A hackerfeleség naplója

Vigyázat, pongyola! Csak laikusoknak.

Csak a CVV-t ne add meg soha! - Anélkül is lehet a kártyáddal vásárolni!

2017. január 05. - hackerfeleség

security-codes-cc.jpgAz előző post kapcsán is sok olyan reakcióba futottam bele, hogy nincs semmi probléma a bankkártyaadatok megadásával, csak a hátulján lévő három számjegyű kódot ne add meg.

Nos...
Biztosan tudod, hogy anélkül a szám nélkül semmit nem érnek a kártyád egyéb adataival? Egészen biztosan tudod?

Álljunk itt meg egy pillanatra. A fenti hozzáállás ugyanis nem csak az előző postra és nem csak a bankkártyaadatokra igaz. Sajnos általában igaz, hogy biztos tudás nélkül jelentünk ki dolgokat.
Hogy nem lehet mit kezdeni a bankkártyaadatokkal a hátulján lévő szám nélkül. Hogy nem lehet ellopni az adataimat, ha nem vagyok Facebookon és különben is csak néha nézek föl a netre. Hogy nem lehet open wifin át hozzáférni semmihez. Hogy én annyira érdektelen kis hal vagyok, hogy tőlem úgysem érdemes ellopni semmit. Hogy én is megadtam bizonyos adatokat, mégsem nyúlta le senki a pénzem (ebből természetesen egyenesek következik, hogy mással sem fog előfordulni, és a későbbiekben velem sem.) Hogy én tuti észrevenném, ha valami adathalász weboldalba futnék. És a többi, és a többi..

De térjünk most vissza a bankkártya hátulján lévő három jegyű számhoz. És ennek példáján át gondolkodjon el mindenki, hogy tényleg biztos tudással legyint-e a figyelmeztetésekre.

A bankkártya hátoldalán lévő kód a CSC (CVV-ként is találkozhatsz vele elég sokszor és igen, van más elnevezés is, de talán ez a kettő a leggyakoribb). És akár hiszed, akár nem, ahhoz, hogy tudj vásárolni, nem mindenhol kérik a CSC-t, sőt van, ahol a kártya lejárati dátumát sem. Tudtad ezt?

2012-ben az Amazonon még egészen biztosan lehetett CSC nélkül vásárolni, mert az Amazon úgy volt vele, hogy az ilyen jellegű csalások miatti visszatérítés számára (nem a te számodra!) annyira elhanyagoható mértékű, hogy megéri nekik ez a kockázat, azért, hogy te gyorsabban vásárolhass és így őket válaszd. Nem biztos, hogy ez változott azóta.

És persze hozhatnék adathalászatra is példákat. Ha valami módon (akár a te levelezésedből, akár a szálloda levelezéséből, számítógépeiről) egy adathalász kezébe kerülnek a kártyaadataid (és mondjuk a neved, címed, születési időd, telefonszámod - hiszen a szállodában ezeket az adatokat is megadtad), máris kaphatsz olyan hitelesnek tűnő telefonhívást a "bankodtól" (természetesen a csalótól, akinél a kártyaadataid landoltak), amivel olyan bizalmat képesek építeni benned, hogy a beszélgetés végére gondolkodás nélkül megadod a CSC-t is. Így meg aztán már végképp szabad az út... 

Na, csak hogy érthetőbb legyen a fenti bekezdés:
Ugyanabban a szállodában száll meg egy rosszindulatú hacker is, ahol te. A szálloda wifijén keresztül feltöri a rendszert és megszerzi az összes vendég minden adatát. Aztán pár hét múlva a következő hívást kapod tőle:

  • Jó napot kívánok, Kovács Béla vagyok az XY bank biztonsagi osztályáról. Tájékoztatom, hogy a beszélgetés biztonsági okokból rögzítésre kerül. Az Ön kártyájával valószínűleg visszaélés történt. Ezt szeretném ellenőrizni, de az ügyintézéshez azonosításra lesz szükség. Kérem válaszoljon: Mi az ön neve?
  • Kiss Pista.
  • Az édesanyja neve?
  • Nagy Juli.
  • Születési ideje?
  • 1920.01.01.
  • Köszönöm, az azonosítás sikerült. Az Ön kártyájára XY hotelből 123.456Ft terhelesi kérelem érkezett, de gyanús a tranzakció, ezért kérem Önt, nyilatkozzon! Ön fizetett XY hotelnek 123.456Ft-ot?
  • Dehogyis! Mi a f*sz ez? Miért vonták le? @*#%!!!
  • Semmi gond, természetsen letiltjuk a tranzakciót és a kártyát is, nem törtenik majd kifizetés.
  • Huh, óriási! Nagyon hálás vagyok! Jajj, de jó!
  • Ehhez csak egyeztetnünk kell az adatokat. Az Ön kártyájánk száma: 1234556789, lejárati dátuma xx/yy. Így van?
  • Megnézem, pillanat... Igen, ez az.
  • A letiltáshoz már csak 2 dologra van szükség. A kártya hátoldalán lévő 3 jegyű azonosító számra és egy érthető, hangos válaszra a hangfelvétel miatt. Kérem valaszoljon: Le kívánja tiltani az 123456789 számú kártyát?
  • IGEN
  • A kártya hátoldalán található 3 számjegyű kód?
  • 123.
  • Köszönöm, az Ön kártyáját azonnal letiltottuk, és terítésmentesen elindítjuk az új kártya igénylését. Köszönjük az együttműködést.

