Díky moc za článek! Nenažrané banky už neví, kde by se napakovaly. Ze židle mě nadzvedla reakce z banky: "Zneužití údajů se tedy bere jako vina klienta, který neochránil údaje na své kartě." To si snad dělají legraci?
Můj pohled na věc: Banky a karetní společnosti uvedly na trh platební prostředek, který je extrémně snadno zneužitelný. V každém kamenném obchodě, kde zaplatím kartou, mají k dispozici moje číslo karty a expiraci. S těmito údaji lze v pohodě zaplatit na Internetu třeba na amerických e-shopech. Profesionálně provedený skimming nebo profesionálně hacknutý platební terminál dokáže odhalit málokdo z klientů. Za to, že banky klientům neustále nutí takovýto špatně zabezpečený prostředek, by měly poskytovat adekvátní ochranu. A ne si znásilnit "Zákon o platebním styku" pro svoje vlastní potřeby a svalovat vinu na klienta.
Můj dobrý kamarád má kartu Wells Fargo Bank (USA). Řekne: "Tuto transakci jsem neudělal". Banka to nezkoumá, prostě mu ji nezaúčtuje a vše je vyřízeno. Samo sebou, pokud by toto říkal "příliš často", o kartu přijde a dostal by se na listinu problematických klientů (tj. třeba navždy bez karty), ale nikdo to po něm nebude chtít zaplatit.
Je možné, že stejný systém byl zamýšlen v ČR při vytváření nového Zákona o platebním styku, ale kombinace špatných zákonodárců a nenažraných bank vykonala své.
Neochota bank vracet klientům peníze je velká. Až do října 2009 platil starý zákon o platebním styku. Podle tohoto zákona stačilo, aby klient prohlásil, že internetovou platbu kartu neprovedl, a banka byla povinná vrátit peníze. Neprodleně. Autorizovaná nebo neautorizovaná transakce se neřešila, prostě stačilo jen prohlášení klienta. mBank (viz známá soudní kauza s "nufinufem", kdy mBank ani nepřišla k soudu a došlo k exekuci) přesto peníze nevrátila v nějakém rozumném čase.
A teď si vezměte, že stačí znát údaje údaje platební karty vybraných bank a NIKDO není schopen ubránit, aby s takovou kartou nezaplatil na internetu. Prostě to "NEJDE" a banka vás neochrání, karta je odemknutá, ať se vám to líbí nebo ne:
ČSOB - všechny vyjma Maestro (+ Banco Popolare, Fio, Oberbank, Volksbank, WSPK atd.)
Citibank - všechny vyjma Maestro
Raiffeisenbank - všechny její kreditky (debetní lze zamknout)
Nemam s tim problem, chovam se ke kartam jako by to byla hotovost. Kdo vidi muj PIN v zrcadle, nezna cislo karty a expiraci, obsluha POS zas nevidi PIN, co se tyce CVV/CVC by mela byt duveryhodna, pokud neco zdefrauduje nejspis to neudela tak ze by cislo prodala po internetu a tak se na ni prijde, staci spornou transakci reklamovat a banka penize vrati, nebude podepsany sales slip.
Uz se mi to stalo, cislo vyleakovalo z eshopu, reklamoval jsem, reklamace uznana, penize vraceny.
Uznavam ale, ze pro ty co chteji penize zpet neprodlene treba proto ze fraud byl velky jsou lhuty na reklamaci dlouhe a proto by jim vyhovovalo, ze se banka nemuze vymluvit na autorizovanost transakce.
Jenže právě ty karty s čipem jsou v jistém smyslu pro klienta nejrizikovější - někdo v obchodě vidí váš PIN, pak šikovný kapesní zloděj ukradne kartu a jste v pr..li, protože reklamaci platby, kde byl použit PIN vám nikdo neuzná. Zloděj přirozeně vybere prachy skoro okamžitě, takže zablokování karty nepomůže.
A to je ještě ta lepší varianta, druhý malér je to, co tu je zmíněno o kus dále v diskusi, tedy situace, kdy podvodný obchodník "hackne" platební terminál a pěkně si stáhne data - pak vůbec netušíte, že máte problém.
