Bankkártya adatok kikerülése kérdés

Sziasztok!

Ma reggel 2.15-kor hívtak egy hetvenes számról, félálomban kinyomtam.

Reggel rákerestem a számra a bankomé (CIB).

Ránéztem a netbankra és látom, hogy az egyik kártyám zárolva van.

Felhívtam az ügyfélszolgálatot ahol közölték, hogy 2.05-kor valaki próbálkozott az Amazonon egy 0$-os vásárlással, ezért zárolták a kártyámat, majd 6.10-kor ismét próbálkoztak venni valamit 11 000 Ft-ért.

Kértem, a kártya tiltását és új kártyát, azt mondta az ügyintéző hölgy, mivel ők zárolták a kártyámat ezért az új kártyáért nem kell fizetnem.

 

Ezt a kártyát kizárólag bolti vásárlásra használom, soha sehol semmilyen körülmények között nem adtam meg online felületen.

kb. 2006 óta használok online vásárlásra virtuális kártyát.

 

Az lenne a kérdésem, hogy van-e olyan adatbázis (google nem volt a barátom, vagy nem jó volt a keresőszó) mint az e-mail címek esetében, ahol leellenőrizhető, hogy kikerült-e valamilyen adatszivárgásban a kártyám adata.

Hozzászólások

Nekem inkább úgy tűnik valamelyik boltban szépen klónozták a kártyádat... erre nincs adatbázis (szerintem)

Mit értesz klónozás alatt?  Online vásárláshoz a kártyaszám, lejárat és CVC kell, elég egy jó felbontású kamerával felvenni.  Ugyan európai elfogadók esetén PSD2 miatt kötelező az erős authentikáció, de ha másutt lévő webshopban fizetnek vele, akkor ennek nincs jelentősége.

"Ezt a kártyát kizárólag bolti vásárlásra használom, soha sehol semmilyen körülmények között nem adtam meg online felületen."

A kártyaadataid felírták és megpróbáltak olyan helyen és összegben vásárolni vele ami nem kér erős auth-ot... az amazon pl a kártya regisztrációjakor egy $0-s tranzakciót indít, ezzel ellenőrzi hogy a kártya mögött van valódi számla.

 

Emlékszel-e olyan helyzetre mikor kiadtad a kezedből a kártyát és az eltűnhetett néhány másodpercre a szemed elől? Pl boltba a terminál a pultban bent és átadtad, vagy pincér elvitte azzal az indokkal hogy a terminált nem tudja az asztalhoz kivinni?

"Emlékszel-e olyan helyzetre mikor kiadtad a kezedből a kártyát és az eltűnhetett néhány másodpercre a szemed elől? Pl boltba a terminál a pultban bent és átadtad, vagy pincér elvitte azzal az indokkal hogy a terminált nem tudja az asztalhoz kivinni?"

Nem emlékszem ilyenre, mindenhol érintéses fizetés van ahol fizetni szoktam és én érintem a kártyát.

Nem véletlenül nem kérik már el sehol a kártyádat fizetéshez, hanem neked magadnak kell odaérintened vagy lehúznod az olvasóban/terminálban. Szerintem az eladókat pincéreket pénztárosokat kitanították már az ilyesmire, h. ne kérjék el a kezedből a kártyát. Nem is adnám oda egyiknek sem. Rég elmúltak már azok az idők, amikor az ember bátran kiadta a kártyát a kezéből. Faszság is volt így tenni már akkoriban is, de azóta legalább biztonságtudatosabb lett az átlagmagyar.

Ez a "sehol" azért nem igaz. USA-ban az a szokás, hogy a pincér hátraviszi a kártyát, és nem is kérnek PIN kódot. Megkapod az SMS-t, tehát úgy néz ki, hogy a tranzakció megtörtént, de még ez sem teljesen igaz. Visszahozza a pincér a kártyát, és egy papírt, amit alá kell írnod (ez az aláírás van PIN kód helyett). Továbbá erre a papírra írod oda, hogy mennyi borravalót adsz. És aztán ezzel a borravaló mennyiséggel még később, amikor már nem is vagy az étteremben, még megnövelik a tranzakció értékét, és erről már nem is kapsz külön SMS-t.