Na, hogy tetszik?
Aki erre azt mondja, hogy az emberek 90%-a nem ugrik bele, az nem ismeri az embereket. Annyi adatot zúdít a támadó az áldozatra, hogy az áldozatban föl sem merül, hogy nem a bankkal beszél és azonnal válaszolni fog minden kérdésre.

 

Nagyon fontos tudatában lenni annak, hogy attól, hogy valami létezéséről nem tudsz, az nem azt jelenti, hogy nincs is. Ahogy nem úgy ellenőrzöd, hogy be van-e kapcsolva a rezsó, hogy rátenyerelsz, úgy az adataid biztonságát sem úgy teszteled, hogy hagyod őket ellopni. Nem félni kell, nem kell elbújni a világ elől, és nem, paranoidnak sem kell lenni, egyszerűen csak tudatosnak.

A bejegyzés trackback címe:

http://hackerfeleseg.hu/api/trackback/id/tr8212098087

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

NagyZé 2017.01.06. 09:32:15

Ha már a tudatosításról írsz, akkor a cikk végére igazán odaírhattad volna, hogy "jogosan" soha, senki, nem kérheti tőled szóban sem a CVV kódot, sem a PIN kódot, azokat csak a fizetési folyamat meghatározott pontjain kell beadni (gépelni). Ha ilyet tapasztalsz, akkor az biztosan csalás, és azonnal hívhatod a bankodat a kártya letiltásával kapcsolatban.
Enélkül nekem inkább csak riogatásnak tűnik a cikk. (Pont azért, amit írsz, mert nem tudják az emberek kiolvasni a leírásból ezt, bár egyértelműen következik)

Viszont az Amazonon én is leakadtam, tényleg ma sem kéri a CVV kódot, csak a nevet, kártyaszámot, lejáratot, sok éve nem is találkoztam ilyennel, a legutolsó kínai oldalon is teljeskörűen kell megadni az adatokat.

Z.

Rongy Elek 2017.01.06. 10:48:38

Erre való a virtuális kártya. Ha fizetni akarok vele, akkor feltöltöm a bankszámlámról, egyébként meg van rajta 1 Ft.

scuynat 2017.01.06. 11:05:46

Minek a "hacker"-nek (ugye a legtöbb szállodában nem WEP hálózat van, hogy látni lehessen a többi gép adatforgalmát, de mindegy) a CVV, ha úgyis megvan neki a kártyaszám, a név meg a lejárati idő? Vásároljon vele az Amazonon.

M_R 2017.01.06. 11:15:30

Aki telefonon megadja a kártyája adatait, az meg is érdemli...

Chayenne 2017.01.06. 11:21:36

Reális a cikk. Én ennél is alattomosabb próbálkozásba futottam bele, mert tájékozatlan voltam. A próbálkozás megbukott, de a kártyát 10 perc alatt letiltottuk a bankban élőben!

A feleség hackere · http://hackerfeleseg.hu 2017.01.06. 11:37:23

@M_R: Szerintem senki nem erdemli meg, hogy meglopjak.

@Chayenne: Az emberek nem hiszik el mennyire konnyu ilyesmibe belefutni (meg 100 masik hasonlo dologba).
A kartya tiltasert kellett fizetned? Nem tudom milyen esetekben szamoljak fel a kartyatiltasi dijat, ami elegge magas is lehet. Nekem ketszer kellett kartyat tiltani, egyszer felszamoltak a 14ezer forintos tiltast, egyszer ingyen volt.

A hanyagsag, tajekozatlansag vagy johiszemuseg teljesen altalanos. Epp most olvastam peldaul ezt: www.rt.com/news/372640-russia-wikileaks-assange-source/
Erre nincsenek szavak.
Es en is talalkozom ilyenekkel a mukam soran. Es a ti adataitokat is ennyire komolyan vedik, ne legyenek illuzioitok. Csak ott van komoly vedelem, ahol az anyagi erdek is komoly. Onkormanyzatok, kis cegek (pl hotelek) nincsenek arra felkeszulve hoy adatokat megfeleloen kezeljenek. Nincs szakember, nincs eroforras, sokszor meg a szandek sincs, mert nem ismerik a veszelyeket. Par even belul ugy fel fog futni az online bunozes, hogy a fejetlenseg es kapkodas is csucsokat donget majd.

an-dee 2017.01.06. 11:40:55

Már az is kérdésed számomra hogy milyen módon tudja a hívó beazonosítani magát hogy Ő tényleg az X banknak dolgozik. Sajnos ezt még a bankok sem dolgozták fel. Engem mindig a személyes ügyintézőm hív, őt ismerem személyesen, minden banki ügyemet ő intézi, ha más hív akkor megmondom hogy nem hiszem le hogy a banknak dolgozik.

pro_ 2017.01.06. 11:45:45

A posztban levő példa nettó hülyeség, több okból is.