Paradoxně je "zastaralá" kreditka/debetka bez čipu lepší, protože ji sice zloděj teoreticky využije snáze, ale vy zas máte lepší pozici pro reklamaci.
Však já to taky zmiňuju až jako druhou možnost, ve většině případů bude problémem ta první varianta - odkouknutí PIN a krádež, už jsem o nějakých podobných případech četl, takže to nebude jen teorie.
Jinak ale k té komplikovanosti hacknutí - víte, ono to není tak dávno, kdy se braly reálně rizika při platbě kartou a bankomat byl brán jako zcela bez rizika, ale jak to dopadlo víme dobře - asi největší průser byl právě s "hackováním" bankomatů, ne s platbami :-( Takže riziko narušení terminálu možná není až tak velké, ale shodit ze stolu jako nemožné bych si ho netroufl...
Krom toho bankomaty se hackují, úplně staromilsky.
http://www.theregister.co.uk/2010/07/28/atm_hacking_demo/
Už se mi nepodařilo dohledat jiný zdroj, kde byl prezentován rootkit nalezený v bankomatu, který umožňoval nechal si tiskárnou na stvrtzenky vytisknout čísla, platnosti, piny všech karet použitých v bankomatu za posledních X hodin...
To je asi jako kdyz na nocni trezor banky nalepim napis "Mimo provoz, obalky prosim hazejte do teto krabice" - pry se i toto uz stalo :) Je nalepeni tohoto napisu na trezor neautorizovanou hardwarovou upravou? Nebo kdyz pres sterbinu nalepim krabici s vlastni sterbinou, tak, aby obalky padaly do me krabice? Je to neautorizovana hardwarova uprava?
No otazkou je jestli vite jak ma takova spravna sterbina pro bankomaty vypadat. Napr. pred nejakyma trema rokama nainstalovala CS takove zelene plastikove sterbiny pred svoje bankomaty. Nevim jestli to tak je vsude a urcite ve chvili kdyz sem ji tam videl poprve nemel sem tuseni jestli tam ma byt, nebo ne. Ted tak nejak spoleham na to ze tim asi CS zvysila bespecnost, I kdyz buh vi :/.
Platební kartu používám dnes a denně. Pravda, nepoužívám jí k platbám na netu, neb mi to připadá tak nějak nepropracované. Ale jinak u všech obchodníků a k výběrům hotovosti, kde to jen jde a přijde mi to vhodné. A za ta léta se mi ještě nestalo, že bych měl nějakou platbu, kterou bych neuznal jako svou. Není to tak nějak divné? A to jsem začal karty využívat krátce po roce 1990, kdy začaly být bankami nabízeny. Pravda, nikdy mi karta nebyla odcizena, nikdy nenechávám u karty PIN, pokud platím v restauraci, kde nemají mobilní terminál, jdu s účtujícím číšníkem k terminálu, u bankomatů zakrývám klávesnici... A ještě dotaz pro autora článku: Je možné zjistit, kolik reklamací ohledně neoprávněných transakcí bylo podáno třeba v loňském roce, kolik jich bylo vyhodnoceno jako oprávněných či neoprávněných, jaká jsou to procenta z celkového množství transakcí...? Já myslím, že ten problém se naprosto uměle nafukuje a že na tomto nafukování se podílejí i banky, které samozřejmě mají většinou poplatkový zájem, aby byly peníze vybírány z účtů v hotovosti. A když se budou takto strašit klienti, tak se to povede.
Banky rozhodne nemaji zajem na vybirani hotovosti z bankomatu - za vyber se plati radove koruny, za ktere ovsem banky musi obstaravat bankomaty, plnit je hotovosti atd. Zato pri platbe kartou jsou z kazde transakce strzena urcita procenta (mam-li spravne informace, tak je to zhruba v rozmezi 1 - 3), ktera se deli mezi banku a karetni spolecnost (a mozna jeste poskytovatele terminalu). Jinymi slovy: vyberu-li si 1000 korun v bankomatu, banka za to dostane rekneme 5 korun, za ktere ovsem musi do toho bankomatu dovezt hotovost, navic musi za neco ten bankomat taky poridit. Zaplatim-li kartou 1000 korun ve velkem krame, tak obchodnik dostane 990 a o tech 10 korun se podeli banka s karetni spolecnosti (rekneme, ze za ni dostane taky 5 korun). Pritom vubec nemusi operovat s hotovosti a jeji naklady na tuto sluzbu jsou prakticky nulove. Banky proto maji naopak zajem, aby lide kartou platili co nejvic.
