Díky moc za článek! Nenažrané banky už neví, kde by se napakovaly. Ze židle mě nadzvedla reakce z banky: "Zneužití údajů se tedy bere jako vina klienta, který neochránil údaje na své kartě." To si snad dělají legraci?
Můj pohled na věc: Banky a karetní společnosti uvedly na trh platební prostředek, který je extrémně snadno zneužitelný. V každém kamenném obchodě, kde zaplatím kartou, mají k dispozici moje číslo karty a expiraci. S těmito údaji lze v pohodě zaplatit na Internetu třeba na amerických e-shopech. Profesionálně provedený skimming nebo profesionálně hacknutý platební terminál dokáže odhalit málokdo z klientů. Za to, že banky klientům neustále nutí takovýto špatně zabezpečený prostředek, by měly poskytovat adekvátní ochranu. A ne si znásilnit "Zákon o platebním styku" pro svoje vlastní potřeby a svalovat vinu na klienta.
Můj dobrý kamarád má kartu Wells Fargo Bank (USA). Řekne: "Tuto transakci jsem neudělal". Banka to nezkoumá, prostě mu ji nezaúčtuje a vše je vyřízeno. Samo sebou, pokud by toto říkal "příliš často", o kartu přijde a dostal by se na listinu problematických klientů (tj. třeba navždy bez karty), ale nikdo to po něm nebude chtít zaplatit.
Je možné, že stejný systém byl zamýšlen v ČR při vytváření nového Zákona o platebním styku, ale kombinace špatných zákonodárců a nenažraných bank vykonala své.
Neochota bank vracet klientům peníze je velká. Až do října 2009 platil starý zákon o platebním styku. Podle tohoto zákona stačilo, aby klient prohlásil, že internetovou platbu kartu neprovedl, a banka byla povinná vrátit peníze. Neprodleně. Autorizovaná nebo neautorizovaná transakce se neřešila, prostě stačilo jen prohlášení klienta. mBank (viz známá soudní kauza s "nufinufem", kdy mBank ani nepřišla k soudu a došlo k exekuci) přesto peníze nevrátila v nějakém rozumném čase.
A teď si vezměte, že stačí znát údaje údaje platební karty vybraných bank a NIKDO není schopen ubránit, aby s takovou kartou nezaplatil na internetu. Prostě to "NEJDE" a banka vás neochrání, karta je odemknutá, ať se vám to líbí nebo ne:
ČSOB - všechny vyjma Maestro (+ Banco Popolare, Fio, Oberbank, Volksbank, WSPK atd.)
Citibank - všechny vyjma Maestro
Raiffeisenbank - všechny její kreditky (debetní lze zamknout)
Nemam s tim problem, chovam se ke kartam jako by to byla hotovost. Kdo vidi muj PIN v zrcadle, nezna cislo karty a expiraci, obsluha POS zas nevidi PIN, co se tyce CVV/CVC by mela byt duveryhodna, pokud neco zdefrauduje nejspis to neudela tak ze by cislo prodala po internetu a tak se na ni prijde, staci spornou transakci reklamovat a banka penize vrati, nebude podepsany sales slip.
Uz se mi to stalo, cislo vyleakovalo z eshopu, reklamoval jsem, reklamace uznana, penize vraceny.
Uznavam ale, ze pro ty co chteji penize zpet neprodlene treba proto ze fraud byl velky jsou lhuty na reklamaci dlouhe a proto by jim vyhovovalo, ze se banka nemuze vymluvit na autorizovanost transakce.
Jenže právě ty karty s čipem jsou v jistém smyslu pro klienta nejrizikovější - někdo v obchodě vidí váš PIN, pak šikovný kapesní zloděj ukradne kartu a jste v pr..li, protože reklamaci platby, kde byl použit PIN vám nikdo neuzná. Zloděj přirozeně vybere prachy skoro okamžitě, takže zablokování karty nepomůže.
A to je ještě ta lepší varianta, druhý malér je to, co tu je zmíněno o kus dále v diskusi, tedy situace, kdy podvodný obchodník "hackne" platební terminál a pěkně si stáhne data - pak vůbec netušíte, že máte problém.
Paradoxně je "zastaralá" kreditka/debetka bez čipu lepší, protože ji sice zloděj teoreticky využije snáze, ale vy zas máte lepší pozici pro reklamaci.
Však já to taky zmiňuju až jako druhou možnost, ve většině případů bude problémem ta první varianta - odkouknutí PIN a krádež, už jsem o nějakých podobných případech četl, takže to nebude jen teorie.
Jinak ale k té komplikovanosti hacknutí - víte, ono to není tak dávno, kdy se braly reálně rizika při platbě kartou a bankomat byl brán jako zcela bez rizika, ale jak to dopadlo víme dobře - asi největší průser byl právě s "hackováním" bankomatů, ne s platbami :-( Takže riziko narušení terminálu možná není až tak velké, ale shodit ze stolu jako nemožné bych si ho netroufl...
Krom toho bankomaty se hackují, úplně staromilsky.
http://www.theregister.co.uk/2010/07/28/atm_hacking_demo/
Už se mi nepodařilo dohledat jiný zdroj, kde byl prezentován rootkit nalezený v bankomatu, který umožňoval nechal si tiskárnou na stvrtzenky vytisknout čísla, platnosti, piny všech karet použitých v bankomatu za posledních X hodin...
To je asi jako kdyz na nocni trezor banky nalepim napis "Mimo provoz, obalky prosim hazejte do teto krabice" - pry se i toto uz stalo :) Je nalepeni tohoto napisu na trezor neautorizovanou hardwarovou upravou? Nebo kdyz pres sterbinu nalepim krabici s vlastni sterbinou, tak, aby obalky padaly do me krabice? Je to neautorizovana hardwarova uprava?
No otazkou je jestli vite jak ma takova spravna sterbina pro bankomaty vypadat. Napr. pred nejakyma trema rokama nainstalovala CS takove zelene plastikove sterbiny pred svoje bankomaty. Nevim jestli to tak je vsude a urcite ve chvili kdyz sem ji tam videl poprve nemel sem tuseni jestli tam ma byt, nebo ne. Ted tak nejak spoleham na to ze tim asi CS zvysila bespecnost, I kdyz buh vi :/.