1.) Ha valaki feltöri a szálloda wi-fi hálózatát - az a titkosítatlan adatforgalmat fogja látni. Például, ha én most abban a szállodában lennék, akkor láthatná, hogy mit írod ide (más kérdés, hogy ez egy nyilvánosan látható szöveg, tehát ezt amúgy is láthatná).

2.) Attól, hogy feltöri a szálloda wi-fi hálózatát, a kártyaadatokhoz nem fog hozzájutni. Ha a szállodai hálózatból indít valaki egy online kártyás vásárlást, a kártyaadatok titkosítva kerülnek továbbításra. Az említett hekker annyit lát, hogy adott oldal felé történt adatkommunikáció, viszont hogy pontosan mi, azt nem látja. Az online kártyás fizetést lehetővé tevő oldalak 128 bites titkosítást alkalmaznak, az információ visszafejtése pár ezer évig eltartana hekkerkénknek. A kártyaadatokat csak úgy szerezhetné meg, ha valaki azt titkosítatlan csatornán küldené át, viszont ma már szinte mindegyik e-mail szolgáltató is titkosított kapcsolatot használ, így nem nagyon tudom elképzelni, hogy küldené át valaki a kártyaadatait a szálloda wi-fi hálózatán titkosítás nélkül.

3.) De tegyük fel, valahogy (de azért ennek az esélye olyan 0,00000001% körül van) mégis titkosítatlanul küldi el a kártyaadatait a szállodai wi-fin keresztül és ehhez hozzájut a hekker. Nem fogja tudni, hogy melyik bank bocsájtotta ki a kártyát. Csak annyit tud megítélni a kártya számából, hogy MasterCard vagy Visa. Ha felhívja a kártya tulajdonosát, azért elég kicsi az esélye, hogy eltalálja, melyik banknál vezeti a számláját az illető. Ha meg rossz bank nevét mondja be, azt azért nem hinném, hogy valaki ne venné észre.

Mr. Waszabi 2017.01.06. 12:13:33

Majdnem hihető, csak hát minden fizetési oldal HTTPS-t használ. Tehát nem fogja látni a hacker a kártyaadatokat. A másik, hogy olyan oldalon, ahol nem kérnek CVV-t, vagy érvényességi időt, ott csak virtuális kártyával szabad vásárolni. Abból is a legjobb az egyszer használatos (ami igazából egy pingelést és egy tényleges vásárlást enged). Akinek meg fix van, az ne tartson a virtuális kártyáján egyenleget.

A feleség hackere · http://hackerfeleseg.hu 2017.01.06. 12:17:58

@pro_: uristen mennyi tevedes. Nem is tudom hol kezdjem. Az a baj hogy nem tudom reszletesen leirni a valaszt, mert nem fer el a komment korlatba. De ha igazad lenne, a hackerek ehenhalnanak. mind a 3 pontban tevedsz. Meghozza olyan oriasit, hogy arra nincsenek szavak.

@Mr. Waszabi: de pont az a lenyeg, hogy emailben, telefonon, titkositatlanul kerik es taroljak az adatokat. Nincs https.
Banki oldalon https-en keresztul megadni biztonsagosnak tekintheto, de ez a post nem errol szol.

SzMiki 2017.01.06. 12:44:50

Roppant biztonságos a kártyával fizetés, amikor rengeteg kasszánál HD kamera veszi az egész tranzakciót. Bárki, aki hozzáfér a videofelvételhez, kikockázza és ott a kártya összes adata...

bájtgúnár 2017.01.06. 12:46:16

@Lukacs Peter Varga
Tetszenek az ilyen hozzászólások.
Semmit nem ad a témához, csak rombol.
Írd le kérlek, hogy pontosan mi az, ami nem tetszik, mi a pontatlanság, hogy a te ismereteid vagy éppen a tények miben mondanak ellen a cikkben foglaltaknak. Segíts másoknak, hogy többek legyenek a hozzászólásod által
Taníts a hozzászólásoddal. Építs, ne rombolj.
Máskülönben a hozzászólásod minden szava a saját fejedre hull vissza...

Ha csak néhány ember óvatosabb lesz attól amit itt olvas, az író már segített nekik.
Még akkor is, ha vannak esetleg pontatlanságok.
Ezen pontatlanságokat lehet javítani a kommentben, amiből megint csak tanulhatna, aki ide klikkel.
Próbáld meg. Hidd el, sokkal jobb érzés, mint lehúzni, ócsárolni, trollkodni...

ZX 2017.01.06. 13:16:44

@NagyZé: Az amerikai ESTA engedélyhez sem kell CVV. Mondjuk jó, ha a bankod 3d Secure védelmet biztosít, de vannak olyan esetek amikor bizony nincs az sem.

Bluurmiscoo 2017.01.06. 13:18:54

Vásároltam a londoni Ronnie Scott's jazz clubba jegyet (elég neves hely. Miután kifizettem az oldalukon a jegyetészrevettem, hogy van egy jegyük még egy magasabb kategóriában. Írtam nekik, hogy szeretném a jegyem upgradelni. Készségesek voltak, mondták, hogy írjam le a kártyám számát és levonják az összeget. Leírtam e-mailben a CVV kód nélkül minden adatot. Erre visszaírtak, hogy kellene a CVV kód is. Ezt én nem szerettem volna megadni, hívtam hugomat, hogy intézze már el kintről a dolgot. Telefonon felhívta őket, mondták, hogy kell egy bakkártyaszám illetve a többi adat. Ő lediktálta az összes adatot telefonon CVV kódot is. Azt mondta, hogy sokszor van ilyen...