Ad procenta neopravnenych transakci. Z logiky veci je neautorizovanych transakci radove maximalne promile ze vsech transakci, a to jeste hodne nadsazuji. To ovsem nic nemeni na tom, ze pristup bank, jaky predvadeji, je naprosto otresny - u znacne casti bank neexistuje moznost zamceni karty ci online nastaveni limitu. Pritom toto by bylo velmi jednoduche a efektivni reseni v te nejproblematictejsi oblasti - pred platbou na internetu bych si proste nastavil limit dostatecny, provedl platbu a po ni bych zase limit nastavil na 0. Mimochodem toto je jedna z veci, ktera by me celkem zajimala - Co vsechno umoznuji banky klientum prostrednictvim internetoveho bankovnictvi nastavit.
Já používám pro platby v kamenných obchodech kartu, kterou mám bloknutou pro internetové platby a pro platby na netu kartu, kterou mám zavřenou doma v šuplíku a nikde jinde s ní neplatím. Tím jsem vyloučil možnost zneužití, že si někdo natočí na kameru číslo a expiraci mé karty. Navíc v Raifce mohu mít takto obě karty zdarma (např. Maestro a MasterCard).
Btw. a kontrolujete neporusenost plomb na stojku do ktereho datlujete pin? A kontrolujete jestli ten strojek je skutecne zabespeceny a provozovany spolecnosti, ktera ten pin nezneuzije? Odstranil jste jenom jedno riziko, ale vzhledem k tomu jak karty funguji ani nahodou ne vsechna.
Uvedené věci nekontroluji. Člověk nemůže v životě kontrolovat vše. Jsem si vědom toho, že jsem odstranil jen jedno riziko, ale uvedl jsem to sem proto, že v článku nebo v diskusi byla zrovna o tomhle řada zmínek. A tohle riziko je řekl bych nějvětší - pokud má někdo jednu kartu na všechno - navíc třeba embosovanou a s povolenými platbami na netu. Pro platby v obchodech mám Maestro chip, zablokované platby na netu, resp. ani nejsou možné na této kartě. Takže jediné riziko je, že kartu ztratím a někdo uhodne PIN. Po každé transakci kartou mi obratem dojde SMS, takže pokud by něco nehrálo, okamžitě můžu volat do banky a říct, že jsem transakci neprovedl.
Může někdo logicky zdůvodnit proč u embossovaných karet je CVC2/CVV2 kód na kartě natištěn, když je to vlastně PIN pro transakce bez přítomnosti karty? Takto si ho každý prodejce při normálním placení může opsat a následně zneužít. Jediná možnost je pak mít pro placení s fyzickým předložením karty jednu kartu bez povolených internetových transakcí a pro internet druhou a tu ideálně ještě zamykat.
Muzu. Smyslem CVV/CVC je prave overit to, ze vy mate ten kus plastu fyzicky v ruce a ze jste jen neopsal cislo a expiraci z cizi uctenky, proto se taky na uctenky netiskne. Apriori se predpoklada spolehliovst obsluhy POS. CVV mate chranit pred vyzrazenim tretim osobam.
Vsechno ma neco. Zamcene internetove transakce vas neochrani pred jinymi CNP transakcemi jako jsou MOTO.
Spravne. CVV/CVC je potreba kdyz se karta fyzicky nepredklada. Je ke snizeni (ne zamezeni) rizika kdyz nekdo odcizi cislo karty a expiraci. Pouziva se cca 10 let, jestli si dobre pamatuju a ano, je to ponekud zastarala vec.
Na druhou stranu karta je ekvivalent hotovych penez a k jako takove je potreba se k ni chovat - v kancelari nenechavate valet hotovost, nenechte valet ani kartu. Lidem neukazujete ze mate plnou penezenku, tak jim neukazujte kartu.
