A hackerfeleség naplója

Vigyázat, pongyola! Csak laikusoknak.

"Legyen kedves a bankkártya számát és lejáratát megadni!"

Ne legyél kedves! Soha!

2017. január 03. - hackerfeleség

Újabb friss-ropogós gyönyörűség:

hotel-bankka_rtya.png

Te mit csinálnál?

Remélem, hogy a válaszlevélben felhívnád a szálloda figyelmét arra, hogy adatvédelmi szempontból ez a kérés több, mint aggályos, és hogy eszed ágában sincs még a bankkártyád színeit sem megírni nekik, nemhogy a számát és lejáratát.

És most gondolj bele, vajon hányan küldik gondolkodás nélkül a kért adatokat?

Van értelme egy ilyen kérésnek?

Semmi! Tételezzük föl, hogy megadod a szükséges adatokat a limitet pedig beállítod mondjuk 1.000Ft-ra. Na? Ha bármi van, akkor 1.000Ft-ot tudnak levonni a számládról és nem azt az összeget, amit valójában fizetned kellene.

Miért probléma ez?

Ha elküldöd a kért információkat, akkor az a te levelezésedben a Sendben megtalálható. A fogadó fél Inboxában is meglesz. Meglesz a küldő és a fogadó szerveren is és mindazokon az eszközökön, ahol a levelezések be vannak állítva. Tehát ha a levelezésed laptopon, telefonon és tableten is be van állítva, akkor ugye mindegy, hogy melyik eszközről küldöd a levelet, az minden eszközön a Send mappában megtalálható lesz. Tehát bármelyik eszközödet - és a fogadó fél eszközei közül is bármelyiket - feltörik, akkor máris megszerezték a bankkártyaadataidat.

És akkor ugye ki tudja, hogy a szálloda mit kezd a bejövő levéllel. Kimásolja az e-mailben megkapott adatokat egy Excel táblába? Azt hol, hogyan, milyen titkosítással tárolja? Továbbküldi a penzugy@-ra, hogy a gazdaságisnak is meglegyen a szükséges információ? Továbbküldik esetleg a könyvelőnek? Titkosítva leveleznek vajon?

Elég jól látszik, hogy ezzel az erővel akár a homlokodra is írhatnád a bankkártyaszámod, hogy biztosan jól lássa mindenki...

 

Megoldás

  • Feltétlenül jelezd a szállodának, hogy aggályosnak találod ezt a kérést, és nem vagy hajlandó nekik elküldeni a kért adatokat.
  • Kérd meg őket, hogy találjanak más módot a foglalás véglegesítésére - például fizess átutalással, küldjék el az ehhez szükséges adatokat.

 

És aztán...

Jeleztük a szállodának az aggályainkat, amit mintha meg sem hallottak volna. Természetesen az utaláshoz szükséges adatokat azért elküldték, és még egy kis - nem kevésbé gáz - tájékoztatást:

hotel-bankka_rtya-folytata_s.png

A bejegyzés trackback címe:

http://hackerfeleseg.hu/api/trackback/id/tr912093367

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Kyria 2017.01.04. 13:30:27

Nem tudom, lehet, hogy tévedek, de nem a kártya hátoldalán szereplő 3 számjegyű kódot nem szabad kiadni?

Denise Hogyisdugják 2017.01.04. 15:00:09

novotel dettó ezt kérte. megadtuk, jól éreztük magunkat, a kártyámon pedig azóta sem volt gyanús forgalom...

Krutzifix 2017.01.04. 15:38:03

@Kyria: Így igaz. Szvsz a többivel akár ki is tapétázhatja a recepciót...főleg a lejárati idejével :)