-Adam- 2017.01.06. 13:20:05

Szia, az alábbi beszélgetés nálam ott akadna el, hogy én telefonon soha nem adnám ki már ezeket az adatokat sem. Valaki hív engem ismeretlen számról és a bemondására még én azonosítsam magam? Túrót. Adjon egy központi ügyfélszolgálati számot, ami leellenőrizhető és majd felhívom azt.

"Jó napot kívánok, Kovács Béla vagyok az XY bank biztonsagi osztályáról. Tájékoztatom, hogy a beszélgetés biztonsági okokból rögzítésre kerül. Az Ön kártyájával valószínűleg visszaélés történt. Ezt szeretném ellenőrizni, de az ügyintézéshez azonosításra lesz szükség. Kérem válaszoljon: Mi az ön neve?
Kiss Pista.
Az édesanyja neve?
Nagy Juli.
Születési ideje?
1920.01.01."

Bluurmiscoo 2017.01.06. 13:22:51

Más, sógorom Angliában él, kapott egy SMS-t, hogy Ő vásárolt itt és itt ekkora értékben a kártyájával, egy NO vagy egy YES üzenetet kellett visszaküldeni. Visszaírta a NO üzenetet és azonnal csörgött a telefonja. Tájékoztatták, hogy egy webshopban vásároltak a kártyájával egy digitális fényképezőgépet, közölték az összeget is. Azonnal visszautalták a levont összeget, még annyit mondtak, hogy ha érdekli a vizsgálat eredménye akkor érdeklődjön a banknál... Feltételezése szerint az egyik benzinkúton lopták el a kártya adatait.

NagyZé 2017.01.06. 13:37:56

@pro_: Szépen összeszedted, csak éppen nem az "élő" forgalmat fogja megcsapolni, mert azt nehéz, hanem a hotel összegyűjtött adatait, adatbázisait, mert azt ahogy a poszt toló is írja az egyik hozzászólásban, nevetséges szintű az számítástechnikai adatok biztonsága a legtöbb cégnél, legyen az egy kicsi BT vagy akár a legnagyobb multi... És onnan ha megvan egy ilyen adattömeg, mindent azonnal be lehet rántani, és mehet a próbálkozás.

@Bluurmiscoo: Ez sajnos teljesen sztenderd azokban az országokban, ahol már régebben kezdték az elektronikus bankolást, régebben mint nálunk (Amerika pl. az egyik legrosszabb ebből a szempontból, egyszerűen nincs meg meg bennük semmilyen elemi gyanakvás sem. (tapasztaltam... De ha megnézed a filmekben a sztereotípiákat (lásd pl. Wall street farkasa) tényleg olyanok... Nálunk egy fokkal jobb a helyzet, de sajnos messze van a biztonságostól.

-Adam-: Így van, ha normális helyről hívnak, ők azonosítják magukat először, utána kérdez(het)nek _bármit_. Minimum az ismert telefonszámról való hívás, és két-három személyes vagy bizalmas adat megadása, de még jobb a visszahívthatóság, ahogy írod.

Z.

Mikrobi 2017.01.06. 14:10:02

X hitelcég megbízásából telefonált Y cég, hogy tájékozódjon az elégedettségemről. Tudta a nevemet és a telefonszámomat, de mivel titkos számról hívott és nem tudta bizonyítani, hogy az, akinek mondja magát, nem álltam vele szóba. Onnan tudom, hogy nem kamus volt, hogy utána felhívtam a hitelcéget és megerősítették, hogy ők bízták meg ezt a céget. Ez óriási bizalmatlanságot kelt a felhasználóban! Miért nem az Interneten reklámozott, ismert számukról hívogatják az embert? Ha ezt megtehetik, akkor bárki megteheti, hogy a nevükben átveri a gyanútlan ügyfelet!

Winter is coming 2017.01.06. 14:36:28

Megosztom a velem történtet, mert kicsit hasonló a fenti post-hoz, illetve ez a beetetés fázis, és kiváncsi lettem volna, hogy CVV nélkül mire ment volna az illető

Felhívott titkos számról egy srác, kedvesen bemutatkozik és közli, hogy apám adta meg a számom (és adataim, nabumm) neki, mert apám nyert egy nyeremény sorsoláson:

Mégpedig a Telekom és Szerencsjáték Rt közös rendezésében, 150.000 HUF-ot nyert apám, mert őt sorsolta ki a gép tizediknek, csak annyi kell, hogy megadja a számlaszámát, ahova utalni kell a pénzt.

Mivel apámnak nincs számlaszáma, ezért megadta drága jó kicsi fia adatait és telefonszámát, hogy majd neki lehet utalni nyereményt.

A csávó nagyon kedves volt (talán túlon túl is), de mondtam neki, hogy azért felhívnám apámat tényleg ő volt-e olyan okos, hogy csak úgy megosztja a telszámom, aztán hívjon vissza 15 perc múlva.

