ami kitolta a tranzakciónál a hozzáférési cuccokat.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ezekszerint van valaki olyan (ütödött), hogy a Facebookhoz csatolja a hitelkártyáját? :P

Gondolom:

https://secure.facebook.com/settings?tab=payments&section=history

Ezen a linken neki a táblázat nem üres. :D

Olyan is van?
Arról már hallottam, hogy a fb tartalmaz néhány olyan marhaságot, ami eleve trójai-gyanús.

---
--- A gond akkor van, ha látszólag minden működik. ---
---

Én a haver küld linket és muszáj rákattintanom és telepíteni a chrome/firefox bővítményt, hogy aztán a többieknek is küldhetem ugyanazt a szemetet (tm)-ről hallottam, gondolom, ha be van állítva a kártya fiókban jövedelmezőbb célokat is szolgálhat. :D

> Ezekszerint van valaki olyan (ütödött), hogy a Facebookhoz csatolja a hitelkártyáját? :P

Például mindenki, aki Facebookon hirdet? :D

"Semmi köze a facebookhoz"

Ahhoz látni kellene a teljes sort, mert én látom annak esélyét, hogy egy Facebook charge pont Írországból jön. :)

(10+ éve fizetek kártyával, nekem egyszer volt ilyen akkor is "magyar cég" (PPO) :))

Persze, van esélye. Meg annak is, hogy nem feltűnő tranzakcióazonosítót használnak.

Szerintem az előbbi lesz, valaki vett valamit az énkicsifarmba ;).

(Most azért nem adom hozzá a kártyám a facebookhoz, hogy megnézzem miként PREAUTH-olják, de ebből úgy tűnik hasonló. :))

Hirdetés után például az alábbi szöveggel terhelnek: FACEBK *HUFHVxxxxx

Ha lenyúlták a kártyaadatokat, akkor nem apró összegekkel szoktak szórakozni... és főleg nem a Facebook felé fizetnek (a bank azonnal megmondja, hogy a merchante azonosító szerint honnan jött a terhelés). Ha tippelni lehet, akkor esetleg a gyereket kell megkérdezni, hogy nem-e játszott valamit tableten, ahol megvett valamit... :)

olyan embereknek minek bankartya aki minimalis infoval sem rendelkezik rola?
a banknal be lehet nyujtani illetektelen kartyatranzakcios jelentest. ilyenkor kivizsgaljak az esetet es ha megalapozott akkor visszafizetik.

Olyan nagy fantazai azert altalaban nem kell hogy kitalaljuk mi tortent. Eleg egy megpreparalt bankautomata/benzinkut/uditoautomata/$random_vending_machine.
Vagy a doktor urnak kedve tamadt huncutkodni es felment a rubmaps.com/$random xxx_site ahol eleg gyakran elofordul az ilyesm. Esetleg fizetett a Pistike Bt. honalpjan kartyaval amit mar 4 eve felnyomtak(de a LAMP rendszergazdanak meg nem tunt fel), es szivarogank ki a bankkartya adatok... Nem kell tulmisztifikalni, nekem az a tapasztalatom hogy a bankok eleg jol kiszurik az ilyesmit, ha megsem akkor tudsz reklamalni. De hogy valami hasznosat is irjak.

"Mivel lehet védekezni hogy ilyesmi ne történhessen"
Kell egy netkartya vagy akarhogyis hivjak az adott banknal, ehhez elkulonitett szamla tartozik, mielott hasznalni akarod a kartyat ratoltod az adott osszeget a szamlara. Igy ha ki is szivarog a kartyad adata nem tudnak fizetni vele mert nincs mogotte fedezet. Szokott lenni olyan megoldas is amikor generalnak neked egy bankkarytaszamot ami csak 1-2 honapig ervenyes es ezt hasznalod a neten. Esetleg paypalt hasznalni ahol csak lehet.

