Zneužití "internetové" platebni karty na vlastní kůži
Tohle je sice příběh už z února, ale po diskusi s několika kolegy jsem usoudil, že by to mohlo někoho zajímat.
Pár slov úvodem
Používáme internetovou platební kartu od eBanky na online platby za Google Adwords, registrační poplatky generických domén nebo nákupy SSL certifikátů. Část dodavatelů si peníze strhává na základě využíte služby (Adwords), u některých transakce realizujeme sami při koupi (domény, SSL). V prvním případě jsou údaje o kartě umístěny v systému dodavatele, v druhém případě údaje zadáváme při každé transakci.
Přišel jsem na to víceméně náhodou
Před odjezdem na dovolenou jsem zjištoval, proč se Google nepodařilo strhnout si z karty částku za PPC kampaně a k mému překvapení jsem v online výpisu našel transakce s popisem „Yahoo search marketing“ a postupně strhávanými částkami ve vyši 10USD, 30USD, 36USD, 36USD, 300USD, 400USD, 500USD a 17USD. Souhrnem to bylo za bratru 1329USD, což je nějakých 30 tisíc. Všechny transakce proběhly v jeden den, viz obrázek.
Co s tím?
Jak z po sobě jdoucích transakcí tak díky tomu, že jsme přes Yahoo nikdy neinzerovali, bylo evidentní, že se jedná o zneužití platební karty. Okamžitě jsem kontaktoval eBanku, kartu zrušil a ještě ten samý den transakce reklamoval. Důvody reklamace jsem uvedl přesně podle reality, tj. službu od Yahoo neodebíráme a tudíž považujeme transakce za neoprávněné.
Jak se dostaly informace o kartě do nesprávných rukou?
Tak to bohužel nevím. Možnost získání údajů z databáze Google mi nepřijde pravděpodobná, takže pak je musel zlosyn odchytit při některé z dalších transakcí.
Jak to všechno dopadlo?
Přibližně za pět týdnů mi z eBanky přišel dopis, že reklamace byla přijata a souhrn stržených částek byl formou jedné platby připsán zpět na náš bankovní účet.
Jaké z toho plyne ponaučení?
Může se to stát i vám a má smysl pravidelně sledovat, jaké transakce máte na platební kartě. A pokud vám něco nesedí, okamžitě jednejte…nám se to vyplatilo. Za to dík mj. i několikrát zmiňované eBance. Celá anabáze měla ještě jeden vedlejší efekt a to změnu přístupu k podobně citlivým informacím uvnitř firmy. Dáváme si teď podstatně větší pozor.
-
Související články na blogu Hostuji Tedy Jsem
-
Hack informačního stánku v metru 30. 5. 2008 9:52
-
-
Související články na ostatních blozích
-
Hej UK! Sigh Hail a rozumíme si! 7. 10. 2010 8:24
-
katalog-cz-firem.cz (podvodník) 22. 9. 2010 10:47
-
Rybaření na doméně VOLNY.CZ (nová verze) 18. 9. 2010 17:25
-
Jak vypnout antispam filter na Gmail.com (Google Apps) 2. 9. 2010 16:56
-
Pokročilá analýza webu (s pomocí Google Analytics) 23. 3. 2010 10:36
-
Červené tlačítko, až bych zvracel 9. 2. 2010 13:46
-
-
Související články na serveru Lupa.cz
-
Regulace podle NIS2: Banky dosáhly u DORA změkčení lhůt 5. 11. 2024 6:30
-
Celý rozsah IP adres Wedosu se dostal na blacklist, zákazníkům se ztrácela pošta 9. 10. 2024 6:30
-
Regulace podle NIS2: Na Slovensku hrozí kyberbezpečnostnímu zákonu zdržení kvůli porušení pravidel 3. 9. 2024 6:30
-
Regulace podle NIS2: Portál NÚKIBu napoví rozsah nových povinností 6. 8. 2024 6:30
-
Krátké vlny: Europol kyberpátrá, radí a informuje 1. 8. 2024 6:30
-
CrowdStrike: budíček proti bezmyšlenkovitému nasazování bezpečnostních nástrojů 31. 7. 2024 6:30
-
-
Ostap Bender (neregistrovaný)
Já mám v eBance svoji (fyzickou) kartu pro internetové platby zamčenou a odemykám ji jen když potřebuji přes Internet něco zaplatit. Měl jsem za to, že v takovém případě není možné strhávat platby bez ověření podpisu nebo zadání PINu; k mému překvapení však po mně v květnu při placení mýta na francouzských dálnicích nikdo podpis ani PIN nechtěl a přesto byly příslušné částky z účtu strženy.
Ne že bych protestoval proti tomu, že jsem platil za použití francouzských dálnic, jen mě zajímá, jak to tedy vlastně s ochrannými prvky, jakými jsou PIN nebo podpis, vlastně je. Protože je evidentně jde nějakým způsobem obejít i když je karta pro e-commerce zablokovaná. V eBance mi sdělili, že by to bez takovéto autorizace jít nemělo, ale minimálně v případě francouzského mýtného to jde a evidentně to je běžná praxe...
-
QT (neregistrovaný)
Strhnout platbu bez zadání PINu nebo ověření podpisu jde velmi snadno. U embosovaných platebních karet se PIN zadávat nemusí, takže na terminálu obsluha jen stiskne klávesu, kterou potvrzuje, že podpis souhlasí. A to jestli souhlasí se zjišťuje, jen když banka platbu u obchodníka reklamuje. Pokud obchodník nepodvádí a riskne, že platbu nebudete reklamovat vy, když vidíte, že jste nikam nic nepodepsal, tak se tím nemusí zdržovat a platbu rovnou odsouhlasí. Ve většině restaurací to takto dělají a pak si přijdou jen pro podpis, nicméně na jejich terminálu je dávno potvrzené, že podpis souhlasí, přestože jste zatím nic nepodepsali...
-
Ostap Bender (neregistrovaný)
Že to lze vím, už jsem takhle reklamoval před pár lety například zdvojenou platbu za naftu u RobinOil; tehdy jim spadlo spojení během ověřování a ačkoli jsem duplicitní blokaci nechal ve své bance (stejně jako v několika podobných případech předtím) zrušit, jejich banka se skutečně pokusila strhnout si z mého účtu celou platbu dvakrát, přestože podepsanou účtenku měli jen jednu. Reklamace to vyřešila, i když jsem tehdy musel čekat skoro tři měsíce.
Tady mě překvapuje spíš to, že Francouzi v tomto případě nemají v ruce _vůbec žádné_ potvrzení o platbě ze strany řidiče, který jim kartou platí. Prostě jim u okénka podáte kartu, dostanete ji zpátky s účtenkou a jedete dál. Čili že - podle mých zkušeností i podle toho, co píšete vy - by takovéto platby měly jít velice snadno reklamovat. Zkoušet to nebudu, ale zajímalo by mě, jestli bych skutečně uspěl. V opačném případě jsou totiž veškeré ochranné prvky, podle mého soudu, na nic.
-
doubledown (neregistrovaný)
We have been here to get the free doubledown codes online here as we want to get the here,
ČLÁNKY DO MAILU