A feleség hackere · http://hackerfeleseg.hu 2017.01.04. 15:52:28

@Kyria: a magam reszerol _minden_ szemelyes informaciomra vigyazok
@Denise Hogyisdugják: gondolom csak trollkodni volt kedved. Nem baj, de a tobbiek kedveert elmondom, hogy attol hogy nem mindig elnek vissza az adataimmal, attol meg szeretnem en eldonteni, hogy adok-e erre lehetoseget vagy sem. Nem tudom ki ul a tuloldalon, nem tudom hany malware van a gepen amin taroljak az adataimat stb. Attol hogy biztonsagi ov nelkul vezettem es nem haltam meg, meg nem jelentem ki hogy a biztonsagi ov hulyeseg.
@Krutzifix: az a baj azzal amit mondasz, hogy masok elhiszik, pedig nem biztos hogy igaz. Pl honnan tudod, hogy egy ukran bank keri-e a csc-t vagy sem, honnan tudod mi van pontosan a giro mukodesi szabalyzataban ezzel kapcsolatban?
Idezek par dolgot:
Some card issuers do not use the CSC. However, transactions without CSC are possibly subjected to higher card processing cost to the merchants[citation needed], and fraudulent transactions without CSC are more likely to be resolved in favour of the cardholder.[citation needed]
It is not mandatory for a merchant to require the security code for making a transaction, hence the card may still be prone to fraud even if only its number is known to phishers.

Az a lenyeg, hogy vigyazzatok a adatokra. Attol, hogy valamirol nem tudtok, az meg letezhet. Attol hogy biztonsasognak hisztek valamit es nem latjatok hol a veszely, attol a veszely meg ott van! Mi is tevedhetunk, de ha tevedunk, az a biztonsag iranyaba billenti a merleget, nem a kockazat iranyaba. Ha feleslegesen aggodom a banki adataimert (milyen ellentmondasos kijelentes nem?) abbol biztosan nem lesz baj

jacint70 · http://jacint.blog.hu 2017.01.04. 20:03:33

Ezt két éve velem is megjátszotta egy soproni, F kezdőbetűs szálloda... Szépen felhívtam őket, és elmagyaráztam, hogy ha egy tisztes foglalóról küldenek előlegszámlát, azt kifizetem, de ezt a bankkártya adatosdit felejtsék el.
Azt is elmondtam nekik, hogy ha megadnám, majd BÁRKI visszaélne a kártyával, akkor hozzájuk szállna ki a rendőrség, adóhivatal, stb., mivel ők ismerik az adatokat...
Ennél a pontnál lekerült a napirendről mindenféle adatkérés, még az előleg is elfelejtődött... ;-)

Mellesleg az is aggályos, ha a megadott adatok alapján pl. a teljes foglalás értékét lehívják... Ha kifizetek egy foglalót, és elfogadom a feltételt, hogy ha nem jelenek meg, akkor bukom, az rendben van. de az nem, hogy ők gondolnak egyet, és lehívnak egy teljesítés nélküli kártyás fizetést...

A feleség hackere · http://hackerfeleseg.hu 2017.01.04. 23:35:18

Nagyon sok visszaelesre ad lehetoseget ha pontos, de reszleges adatokat szereznek meg rolad a tamadok. Mindegy, hogy egy szallodai dolgozo, vagy egy hacker. Az adatokra vigyazni kell mert tenyleg veszelyes. Ez nem fikcio. Aki ezt bagatelizalja, az sajnos nem erti a visszaelesek mukodeset.

Egyebkent en is kertem szamlaszamot es utaltam eloleget.

Mindjart lesz egy post errol, de kepzeljetek el egy beszelgetest (nekem volt mar ilyenem):

- Kovacs Bela vagyok az XY bank biztonsagi osztalyarol. Az on kartyajaval valoszinuleg visszaeles tortent, de az ugyintezeshez azonositasra lesz sukseg. Kerem valaszoljon Mi az on szuletesi helye:
- Kiss Pista
- Edesanyja neve?
- Nagy Juli
- Szuletesi ideje?
- xxxx.xx.xx
Koszonom, az azonositas sikerult.
Tajekoztatom, hogy a beszelgetes rogzitesre kerul.
Az On kartyajara XY hotelbol 123456Ft terhelesi kerelem erkezett, de gyanus a tranzakcio, ezert kerem ont nyilatkozzon. On fizetett XY banknak 123456forintot?
- Dehogyis. Miafaszez? Miertvontakle? Kurvaeletbe.
- Semmi gond, letiltjuk a tranzakciot es a karyat is, nem tortenik majd kifizetes.
- huh oriasi, nagyon halas vagyok jajjdejo
- ehhez csak egyeztetnunk kell az adatokat:
Az on kartyajank szama: 1234556789, lejarati datuma xx/yy igaz?
- megnezem, pillanat..... igen ez az.
- a letiltashoz 2 dologra van szukseg. A kartya hatoldalan levo 3 jegyu azonosito szamra es egy ertheto, hangos valaszra a hangfelvetel miatt. Kerem valaszoljon:
Le kivanja tiltani az 123456789 szamu kartyat?
- IGEN
- a kartya hatoldalan talalhato 3 szamegyu kod?
-123
- Koszonom, az On kartyajat azonnal letiltottuk, es teritesmentesen elinditjuk az uj kartya igenyleset. Koszonjuk az egyuttmukodest.