+1, paypalt ahol lehet. VPS-emet is azzal fizetem, pedig körülményesebb havonta manuálisan fizetni, mintsem hogy leemeljék automatikusan a számlámról.

Nem ritka az ilyen, velem is megtörtént. Egy vasárnap sétáltam a barátaimmal és kaptam 2 SMS-t, hogy -200 euro majd -60euro valamilyen angol banktól. Mivel vasárnap volt minden OTP zárva így telefonon először felfüggesztettem a kártyát hátha csak én felejtettem el valami vásárlást. Este megbizonyosodtam, hogy nem telefonon megreklamáltam a tranzakciót és letiltattam a kártyám és kértem egy újat, mert hogy a kártya nem nálam volt, nem lopták el. Teljesen korrektek voltak, mondták 30 nap a kivizsgálás ideje. 2 hét múlva kaptam egy mailt, hogy jogosnak találták a reklamációm, visszautalták a pénzt sőt még a kártyacsere díját is. Azóta csak bankban található ATM-ből veszek ki pénzt de közel sem biztos, hogy így szerezték meg.
Jah és az SMS értesítőt meghagytam bár sokan mondják nem ér meg havi több 100 ft-t.

A kártyaadatok jó eséllyel valami nem biztonságos online fizetőfelülettől kerülhettek ki.

1., Semmilyen weboldalon közvetlenül nem írunk be kártya-adatokat. Fizetés csak megbízható, ismert fizetési közvetítőn keresztül (PayPal, itthon OTP, Cib - Apropó! A Simple-ről mi a vélemény?)
2., A fentieket is inkább csak külön webkártyával (ezt már mások is említették, annyi pénzt teszel rá, amennyi épp kell)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

> A Simple-ről mi a vélemény?

Simple == OTP. Teszi a dolgát, eddig nem volt vele bajom.

Azt láttam, h az OTP áll mögötte, de akkor miért nem ér meg nekik egy ugyanolyan EV SSL tanusítványt, mint az otpbank.hu?

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

"Semmilyen weboldalon közvetlenül nem írunk be kártya-adatokat"
Azért ha, ez így kicsit izé... Nem kell túlmisztifikálni. A bankkártya egy nem biztonságos eszköz. Kb. annyira biztonságos, mint egy pénztárca. Vagy még annyira se. Úgy is kell kezelni. Túl sok pénz ne legyen benne/rajta. Nem elsősorban a kár csökkentése miatt, hanem hogy a terhelés sikertelen legyen. Asszem én havonta ezer forinttal többet küldök át rá, mint a rendszeres terhelések, így mindig van fedezet a párszáz forintos appstore-os vásárlásokra, így nem is kényelmetlen.

OTP mar biztonsagosnak szamit?

Engem párszor hívtak a bankkártya biztonsági főigazgatóságról , ha valamit vásárolsz ami nekik gyanus lockolják a kártyád és nem tudsz vele semmit csinálni amíg még beszélnek veled. Bár ha annó az ügyintéző sikeresen ejtette volna ki a netflixet és nem netrisk lett volna belőle megússzok egy kártya cserét. Ilyen szempontból szerintem túl van biztosítva :)

Ez OK, en arra gondoltam, hogy elvileg azert jo a bank oldalan megadni a kartyaadatokat, mert igy nem kerul a kereskedo birtokaba es nem tudja kesobb ujra megterhelni. Az OTP viszont megcsinalta, hogy eltarolta a kartyaadatokat (hoppa), sot a kereskedo valahogy kesobb CVC kod, megerosites, minden nelkul ujra terhelhetett (hoppahoppa), sot a sajat, OTP-s kartyabirtokosainak visszautasitotta a charge-back eljarast (hoppahoppahoppa).

Legalabbis ezt irtak az ujsagok annak idejen, szemelyes tapasztalat nincs.

Keress légyszi egy forrást, mert amit leírsz, az tipikusan kétszereplős fizetésre lehet csak igaz, ahol közvetlenül a kereskedőnek adod meg a kártyaadatokat.