Apám visszaigazolta, egyrészt örült, hogy pénz állna a házhoz, másrészt meg benne is ott volt gyanakvás, aminek én már közben elkezdtem utánajárni.

Szerencsejáték Rt és Telekom oldalán nem volt semmi hasonló nyereményjáték, illetve gyors google keresés kiadott pár linket, ahol leírták, hogy ez kamu pénzlehúzós módszer.

Csávó visszahívott, mondom neki, nem találom a linket játékról, mondja már meg, hogy hol találom meg. Illetve, hogy készpénzben venném fel a nyereményt. Erősködött, hogy számlaszámot kell megadnom, mert csak így tudja most regisztrálni a nyereményem.
Mondom neki, hogy ugye tudod, hogy ez nem így működik, és itt vesztette el a kedvességét, jött a köcsög bunkózás, hogy nem tudott lehúzni.

Amire kiváncsi lettem volna, hogy a számlaszámom (nem kártyaszám) ismeretében hogyan tudott volna lehúzni, vagy lehet, hogy a mondókája további részében kérte volna el a kártyám adatait vagy emelt díjas sms visszaigazolásokat kellett volna küldenem,

Szóval kiváncsi, vagyok, hogy mi lett volna a forgatókönyv a lehúzáshoz, vagy ez még csak a piti csaló kategória, nem a hacker szint.

ac07 2017.01.06. 14:38:26

Kedves poszt toló!
Legalább a saját bankod bankkártyára vonatkozó üzletszabályzatával legyél tisztában - akár be is linkelheted az adott dokumentumot, épülésül, hogy egy kártyabirtokosnak milyen jogai, felelőssége van a kártyahasználat során. Jelen állás szerint gyakorlatilag nincs anyagi felelőssége az ügyfeleknek (igen durva, tudatos gondatlanság kell ahhoz, hogy anyagi kár érje).
És legalább egyet le kell írni: egy kártya letiltásához gyakorlatilag magát az ügyfelet be sem kell azonosítani, mert ha rendes vagyok és találok egy kártyát és felhívom az ügyfélszolgálatot, akkor a kártyán látható adatok pont elegek a letiltáshoz.

Ylim 2017.01.06. 14:46:14

@pro_: " Ha felhívja a kártya tulajdonosát, azért elég kicsi az esélye, hogy eltalálja, melyik banknál vezeti a számláját az illető"
A kártyaszámból beazonosítható a bank.

Thomas Gabriel 2017.01.06. 14:50:09

@pro:
"viszont ma már szinte mindegyik e-mail szolgáltató is titkosított kapcsolatot használ"

Én csak annyit tennék a témához hozzá, hogy jelenleg a mai ingyenes magyar levelező szolgáltatók közül is akad szépszámmal melyek nem rendelkeznek HTTPS kapcsolattal, lásd ezt a kicsiny listát (vaultdefender-https-nelkuli-weblapok.strikingly.com/), de még ennél is szomorúbb, hogy rengeteg magyar webáruház / intézmény sem (így irgalmatlan mennyiségű információt lehet kinyerni), de ez egy más téma.

pushup 2017.01.06. 15:29:48

na, ez eddig faszagányos. szerintem toljuk eggyel tovább a biciklit és beszéljünk arról is, amikor már valaki lehúzott pénzzel!
hogy mi a helyzet, ha valaki a te kártyadataidat megadva vásárolt mondjuk a neten ... de sőt, ha te egyszer ezeket megadtad és ezek alapján a szolgáltató újra megterhelte a kártyádat a te hozzájárulásod nélkül.
mert azért a történet így kerek
kulcsszavak: CNP, refund, chargeback
ja igen, magyar banktól ne várj üf barát hozzáállást

A feleség hackere · http://hackerfeleseg.hu 2017.01.06. 16:16:39

Marhajo kommentek, koszi! Nagyon tetszik a sokfeleseg, a sok velemeny, az epito hozzaszolasok, nagyon kiralyok vagytok.
Egyebkent a hackerfeleseg es a feleseg hackere nem ugyanaz a szemely am. A nevekbol szerintem konnyu kitalalni ki kicsoda :)

Egy gigangikus tevhit azonban a legtob emberben el. Hogy nekem semmibe nem kerul, mert nics felelossegem, a bank kifizeti esatobbi. Nade joemberek. A banknak kitol van penze? A bank koltsegeit ki allja? Ha en vizsgalok egy bankot es kiallitok egy millios nagysagrendu szamlat, azt ki fogja fizetni? Elmondom: ti, es persze en. Mi fizetjuk a hackereket. Azt is en fizetem amit kis julitol loptak el es azt is en fizetem amit a vedekezesre kolt el a bank. Mindent mi fizetunk. Igaz hogy aprankent es nem egyben 100ezer forintot, de mi fizetjuk. Tejben, kenyerben, lapos TV araban, bankkoltsegekben. 0% kamatban, mindenben ott van a hackerek altal okozott kar. Es ez egyre nagyobb lesz.
Lehet ezzel egyet nem erteni, de a piacon a cegek semmit nem tudnak fizetni, mert a penz az embereke. Minden ami penzbe kerul, az emberek zsebebol vandorol ki. A karok, a vedekezes, minden. Az ugyfeleken hajtjak be.

Es az en fizetesemet is ti dobjatok ossze, szoval koszi.