Ez a folyamat egyébként kb. majdnem minden lépésében ellentmond annak, hogy logikusan és biztonságosan nézzen ki a dolog, de attól még így csinálják :D

Ez magyarországon is létezik. offline kártyás fizetés a neve. Pl benzinkutakon is használják ha nincs net. Kizárólag dombornyomott kártyával megy mert csak azt tudod az indigóval felmásolni a papírra

https://www.mobiletransaction.org/how-to-accept-credit-card-payments-of…

Engem speciel borzasztóan zavar, hogy újabban a boltban a pénztáros nem veszi el a SZÉP-kártyámat fizetéskor és nekem kell lehúznom meg adminisztrálnom a vásárlást (ez néhány hónapja pl. még nem így volt, azóta viszont következetes, ezért biztosan változott valami a konkrét bolthálózatban), és ha kérem, hogy vegye el és csinálja, sem teszi.

Tavaly még nem én jártam vásárolni (meg a SZÉP-kártyát akkor nem is lehetett még bevásárlásra használni, de remélem ez sokáig megmarad), idén februártól viszont csak én járok, így én most szembesültem vele, nagyon zavaró (egyébként februárban még lehúzta az eladó, erre emlékszem, Aldi).

De akkor miert bohockodnak meg egyaltalan vele?

Itt, Svedorszagban is van egy csak elelmiszervasarlasra hasznalhato szamla+kartya. Havonta automatikusan rateszek X koronat az adozott penzembol, a ceg hozzatesz X koronat, amibol lejon a normal ado. Hat, gratulalok. Azzal ideologizaltak meg allami szinten, hogy ez arra osztokeli az embereket, hogy ebedidoben menjenek ebedelni, es ne hozzak magukkal etelhordoban a kajat (ami amugy itt nagy szokas akar E es C szinteken is).

Nyilvan mindket orszagban eros lobbitevekenyseget folytat a kartyakibocsajto, es a kezelo bank is...

Nem teljesen értem a kérdést, nekem megéri, a jelenlegi helyzetben különösen. Kifejezetten sok cafeteriát kapok, amit gyakorlatilag egészben a SZÉP-kártya egyes zsebeibe tolok (ez eddig is így volt), és most folyamatosan kizárólag abból intézem az élelmiszer bevásárlást. Szerintem ez egy fantasztikusan jó dolog, amit preferálnék állandó jelleggel is.

nekem megéri

Neked pont ugyanígy megérné akkor is, ha csak szimplán annyival kevesebb adót kérnének tőled a munkabéredből, mint amennyit most így elvileg megspórolsz. Az államnak pedig sokkal-sokkal jobban megérné, mert egy rakás tetves adminisztrációt meg lehetne spórolni ezen az úton. Persze értjük, akkor nem lehetne ezen a címen is a haveroknak állami pénz kisíbolni a közösből...

Szerintem ez egy fantasztikusan jó dolog, amit preferálnék állandó jelleggel is.

Szerintem meg ez egy ordenáré nagy átverése az állampolgárnak; ezek szerint neked is sikerült beszopnod. Azt hiszed, hogy ez jó, miközben csak szimplán pocsékolják az állami forintokat. Amiket amúgy hasznos célokra is lehetne költeni - mondjuk pl. még azt is odaadhatnák adókedvezményként!

amazonon CVC sem kell! meg nev se. oda csak a kartyaszam es a lejarati datum eleg...

a CVC kerese opcionalis, ha jol tudom ha azt valasztja a kartyaelfogado hogy nem keri a cvc-t es visszaeles van akkor ove a kar is, de az ilyen amazon meretu cegeknek igy is megeri.

klonozas: eleg egy jobb kamera (ma mar alig kapsz 4Mpixel alattit), vagy egy androidos telefon nfc olvasoval es egy appal, par eve volt valahol hir, kiprobaltam en is, tenyleg eleg a kartyat a teleofn kozelebe rakni es mar ki is irta a kartyaszamot. a datumot ugy emlexem nem, de azt lehet probalgatni, nincs olyan sok variacio :)  ezzel a technikaval valaki vegigmaszik parszor egy tomott villamoson kezeben egy ilyen teloval aztan mar be is gyujtott par 100 kartyat...

amugy is minden penztar be van kamerazva, mindenfele okokbol, es meg az is lehet, hogy nem a bolt vagy az alkalmazottak nyultak le a kartyadat, hanem a kamerarogzitot tortek fel, sok helyen ki van logatva a netre, hogy a fonok otthonrol is tudja nezegetni, a biztonsaguk meg hat...