Aki erre azt mondja, hogy az emberek 90%-a nem ugrik bele, az nem erti a vilag mukodeset az tuti.
Az aldozatban fel sem merul hogy nem a bankkal beszelt es minden kerdesre valaszolni fog, mert annyi adatot tudott a tamado, hogy total hiteles az egesz.

mojoking77 2017.01.05. 18:11:25

@A feleség hackere: Szorszalhasogatonak tunok majd, de exrem az az eset is, amit felvetettel.
SOHA ne add meg a CCV kodododat. Ennyi.
Egy bank sem kerheti soha sem.
A jobb bankok SMS-t kuldenek egy hat jegyu koddal a nem teljesen megbizhato tranzakciokrol, amit az ugyfelnek be kell utnie egy netes feluleten.
Amugy is SMS erkezik az osszes tranzakciorol, melynek a kartyan tortennek, ha valami nem megfelelo, fel kell hivni oket, es szolni, letiltjak es visszautaljak az osszeget.
Minden kartyaszerzodesen rajta van, hogy a bank munkatarsai SOHA nem kerhetnek tobb adatot, mint a kartyaszam, es a tulajdonos szemelyes adatai.
Ennyi. Ne magia, nem kell tulmisztifikalni. A egtobb szalloda ker valamilyen biztositekot, hogy tenyleg mesz, es nem fogod feleslegesen foglalni a szobat mas elol.

fordulo_bogyo 2017.01.05. 18:47:01

A vilag fejlettebb felen, a nagy viz tuloldalan minden vasarlashoz megadom a kartyaszamot, nevet, lejaraot, biztonsago kodot. NEM emailben, hanem vagy telefonon, vagy azaz biztonsagos adatkapcsolaton keresztul.
Erre valo, csak igy hasznalhato a kartya.
Nalunk ha az en hihibanbol tortent a visszaeles, azaz AZUTAN, hogy en mar tudom, baj van, de nem ertesitem a bankot, akkor $50 a felelossegem, ha tudtomon kivul tortenik, akkor $ 0 (nulla) a felelossegem.
A HITEL kartyak ilyen szempontbol biztosagosabbak, mint a sajat szamladhoz kapcsolt BANKkartyak (debitkartya).
Kulfoldre (akar Azsiaba) utazva is ugyanigy jarok el, ha en kivalasztok emg megbizhato referenciakkal rendelkezo vallakozast (kereskedo, szallas, jarmuberles), egy pillanatig nem gondolkozom, hogy megadjam-e ezeket az adatokat.
Par evente egyszer-egyszer elofordul, hogy megprobalnak visszaelni vele. Meg soha nem volt problemam belole.
A kartya, esszel hasznalva, sokkal biztonsagosabb, mnit a keszpenzt vagy az atutalas.

fordulo_bogyo 2017.01.05. 18:48:40

Azoktol kerdem, akik szerint nem szabad soha megadni az adatokat:
Mire valo a ccv-kod, a kartyaszam, a lejarati ido? Komolyan kerdem.

A feleség hackere · http://hackerfeleseg.hu 2017.01.05. 19:10:03

@mojoking77: Pontosan ugyanarrol beszelunk en is azt mondom, hogy ne add meg.
Viszont ne altalanosits. Lehet, hogy NEKED mindenrol erkezik SMS, de nem biztos, hogy mindenkinek. Es ne tekintsuk az SMS-t sem biztos megoldasnak ha lehet.
De teny, hogy nem kell tulmisztifikalni. Ettol meg az emberek 90%-a keptelen vedekezni az lyen egyszeru dolgokkal szemben. Ezert van ez a blog.