Mr. Waszabi 2017.01.06. 16:26:44

@A feleség hackere: figyi, maradjunk már a tényeknél, konzisztensen. Leírtál egy képzeletbeli történetet, amiben sok a pontatlanság. Például a kártyaadatokhoz szállodai wifin történő hozzáférés ilyen - kamu.
Az emberi hülyeségre nincs gyógyszer, tehát ha valakinek bankszámlája van és használja is, és nem ismeri a saját bankja működését, szokásait, akkor ők kérnek elnézést saját maguktól. Különösen, hogy a bankok pontosan tájékoztatják ügyfeleiket az ilyen hekkelésekről, és arról is, hogy miről ismerhető fel.
Szerintem ez egy újévi lájkvadász cikk, ahogy ezt már páran írták itt. Nem sajnálom tőled a lájkokat vagy a reklámbevételt, de legalább pontatlanságokat ne írjál, ne riogasd az embereket feleslegesen.

A feleség hackere · http://hackerfeleseg.hu 2017.01.06. 16:36:13

@pushup: nekem eddig csak olyan incidensem volt ami meg a kifizetes elott megallt, igy nem tortent meg a tenyelegs terheles. De az gondolom hogy az itthoni bankok is kartalanitanak, visszaadjak, jovairjak stb. De az ugyintezes, a kellemetlensegek, az esetleges onresz, es meg sorolhatnam.. vajon megeri? Vagy inkabb figyeljunk eleve oda?
Pl hogyan mennek a bizonytisasi eljarasok?
Ha bizonyitjak, hogy hanyag voltal, tehat a te hibad?
Vagy ha bizonyitjak, hogy marpedig te vasaroltal?
Persze ez mind nehez, es nem is tudom hogy megy, de pont ezert maradok azon a teruleten amit ismerek es inkabb vigyazok a dolgaimra.

hackerfeleség 2017.01.06. 16:42:15

@NagyZé: igazad van, hogy odaírhattam volna, hogy "jogosan" soha, senki, nem kérheti tőled szóban sem a CVV kódot, sem a PIN kódot, a helyzet viszont az, hogy egyszerűen nem tudom biztosan, hogy _tényleg_ nem létezik-e ilyen szituáció. Ezért inkább nem tennék ilyen kategorikus kijelentést, viszont a figyelmet sikerült arra irányítanom, hogy tudatosabban, sokkal tudatosabban bánjunk az ilyen jellegű adatainkkal.

Azt pedig nagyon köszönöm, hogy megnézted, hogy az Amazonon még most is lehet CVV nélkül vásárolni. :)

wmiki · http://kigondoltam.blog.hu/2014/07/20/stephen_hawking_538 2017.01.06. 16:57:35

"Nagyon fontos tudatában lenni annak, hogy attól, hogy valami létezéséről nem tudsz, az nem azt jelenti, hogy nincs is"
Pedig a tudomány nevű szekta, és felkent élharcosa, az index nevű propagandaoldal is ezen az elv mentén hirdeti az igéit.

Sinistroll 2017.01.06. 17:49:14

Figyi, nem zarom ki, hogy lehet olyan vasarlas, ahol lehet cvv nelkul boldogulni. De sem az elozo posztodban, sem ebben epkezlab peldat nem mondtal. Ez igy csak riogatas.
Csak elvben emlegetted az "ukran bankot", meg az Amazont is - "nem biztos, hogy valtozott" 2010 ota.
Ha azt akarod, hogy komolyan vegyenek, nezz ma utana lecci, es irj biztosat.
Kosz!