én azt se értem, minek kell fizikai kártya

eddigi gyakorlatom is az volt, hogy megkaptam a kártyát, felvittem apple paybe, a számát leírtam bitbucketbe, majd szétvágtam és megsemmisítettem

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Szerkesztve: 2022. 04. 26., k – 13:22

Amazon ráadásul támogatja a kártyatolvajokat, nekem is volt egyszer ilyen, és nem voltak hajlandóak elárulni hogy melyik account/email/név/vagy akármi használta a ÉN kártyámat, mert hogy adatvédelem.... pfff elmehetnek a b*dös p*csába az adatvédelmi policijukkal együtt. Nekik csak a pénz kell, nem érdekli őket, hogy lopott kártyáról jön.

 

a jogos kártyatulajdons ezzel szemben panasz tehet a kibocsátó banknál, azok 30 nap múlva kérdeznek valamit... válasz megy azonnal, 30 nap múlva újabb kérdés. pfff ugyan csak 12$ kárt tudtak okozni, ezért nem voltam hajlandó a bürokratikus policijuk szerinti szopórollerre felülni.

de innentől a bank is meg az amazon is elmehet a pics*ba.

 

szerintem.

 

Ehhez képest vicces, hogy EU-ban meg téged szivatnak az ezerféle balfaszul megvalósított internetes biztonsági kód, meg 3 féle authentikávió és jováhagyás egy kurva ebédrendeléshez, de ha ámerikában használják a kártyádat, azzal nincs semi gond, senki nem kérdez semmit.

 

Szóval esetedben köszönd meg a bankodnak, hogy nem engedte lehúzni a kártyádat... :)

Amazon ráadásul támogatja a kártyatolvajokat, nekem is volt egyszer ilyen, és nem voltak hajlandóak elárulni hogy melyik account/email/név/vagy akármi használta a ÉN kártyámat, mert hogy adatvédelem.... pfff elmehetnek a b*dös p*csába az adatvédelmi policijukkal együtt.

Ebben a formában semmi közöd ahhoz az információhoz. A nyomozóhatóságnak van.

:)

Nekem ezzel az ultra biztonságos dologgal az utolsó tapasztalatom ez volt:

Yubikey oldalán fizetek 22 óra körül. Kéri szépen 3d secure keretén belül beállított jelszót, utána megjön sms-en az otp, minden szép.

Reggel észreveszem, hogy jött sms a banktól, hogy nem válaszoltam a tranzakció után nem tudom hány perccel küldött sms-re, letiltották a kártyát, 24 órán belül azért válaszoljak, s akkor újból aktiválják. Ugyanarra a telefonra jött nyilván ami a 3dsec-en is be van állítva...

Szerkesztve: 2022. 04. 27., sze – 14:03

Az elmúlt két hétben a feleségem és az anyósom 1-1 kártyáját tiltották (CIB mindkettő).

A feleségemnek a virtuális kártyáját tiltották: online fogadás.

Anyósomat szintén éjjel hívták: Amazonos vásárlás. Ő sosem vásárol online, nincs is számítógépe, sógorom fizeti a közületi számláit a kártyával (ez nem virtuális).

Gyanús, hogy valami adatszivárgás történt.

Mivel a virtuális kártyával boltban nem lehet fizetni a posztindító pedig csak boltban fizetett a kártyával, ezért vagy egy olyan vállalkozástól kerültek ki az adatok, amelyik online- és fizikai boltot is üzemeltet, vagy a CIB-től.