@fordulo_bogyo: Nem ertek egyet, de nem akarlak meggyozni. Nekem pl van kulon egy kartyam a rizikos tranzakciokra, meg egy hitelkartyam, a bankszamlamhoz kapcsolodo kartyat nem is kertem. A riziko-kartya meg olyan kartya ami olcso, olcson letilthato, kulon szamla van mogotte, tehat nem lehet belole nagy baj. De nem ez a lenyeg, elmondom mit gondolok:
NEM kell kockazatmentesen elni. Nem kell mindentol felni es minden ellen vedekezni. Egy dolog a fontos. ISMERD a kockazatot. Ha ismered, donthetsz, hogy vallalod-e. Ez teljesen termeszetes. A baj azzal van mikor fogalmad sincs a kockazatrol viszont marha magabiztosan tudod, hogy biztonsagban vagy. Na ezert van ez a blog. Ha tudatos vagy kockazatbol is tobbet vallalhatsz, hiszen felismered ha visszaelnek vele, es tudod mit kell tenned, hiszen felkeszult vagy.

Es ez az egesz nem arrol az 5ezer forintrol szol amit leemelhetnek a kartyadrol, hanem altalaban a biztonsagrol. Ez egy aspektus, meg ezen kivul van meg 100. A tudatossag a kulcs.

A te peldadnal maradva en nem a telefonos kisasszonyban nem bizom, aki elkeri a kartyaadataimat, hanem a rendszerukben, mert abban viszont biztos vagyok, hogy keptelenek megvedeni az adatokat. (mondjuk szerencsesebb helyeken van erre modszer azert. Egy vedett helyen tarolt banklkartyaszam meg mindig jobb mint az excellbe beirt adat...) Hidd el nekem lattam mar ilyet, sok sok sok sok bankkartya adatat lophattam volna mar el.
Lehet, hogy a te kartyaddal nem lehet visszaelni, de nem veletlen am, hogy mar evek ota nagyobb uzlet a kiberbunozes mint a drog. Nem veletlen hogy az alvilag folyamatosan szervezi be a hackereket es az alvilagi modszereket otvozi az online eszkozokkel.

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2017.01.05. 19:18:04

Jelezném, az OTP online felületén fizetett mobilszámlához is mellékelni kell a problémásnak jelzett adatokat... szóval (nem)kicsit pontatlan a poszter.
E-mailben, telefonon tényleg jobb nem megadni ezeket az infókat.
De van ahol muszáj...

fordulo_bogyo 2017.01.05. 20:54:05

@A feleség hackere: Felreertesz. Termeszetesen vissza lehet elni a kartyakkal. Vissza is elnek vele. Felenk eppenseggel az a gyakoribb, hogy egy nagy ceg titkos adatbazisabol lojak el, nem a tulajdonostol! Am felenk a fogyasztovedelmi torvenyek korlatozzak a katyatulajdonos felelosseget $0-$50 koze. Ezt kene otthon,Magyarorszagon is elerni!
Nincs sms, kod, egyeb varzslat errefele... beirom, vagy megmondom telefonon az adatokat, es annyi.
Ha igazan biztonsagos kartyas tranzakciot akarsz, akkor hasznalj virtualis kartyaszamot! A kartyadhoz a bank weblapjan, vagy egy app segitsegevel keszitesz egy egyedi, egyszer hasznalatos, a vasarlashoz szabott limitu rovid ideig ervenyes kartyaszamot, lejarati idot es ccv kodot... na azt lophatjak.
Nekkem az is fura, hogy vendegloben az asztahoz viszik a kartyaolvasot... felenk a pincer elviszi a kartyat, majd visszahozza.

fordulo_bogyo 2017.01.05. 21:00:42

@A feleség hackere: Ha rogton szolok, ahogy eszreveszem, hogy elveszett, elloptak , visszaeltek a kartyammal, adataimmal, akkor a felelossegem nulla penz. Ha nem ertesitem a bankot, miutan megtudtam, akkor max $50 a felelossegem. A tobbi a bank dolga.
Futnak az MI jellegu szoftvereik, es azonnal jelzik, ha egy szokatlan tranzakciot eszlelnek. Ekkor a bank telefonal, kuld emailt... az o erdeke, az felelossege, az o penze.