Ez nem a "PPO" sztori volt 2008/2009-ből, vmi magyar online autopalyamatrica vásárlós oldal? Az volt a sztori h. ha volt bármi tranzakciód velük, akkor sunyiban eltárolták a bankkártya adataidat (szigorúan csak a Te kényelmes érdekében). Aztán egy napon úgy gondolták az addigi free szolgaltatasukat fizetőssé teszik, és minden korábbi ugyfeluket azok megkérdezése nelkul előfizezőjükké tettek. Az éves tagsági dijat meg sunyin csendben lehúzták a bankkártya adatok letárolásával. Asszem nyitva voltak a tranzakciók, így az új terhelésről nem kaptál már kulon ertesítést
--
WP8.x kritika: http://goo.gl/udShvC

Az answ altal is linkelt cikkbol (http://www.bankkartya.hu/hirkategoria/hirek/cikk/7689-ppo-botrny-az-otp-bank-vlaszai-a-bankkrtyahu-krdseire) az derul ki, hogy az OTP tarolta az adatokat, a kereskedonek meg joga volt vonni kesobb is. Ezt a fajta megoldast a recurring (ismetlodo, pl. havi elofizetesi) dijak beszedesere alakitotta ki az OTP. Ez eddig OK es biztos vagyok benne, hogy jogilag minden rendben volt a bank reszerol, viszont

- Azert is hivtak akkoriban botranynak es azert is vizsgalodott legalabb harom fele hatosag, mert az atlagember nem szamit ra, hogy ha a banki oldalon adja meg az adatait, akkor kesobb is megterhelhetik.

- Nem tudom volt-e/mekkora volt a figyelmezteto felirat a bankos fizetesi oldalon, hogy a kartyaadatokat eltaroljak a kesobbi terhelesek automatikus kiegyenlitesehez. Mindenesetre a bank egyik valaszabol: "A szolgáltató felületén a regisztráció során – egy normál internetes fizetéshez hasonlóan – a kártyabirtokos átirányításra kerül a banki oldalra, és ott adja meg a kártyájának adatait, amivel a későbbiekben a tranzakciót ki kívánja fizetni. " Tehat hasonloan. Ez meg barmi is lehet.

- A banknal eltarolt kartyaadatokat nem lehetett torolni, csak a kereskedo kezdemenyezhette ezt. Az viszont nem epitett ilyen kartyaadat torles inditasa funkciot a weboldalaba. Biztos kifelejtette...

- A bank total mellebeszel a "hogyan kerulhetik el az emberek az ilyesmit" kerdesnel.

Mindezek utan (es anno a sok errol szolo diskurzus utan) bennem, mint nem bankos szakemberben az maradt meg, hogy nem tudhatom mi fog tortenni, ha az OTP feluleten megadom a kartyaszamom. Jelzi-e a bank a sajat feluleten, hogy a kereskedo keresere most el fogja tarolni az adatokat?

Teljesen eletszerutlen, hogy minden kajarendeles elott elolvassa valaki a 40 oldalas aszf-et, hogy elozo nap ota valtozott-e, hatha rautalo magatartassal epp hozzajarul, hogy a kajaszallito oldal orok hozzaferest kerjen es kapjon a kartyajahoz. Teljesen legalisan.

Teljesen eletszerutlen, hogy minden kajarendeles elott elolvassa valaki a 40 oldalas aszf-et, hogy elozo nap ota valtozott-e, hatha rautalo magatartassal epp hozzajarul, hogy a kajaszallito oldal orok hozzaferest kerjen es kapjon a kartyajahoz. Teljesen legalisan.