Hlava 4, Paragraf 7, odstavec 4f všeobecných podmínek jedné velké komerční banky. Psáno velmi malým písmem:
Kdo kartu platební páskou nečistou* oblepí a kód tajný tak zraku ukryje, ten smluvní pokutu dle sazebníku platného pro dům bankovní do konce měsíce uhraditi musí. Neuhradí-li pán či kmán pokutu výše jmenovanou smluvní, bude mu stržena ze zůstatku jeho poslední den měsíce automaticky. Nebude li na účtu k němuž je karta oblepená vedena zlaťáků zůstatek dostatečný, strhne se obnos z účtu jiného pána či kmána stejného. Nemá-li pán či kmán na žádném z účtů zůstatek dostatečný vymůže pokutu rychtář s biřici do úplňku nadcházejícího.
* nečistý je bankovní archaismus pro netransparentní
Ale vážně - přelepením páskou zabráníte tomu, aby si ten kód nikdo nepřečetl, dokud máte nad kartou vládu. Když vám ji někdo ukradne, tak mu korekční páska ale nezabrání hned sednout k internetu a udělat transakci, dříve, než stihnete kartu zablokovat. Čili polovičaté řešení. Lepší než nic, ale horší, než skutečné řešení.
Já jsem nikdy NEMĚL.
U kreditky (embosovaná, od BRE bank) kterou používam, jsem to číslo vyškrábal a začernil dané místo lihovkou. Ověření probíhá pomocí PINu, podpis nikdo nekontroluje, takže ani nemá šanci to zjistit.
Zda mě dokážou ochránit nulové limity pro internet a MO/TO nevím.
U debetky VIsa Electron od PS (neembosovaná), jsem to také vyškrábal. Kartu nosím jen když jdu "hrát bankomaty" (protože prý internetové transakce zakázat nejdou)
Pokud to bude někomu vadit, tak budu platit kartou FIO Maesto, pro které jsou internetové transakce tabu.
Protože CVC2/CVV2 má dokázat, že ten člověk zadávající údaje má (měl) kartu fyzicky v ruce. Nic víc, nic méně.
Není to myšleno jako ultimátní detektor, že transakce je prováděna autorizovanou osobou. Jestli se tak naše banky tváří, tak je to jenom smutné.
Jediná možnost není vymýšlet nějaké pseudozabezpečení z kategorie "security by obscurity", ale takové karty takovým bankám omlátit o hlavu.
To, že si zamykáte kartu vás neochrání před tím, že si nepoctivý obchodník nestrhne x-násobek částky. Tady je prostě řešení jenom oznámit bance, že tahle transakce není správně (a dodat bance další potřebné informace) a potom dostat rychle peníze zpět (nebo dostat sebe do vězení, pokud se ukáže, že jsem lhal a podváděl).
Mno to je to co by mne zajimalo. Jak dopadne takove pojisteni klienta, kdyz k fraudu dojde. Preci kdyz dojde k fraudu a ten se da prokazat pro potreby pojistovny da se stejne tak prokazat pro potreby banky a tak prokazat ze transakce nebyla autorizovana a dle zakona ma banka penize navratit. Projde mi ze tak si vlastne zakaznik porizuje pojisteni pro situaci ktera nemuze nastat.
Ano ale tay jde preci o pojem "Zneuziti". Zneuzita je karta tehdy kdy neni operace autorizovana. Ale pokud neni operace autorizovana je banka povina penize vratit. Nechapu kde je tady jeste prostor pro pojistku, protoze pojistka nastupuje tam, kde banka reklamaci neuzna, ale tam ji neuzna protoze se ZNEUZITI nepodarilo prokazat, ale v tom pripade ani pojistka nic hradit nebude.
Bohužel, CVC2/CVV2 nedokazuje, že máš kartu v ruce. Ono jen dokazuje, že ji někdo někdy v ruce měl. Jakmile jednou pošleš CVC do světa, už nemáš kontrolu nad tím, kdo si ho kdy kam z jaké databáze zkopíruje nabo kdo si ho man-in-the-middle-ováním odposleche. A jsi namiddlenej - pardon, namydlenej.