A feleség hackere · http://hackerfeleseg.hu 2017.01.05. 22:39:33

@Hóhér az utolsó barátod: de ott az OTP-nek adod meg nem kis gizi bt-nek. Ez jogi, technikai, biztonsagi kerdeseket is felvet, de semmikeppen nem ugyanaz a kategoria.

ac07 2017.01.06. 14:28:36

@fordulo_bogyo: Már réges régen hasonló a hazai szabályozás is, csak ezt meg még a feleség sem ismeri.

fordulo_bogyo 2017.01.06. 14:55:45

@ac07: Valoban, rakerestem es meg is talaltam:
"A kilencvenes években még félhettünk, ha elveszítettük vagy ellopták a bankkártyánkat, hiszen a bankkártya letiltása - és ezzel a károkkal kapcsolatos banki felelősség átvállalás - csak a bejelentés után napokkal lépett érvénybe. Már másfél évtizede más a helyzet, de azt kevesen tudják, hogy nemcsak a kártyaletiltás utáni, hanem még a letiltás előtti károkat is visszakapjuk egy 45 ezer forintos önrészen felül, amennyiben vétlenek vagyunk. Sőt, még ezt az önrészt sem kell kifizetni bizonyos esetekben. "
www.bankracio.hu/blogpost/367-tudtad-hogy-a-bankkartya-letiltasa-elotti-kart-is-visszakapod-ha

Ez pedig konkretan egy magyarorszagi bank uzleti feltetelibol valo:
"Az olyan jóvá nem hagyott fizetési műveletek vonatkozásában, amelyek a Kártyabirtokos birtokából kikerült,
vagy ellopott Bankkártyával történtek, vagy a Bankkártya jogosulatlan használatából erednek, Betéti
Bankkártya esetében a Bankszámla-tulajdonos(ok), Hitelkártya/Bevásárlókártya esetében a Főkártyabirtokos viseli a kárt 45.000 forintnak megfelelő összeg mérték erejéig a Bankkártya Kártyabirtokos birtokából történő kikerülésére, ellopására, valamint jogosulatlan vagy jóvá nem hagyott használatára vonatkozó bejelentés megtételét megelőzően.
Amennyiben a Bankkártyát annak fizikai jelenléte nélkül (mail/telefon/internet útján) vagy elektronikus azonosítása nélkül használták, a Betéti Bankkártya esetében a Bankszámla-tulajdonos(ok), Hitelkártya/Bevásárlókártya esetében a Főkártyabirtokos az e pontban megjelölt összeghatár erejéig sem felelős. A letiltás bejelentésének időpontja vonatkozásában a Bank által regisztrált időpont az irányadó.
Bármilyen bejelentés késedelmes megtételéből eredő károkért kizárólag Betéti Bankkártya esetében a
Bankszámla-tulajdonos(ok), Hitelkártya/Bevásárlókártya esetében a Főkártyabirtokos felel."

KIEMELEM A LENYEGET:
"Amennyiben a Bankkártyát annak fizikai jelenléte nélkül (mail/telefon/internet útján) vagy elektronikus azonosítása nélkül használták, a Betéti Bankkártya esetében a Bankszámla-tulajdonos(ok), Hitelkártya/Bevásárlókártya esetében a Főkártyabirtokos az e pontban megjelölt összeghatár erejéig sem felelős."

MAGYARUL: ha jogtalanul hasznaljak az adataidat, azert anyagilag nem vagy felelos!
@A feleség hackere:
Kedves hackerfeleseg, ezzel egeszitstd ki a bolgbejegyzest, ezt fontos tudni mindenkinek (hatha emlekeztetni kell ra egy banki alkalmazottat)!

Forras:
www.cib.hu/system/fileserver?file=/Nyomtatvanyok/Bankkartya_felelosseg_szab_uft_20121126.pdf&type=related

Koszonom ac07 !

Tetszett a bejegyzés? Kövesd az oldalt!

blog.hu