Fiam telefonját költöztettem új készülékre. Backup / restore a szokott módon, utána gyorsan meg akarta venni a vonatjegyet. MÁV app nem indul. Letöröljük (adatokkal együtt), reinstall, újra belépés (sima usernév + jelszó). Már veszem elő a bankkártyámat, hogy úgyis be kell írni újra. Nem kellett, simán lehetett vele fizetni.

Elég durva, hogy a bankkártyám fizetéshez szükséges összes adata egy vélhetőleg trehányul védett MÁV központi adatbázisban van. Azt reméltem, legalább valami köztes szolgáltatónál, vagy a készüléken egy biometrikus védelem mögött, de sajnos tévedtem.

Pár éve foglaltam Booking.com-on szállást Bécsben és a virtuális kártyámmal fizettem. Amikor átvettük a szállást a tulajnő elővett egy vaskos mappát, abban fellapozta a foglalásom, elkérte kártyám és összehasonlította a kinyomtatott Bookingtól kapott adatokkal: kártyaszám, név, cvc. Nézegette is a "virtuális" kártyát, mert az dombornyomottnak számított virtuálisan (a dombornyomott is azért olyan, hogy könnyen le tudják másolni fizetéskor). 

A lényeg: a Booking továbbítja(otta) a kártyaadatokat a szállásszolgáltatóknak... 

 

"If needed, you can call us to enable the View CVC feature. Keep in mind that, for security reasons, we can only show a CVC code once."

Annál a nénjénél tömegével ki volt nyomtatva minden kártyaadat. Mivel azon a kártyámon sosincsen pénz, csak vásárláskor, nem izgultam miatta. Részemről amúgy inkább a MÁV, mint a Booking.

erstenek a virtualis kartya default limitje 1Ft. hasznalat elott kell megnovelni. ennyit meger a biztonsag, hogy csak akkor tudjak ellopni a penzem, ha epp eltalaljak az idopontot amikor epp vasarolok. goodluck! :)

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Igen, ez nagyon durva. A booking.com miatt lecseréltettem én is a kártyámat egyszer. Egy foglalás után döbbentem rá, hogy kiadták lazán a kártyaadatokat. 

Nem voltam elég figyelmes. Az a vicces, megfigyeltem, hogy egy előfeltételezéssel vagyok általában, hogy hogyan működik a világ.
Amikor ilyen dolgok vannak, azt nem veszem észre elsőre, mert ez annyira durva, hogy elő sem fordulhatna, nem keresek ilyet...

Amúgy a bank teljesen normális volt, ingyen cserélték a kártyát, miután elmeséltem, hogy hogyan jártam. Ők is problémásnak látták a dolgot.

off:

Soha se értettem ezt a hozzáállást. Hajnalban hív valaki és kinyomod. Bele se gondolsz, hogy valami fontos lehet. Esetleg egy rokon hív egy nem ismert számról mert épp haldoklik.

Egy ismerősöm mesélte annó, hogy valaki dörömbölni kezdett az ajtaján. Éppen ebédelt. Gondolta majd megunja, nem foglalkozott vele, hisz épp ebédelt. Végül mikor sokadjára dörömböltek és nagy nehezen kiment, derült ki, hogy valami rokona próbált segítséget kérni tőle mert épp rosszul volt...

Attól függ hogy felétek milyen a nem vágyott zavarás aránya. Ha hetente felhív hajnalban egy Telemarketinges vagy ugyanakkor becsonget egy iskolába tartó gyerek szórakozásból (ugyanitt vas kéregető és jehovások is behelyettesíthetők), akkor te is kihúznád a csengőt és kikapcsolnád a telefont.

Én VIP- és automatikus ne zavarj módot használok a telefonon, azaz nincs kikapcsolva, de csak néhány ember tud hívni.

"Soha se értettem ezt a hozzáállást. Hajnalban hív valaki és kinyomod. Bele se gondolsz, hogy valami fontos lehet. Esetleg egy rokon hív egy nem ismert számról mert épp haldoklik."

Nem automatikusan nyomom ki a telefont, de erre a hívásra nem is emlékeztem, csak mikor reggel megnéztem a telefont ugrott be, hogy mintha tényleg csörgött volna a telefon.