pushup 2017.01.06. 17:50:29

@A feleség hackere: hát, nekem erről régi élményeim vannak és jellemzően nemzetközi card process céggel (rajta keresztül megy a vásárlás. jellemzően egy webshop nem kapja meg a te kártyaadataidat, hanem átküldi a vásárlási tranzakciót egy ilyen processzor cégnek, aki adja a fizetési felületet, az meg visszadobja a boltnak, hogy sikeres volt a tranzakció, vagy nem. magyarországon a kártyaprocesszor cégek legtöbbje bankho tartozik, de nem mind)
szóval a CNP (Card Not Present) vásárlásoknál nem te bizonyítasz. a világ boldogabbik felén, ha elmész egy webshopba és veszel egy kanna borotvahabot, de nem válik be, visszaküldheted a bolnak és ők vissza fogják fizetni az árát.
azért fogják visszafizetni, mert ha nem, akkor te kérsz a saját bankodnál egy chargebacket arra hivatkozva, hogy nem te vásároltál a kártyáddal, vagy éppen de, de nem azt kaptad, amit kértél, amit a bolt igért. és ha kérsz egy chargebacket, akkor két dolog fog történni.
egyrészt a bankod visszaszippantja a pénzedet a bolttól
másrészt a kártya processzor cégnél húznak egy vonást a táblán a cég mellé. ha a vonásokkal jelzett chargebackek elérik (na, ezt nem tudom, hogy darabra, vagy értékre) a bolt viszonylatában az 1-1,5%-ot (!!!), akkor a bolt és a processzor cég elbúcsúznak egymástól.
nyilván lehet a boltnak mondjuk az igazát bizonygatni, de az általában több idő és pnz, mint megérné.
és nyilván a processzorcégek meg folyamatosan figyelik az ügyfeleket és a forgalmat és ezért már fizetés közben lebasszák azt a tranzakciót, amikor egy oregoni faszi bankkártyájával akar egy nigériai IP címről valaki egy moszkvai webszexes oldalon fizetni, mert ők is inkább előre gondolkodnak, mint utólag. éppen ezért neked sem éri meg ezzel ingyen termékekre szert tenni, mert egy idő után a kártya processzor cég ugyanabba a dobozba fog tenni, mint az amerikai kártyával nigériából orosz kurvát vásárlót.
"De az gondolom hogy az itthoni bankok is kartalanitanak, visszaadjak, jovairjak stb."
muhaha!
volt vagy 6-7 valami mobilparkolós alkalmazás, amin keresztül lehetett kártyával fizetni. megadtad a kártya adataidat a rendszernek, aztán talán SMS-en keresztül indítottál vásárlást. ezt nem tom, mert nem használtam. amivel viszont akkoriban tele volt a hiradó, hogy a cég, ami eddig ingyenesen adta a szolgáltatást (tán valami vásárlásonkénti jutalékért? mindegy), úgy gondolta, hogy január elsejétől bevezeti az előfizetési díjat és mivel a kártyadatok már úgyis nála voltak, beterhelte mindet 1-2 ezer forinttal (azért emlékszem, mert akkoriban pont téma volt a munkámban az ilyen CNP vásárlás)
és itt Mo-on egyrészt a nép java nem tudta, hogy ilyenkor egy elegáns országban az elegáns ügyfél mit tesz, másrészt az az ismerősöm, aki pont rászaladt a faszra és még tudta is, hogy 600km-rel odébb ez hogy megy, mikor bement az OTP-be (minek van valaki még mindig az OTP-nél???) elhajtották, hogy nincs ilyen.
ő mondjuk meg tudott írni egy levelet a VISA-nak (ahol természetesen volt ilyen), de a többieknek maradt a kuncsorgás, meg a kutyába lemenés

cardiobascuralis 2 2017.01.06. 18:39:27

@Ylim:
Szerintem nem, csak az, hogy Visa vagy MasterCard (vagy mondjuk American Express) típusú-e a kártya.

nyu 2017.01.06. 18:49:57

@Bluurmiscoo: Pár éve itthon is volt lyesmi balhé.

Egyik bank belső elhárító csoportja rájött, hogy különböző csalásban résztvevő bankkártyák előéletében az a közös, hogy mindegyikkel ugyanannál a kúthálózatnál fizettek.

Volt is nagy anyázás, amikor karácsony előtt 3 héttel megelőzés címszóval letiltottak 28000 gyanútlan ügyfél bankkártyáját, akik valamikor ott fizettek a gyanús kutaknál, nehogy visszaélhessenek a hamisítók az adataikkal.

Ennyi kártyát nem lehetett egyik pillanatról a másikra cserélni, ügyfelek legfeljebb a bankfiókban személyesen fértek addig a lóvéjukhoz.

A feleség hackere · http://hackerfeleseg.hu 2017.01.06. 20:00:13

@pushup: Kosz az infot. Egyebkent fejlesztettem mar webaruhazba a CIB-hez, paypalhoz modult, ez a resze megvan. Azt nem tudom a gyakorlatban mi hogy megy incidens eseten plane kulfoldon. Egyebkent itthon tudtommal ha mar elment a penz a partnernek, nincs chargeback. Elotte meg igen. Nekem volt olyan hogy valahol vilagvegen vettek egy TV-t a kartyammal, de azonnal szoltam es nem tortent semmi. Hogy a webaruhaz elkuldte-e a TV-t (mivel a fizetesi folyamat pozitivan zarult) az mar mas kerdes. Valaki midnenkepp sziv ezzel.

Szerintem a kozeljovoben sokat fog ez valtozni, mert a rendszerek tobbsege, igy a bankkartya koruli rendszerek is elegge kikezdhetok. Csak azert nincs sokkal tobb incidens (most egy picit eltavolodva a bankkartyaktol) mert kevesen erdekeltek benne. De minnel jobban felismerik a bunozok a lehetosegeket es minnel tobb kepzett ember all at arra az oldalra, annal tobb problema lesz.
Marpedig iszonyu sok penz van benne ugyhogy elegge konnyen josolhato a jovo

vanvelemenyem 2017.01.06. 20:45:00

@SzMiki: nekem egy itteni rendor (a szomszedom) javasolta, hogy vekony szigszalaggal ragasszam le a kartyaszamot, es a vekony csikot egy atlatszo cellux-szal. A szigszalag csik takarja a szamok nagy reszet, a cellux pedig a hd kamerak elol a kartya tobbi reszet elhomalyositja, de pl a chip olvashato marad. Igy hasznalom a kartyamat mar ket eve, azota nem kellett surgosen letiltatni, pedig keszpenzzel sehol sem fizetek. Egyes helyeken megprobaljak eljatszani, hogy de nekik ezt latniuk kell, de ott belengetem a rendorseg kihivasat, es akkor gyorsan letesznek rola. A Hd kamera pedig meg kozelrol sem tud eles kepet csinalni a szamokrol, a cellux-szigszalag ckombo homalyossa, felismerhetetlenne teszi, meg az 1280x960-as felbontasnal is, kozelrol is, plusz a nevem es a lejarat sem jol olvashato.