Itt a lényeg. Erre sok hülye még védi is ezeket a maffia-jellegel működő szervezeteket. Kedvenc bullshitjük a "miért nem olvastad el az ászf-et, benne van minden!" faszság. Volt pár éve 1 tanulmány, ha minden ilyesmit elilvasol, az kb évi 76 napot tenne ki. Nyilván életszerű..... a tetves jogászok meg elvégezték a napi munkájukat, a kenyeradojuk segge védett minden lehetséges irányból és módon. És ez a világ orszagainak hatályos törvényei szerint így jó!

http://techland.time.com/2012/03/06/youd-need-76-work-days-to-read-all-your-privacy-policies-each-year/
--
WP8.x kritika: http://goo.gl/udShvC

Alszámla, ahhoz rendelni a kártyát, csak annyit tartani rajta amennyit költeni akarsz.
Ma már szinte mindenhol van net, átvezetést indítani gyerekjáték, és saját számlák közt szinte mindenhol ingyenes.

"gyanúm szerint a dózer (vö. windóz) valószínűleg benyelt valami trójait, ami kitolta a tranzakciónál a hozzáférési cuccokat."

Túlmisztifikálod a dolgokat...

Elég a bankkártya adatainak birtokában lenni, és bármikor le lehet emelni pénzt - amennyiben van rajta. Ezek az adatok pedig simán rá vannak írva a kártyára, nagy része dombornyomott is, (hogy még könnyebb legyen leolvasni :) tehát az végül csak 3 db szám védi csak a kártya mögött álló számládon lévő pénzt. Ezt is simán le lehet lesni is akár.

Sőt, igen nagy nevű szállodában kérdés nélkül tárolják a kártyád adatait, hogy Téged ne zaklassanak később ilyesmivel... Érted? a Te kényelmed érdekében. köszi.

De a neten még egyszerűbb a helyzet, mert amint megadod valahol a kártyád adatait, akkor máris elmentheti (megjegyezheti) minden érintett:
- a weboldal, ahol megadtad
- a böngésződ
- (esetleg a gépeden lévő keylogger ;)

Ezek közül bárki nem kezeli ezt megfelelően, akkor könnyedén kerülhet 3. fél kezébe. Ő meg azt csinál vele, amit nem szégyell.

Szóval nem kell itt sehol semmit feltörni, ahhoz hogy megtudják a bankkártya adataidat, megadod azt Te magad ;) (akinek nem inge...)

Ezellen egyetlen dolog véd - amit már többen is javasoltak - netkártya:
csak neten használható, és csak akkor teszel rá pénzt, amikor fizetni akarsz vele.

És amit már szintén mások is írtak: jelezni kell a banknak, és jó eséllyel visszakapod az így lopott pénzt.

--
Disclaimer: I am not speaking on behalf of my employer, this is my personal opinion

zrubi.hu

En mindig lekaparom a CVV/CVC kodot a kartyaim hatuljarol, igy nem lehet leolvasni akkor sem, ha esetleg eloveszem valahol. Netes vasarlashoz meg ugyis fel van irva. (Tudom, vannak olyan netes boltok, amik nem kernek CVC kodot, termeszetesen tovabbra is el kell olvasni a havi kivonatot.)

Köszi, ezt a doki is érti majd.

Jómagam már amikor bejöttek az internetes fizetések, nem hiszek benne. Amikor fizetni kell, megkérek valakit és inkább többet fizetek neki, minthogy buzeráljon egy bank. Ja, bankban nem tárolok pínzt. Csoda?

---
--- A gond akkor van, ha látszólag minden működik. ---
---

Tőlem is nyúltak le nemrég pénzt, ehhez elég volt annyit tennem, hogy a booking.com-on foglalt szállás foglalóját a booking.com-on fizettem be. A szállások ilyenkor 1az1-ben megkapják az összes kártyaadatot, botrányos. Elég, ha ott rossz kezekbe kerül. Én meg trehányságból hagytam a virtuális számlán valamennyi pénzt. Visszakaptam mindet végül, mert azonnal megreklamáltam a banknál. Skrill meg másik hasonló pénztároló oldalalra töltöttek fel róla pénzt, jött róla azonnal sms szerencsére.