Szerkesztve: 2022. 04. 28., cs – 09:03

"semmilyen körülmények között nem adtam meg online felületen."

..és ezt a kártyát a mobilban sem használtad soha mondjuk "Play, v. Apple Store"-os fizetéshez? - Csak azért érdekel, mert engem a mobilon tárolt bankszámla-kártya adatok miatt, - már a gondolatára is, - kiver a víz... (Tudom, ez "indokolatlan" és egyéni para... :) )

Velem április 16-án szombaton este fél 8-kor történt meg ugyan ez. Az OTP-s ügyfélszolgálatos azt mondta azért tiltotta le az OTP biztonsági szolgálata a kártyával történő internetes fizetés lehetőségét, mert egy internetes oldalon (általam teljesen ismeretlen oldal) akartak vele fizetni. Kérnem kellett hogy tiltsa le a pénzintézet és csináltam egy másikat. A gáz az volt csak, hogy a feleségem társkártyájával kellett léteznem egy hétig (jó, ez csak vicc) meg az, hogy a kártya átvétele miatt 70 percet kellett a szegedi bankfiókban várakozni (szerződés módosítás másik kártyaszám miatt).

A CVC kódot érdemes megjegyezni, és lesatírozni egy fekete alkoholos filccel. Elég a bolt biztonsági kamerája, hogy a kártya adataidat ellopja valaki. És csalók mindenhol vannak.

Alkoholos filc helyett még jobb lekaparni amennyiben a papír részen van, mivel így akkor sem tudnak vele fizetni online ha elveszett.

A személyes használat vásárlási limitét pedig érdemes szintén levenni egy random számra ha úgyis csak a napi zsemléhez van rá szükség és minden más a virtuálison megy.

Bátrabbak átvágják vagy kiégetik az antennáját és akkor még érintésmentesen sem lehet 15-öt lehúzni róla PIN nélkül.

RFID nem boldogul vele, gondolom az NFC sem, bar biztos lehetne epiteni olyan olvasot ami tobb jelet szet tudja valasztani, akar tobb antennat hasznalva

fizeteskor nyilvan nem muxik ha 2 kartyat is lat egyszerre a POS, de ha csak ellopni akarjak, szerintem meg lehetne oldani...

Mind az RFID-nál mind az NFC-nélnvan a protokolban collision-avoidance algoritmus amivel az olvasó külön-külön meg tudja szólítani a hatósugarában lévő kártyákat.

Sajnos RFID esetén különösen a legolcsóbb kínai olvasók és kártyák nem mindig implementálják a collision-avoidance protokolt.

NFC esetén, különösen a bankkártyák esetében szigorúbban veszik a szabványnak megfelelést, ezért nem hiszem hogy itt ez probléma lenne, inkább üzleti döntés nem megterhelni a kártyát ha nem egyértelmű melyiket kellene.

RFID nem boldogul vele

Ha van random várakozási idő adás-ütközésnél, akkor az RFID is boldogul ezzel, része a szabványnak, hogy egy egész kosarat egyszerre ki lehessen olvasni.

Azt hiszem, a kártyák protokolljában ez nincs benne, mert nem volt tervezési szempont, hogy fizetésnél több kártyával tudjon beszélni a terminál.

Bátrabbak átvágják vagy kiégetik az antennáját és akkor még érintésmentesen sem lehet 15-öt lehúzni róla PIN nélkül.

Én elég régóta használok NFC/PayPass/whatever fizetést, egyszer se ebből visszaélés. Két éve kérdeztem több ismerőst is, mert érdekelt a legenda, senki másnak nem volt ilyen visszaélése.

Ha lett volna, akkor

a, a POS tulajdonosa csak téged húzott le, meg tudod reklamálni, jó esélyed van visszakapni a pénzt, de miért tenne ilyet, a szimpla tévedésen kívül?

b, a POS tulajdonosa sokakat lehúzott így, ami már komolyabb BTK cselekmény, jól azonosítható elkövetővel, a banktól visszakapod a pénzed.

Szóval vélhetően azért nincs tömegesen ilyen visszaélés, mert nagy kockázattal keveset lehet nyerni.