vanvelemenyem 2017.01.06. 21:10:00

@pushup: "processzorcégek meg folyamatosan figyelik az ügyfeleket és a forgalmat és ezért már fizetés közben lebasszák azt a tranzakciót, amikor egy oregoni faszi bankkártyájával akar egy nigériai IP címről"

Egyszer, evekkel ezelott kocsival mentem a szomszed allamba (tehat nem volt elotte repjegy/vonatjegy vasarlas, es, mivel nem tudtam, hol lesz kedvunk megallni, igy szallasfoglalas sem volt a kartyamon), szoval, a lakohelyemtol kb 600km-re megalltam tankolni/wc/nyujtozas/kaja. Es mar tankolni sem engedett a kartyam :) hivtam a bankomat, ahol azonositaskent fel kellett sorolnom a kartyarol tortent utolso ot vasarlasomat, es legalabb harom allando fizetesi megbizast. Utana a pasas elmondta, hogy mivel sem public transport, sem szallasfoglalas nem tortent a kartyammal, ezert automatikusan blokkoltak az iranyitoszamomtol 600 km-re torteno vasarlast. Persze feloldottak, ott es akkor a blokkolast (nem kartyaletiltas tortent, hanem vasarlas blokkolasa), es azota, ha utazom, bejelentem a weboldalon egy speci helyen, hogy kb hova utazom es kb miket fogok fizetni a kartyammal.
Nem erzem busztatasnak, azt erzem, hogy vigyaznak ram :)

Dadogó 2017.01.06. 21:53:46

Egyszerű módszert használok: A kártya hátulján lévő CVV kódot éles sniccerrel óvatosan lekaparom, teljesen olvashatatlanná teszem, így még elvesztés esetén sem lehet használni. /Kivéve Amazon! :) /

Dadogó 2017.01.06. 21:55:53

Ja, a kódot előbb magold be! :)

t26 2017.01.07. 22:18:14

@hackerfeleség: Az a helyzet, hogy pl. Németországban az American Express ügyfélszolgálata simán elkérte a kártyaszámot és a CVV kódot tőlem amikor a letiltódott kártyát akartam újraengedélyeztetni. Én hívtam őket (a kártyán levő számon), illetve a hívás után működött a kártya, szóval tényleg ők voltak, de sajnos ilyen általános dolgokat, hogy a számot nem fogják kérni, nem lehet kijelenteni. (Egyébként meg az American Express kártyákon, ahogy az illusztrációs ábrán is látható, a kártya elején van a CVV kód, szóval innentől sok biztonság nincs rajta, egy vacak fényképpel meg lehet szerezni.)

ze11 2017.01.08. 22:14:00

@NagyZé: Ott a pont. Ráadásul minden normális bank a Call Centerének a hívószámáról hívja az ügyfelet, az alapján van esély beazonosítani a hívást. Ha idióta a bank (pl. a C-vel kezdődő, lakossági piacról épp kivonuló bank) hív, például valamilyen tudakozóban nem szereplő/titkosított mobilról, akkor nyugodtan el kell őket hajtani a fenébe.

IamTwo 2017.01.09. 16:37:16

@M_R: Nem adati meg a kártya adatait, csak egyetlenegyet. A többit már tudták. Mondjuk minimum, hogy ilyenkor olyan számról hívjanak, ami már bent van a telefonomban, ha ismeretlen, pláne privát számot jelez a telefon, akkor nem kapnak választ.

A feleség hackere · http://hackerfeleseg.hu 2017.01.09. 19:33:03

@t26: A cimben szereplo kijelentes eppen egy reakcio arra amit az elozo posthoz szoltak hozza. Hogy ha a CVV-t nem adod meg, semmi baj nem lehet. Szoval kicsit az elozmenyek es a szovegkornyezet fuggvenyeben mashogy mutat a dolog. A lenyeg mingid az amit korabban is irtam. Ismerd a kockazatokat, vallald ha akarod, de ne olyat vallalj amirol azt sem tudod hogy letezik. A CVV epp annyira nem biztonsagi intezkedes mint a 3D secure. Semmi ertelme.
Magyarul ha nem biztonsagos csatornan keresztul megadsz kartyaszamot meg lejaratot, akkor mar tokmindegy mi mast adsz meg. Biztonsagos csatorna (minositett adatkezelo cegek, maga a bank, https stb) egeszen mas kategoria.
Csak a pontossag kedveert.

De ami meg fontosabb a postokbol tokletesen kiderul az amit mindenkinek fontos megertenie. Attol hogy a te bankod szokott valamit valahogy csinalni, nem biztos hogy mas bankja is ugy csinalja. PLane igaz ez mas orszagokra, mas torvenyrek, mas szokasok, mas biztonsag. Szoval nekunk felhasznaloknak kell vigyazni mert mas nem fog.
De ez egy oriasi tema, muszaj ilyen pici reszletekben osszerakni hatha lesz valami pozitiv hatasa lassan :)

Tetszett a bejegyzés? Kövesd az oldalt!

blog.hu