"Provaljena" mi je mastercard kartica! Jučer su me zvali iz banke i pitali da li sam kupovala neke vrijednije stvari (nakit, satovi) te da je u kratkom vremenu napravljeno par transakcija u iznosu od par tisuća kuna. Budući da nisam ništa u to vrijeme i u tom iznosu kupovala dogovorili smo se da mi blokiraju karticu. I dalje im nije bilo vidljivo gdje se transakcija odvijala, i sva sreća, ako i bude transakcija uspješno obavljena, vratit će mi novac (Zagrebačka banka) jer je očigledno da se radi o zlouporabi.

E sad me zanima kako se to moglo desiti, odnosno više kako tako nešto ubuduće spriječiti. Zadnji put sam plaćala putem interneta karticom (ali putem PayPal-a) početkom ovog mjeseca i to sam kupovala neku igricu za ćerku (oko 10 dolara) a navodno bi kupnja putem PayPal-a trebala biti sigurna?!

Još jedna zanimljiva stvar: zadnjih par dana dobivam mailove koje sam samo brisala jer sam ih smatrala spamom, ali sada nakon što mi se ovo desilo se pitam da možda iMac ipak nije otporan na viruse?!
Tekst maila je bio nešto u ovom smislu:
"Vaša mastercard kartica je blokirana i s nje je skinut iznos od 4235dolara. Za daljnje informacije preuzmite slijedeći file i obratite se svojoj banci. Vaš mastercard team." a adresa pošiljatelja je bila: Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript . I tako sam dobivala više takvih mailova sa sličnom adresom pošiljatelja.

Uzela sam prepaid mastercard karticu pomoću koje mislim ubuduće obavljati online kupnju, još me samo zanima da li bi trebala nešto još obrisati u keychainu (dosta sam toga i obrisala, ali moram priznati, ne znam točno što ) i kako se, ako je uopće moguće, osigurati od ovakvih zlouporaba

Hvala

Ti mailovi jesu virus, nisi ih aktivirala (ako si ih samo obrisala), i nema to veze s ovim što ti se desilo.

Općenito, puno, puno, *PUNO* veće šanse imaš da ti netko okrade podatke o kartici ovako, normalno, nego preko neta.

Preko PayPala sigurno nije nitko došao do broja tvoje kartice jer prilikom kupnje pay palom broj kartice uopće ne putuje netom. Samo tvoja Pay Pal autorizacija.

Druga je stvar to što je netko mogao doći do tvoje Pay Pal lozinke pa se koristiti tvojim Pay Pal accountom (A da i dalje ne zna broj tvoje kartice), ali nije baš lako naći robu vrijednu par tisuća kuna plativu pay palom. Ipak, ovo je možda vjerojatan scenario. Dakle, promijeni Pay Pal lozinku i stavi neku kompliciraniju (15-ak znakova, velika, mala slova, brojke i interpunkcije). Jedna moguća taktika ti je da smisliš svoj sistem, npr. ovako:

- umjesto A (a) uvijek pišeš 4
- umjesto E (e) uvijek pišeš 3
- umjesto O (o) uvijek pišeš 0 (nulu)
- umjesto I (i) uvijek pišeš !
- sva slova do L pišeš veliko
- sva ostala pišeš malo
- na treće mjesto uvijek ubacuješ zarez
- na peto mjesto uvijek ubacuješ #

I onda odaberi neku riječ koju sigurno nećeš zaboraviti (ime svoje, svog djeteta, ili što već). Na primjer KLEMENTINAKAZIMIROVIĆ.

Primijeni gornja pravila na to ime:

KL,3#m3nt!n4K4z!m!r0v!Ć

I to ti je super strong password.

Međutim, druge su metode "skimanja" kartice puno češće i vjerojatnije:

- kad ti trgovac pegla karticu klasičnom peglom umjesto da koristi EFTPOS
- kad ti konobar odnese karticu nekamo iza
- kad ti (najčešće na benzinskoj pumpi) trgovac provlači karticu kroz neke uređaje koji nisu EFTPOS
- kad kriminalci "opreme" bankomat skimerom i kamerom koja snima pinove

A od svih njih je statistički najčešća (vjerovala ili ne!) da ti netko (od ukućana, kolega na poslu, u teretani, itd.) ukrade karticu, napravi neku transakciju i onda ti je vrati u novčanik, a da nisi ni skužila da ti fali.

Uglavnom, ako nisi otišla na neki physhing site na netu i lakomisleno utipkala broj svoje kartice, skupa s CVV2 brojem s poleđine, šanse da ti je netko preko interneta pokupio broj tvoje kartice su još neusporedivo manje nego da te meteorit s Jupitera pogodi ravno u glavu.

Joj!
Stvarno ne znam kako su došli do podataka, jer kažem, za online kupnju koristim samo mastercard, i to uglavnom preko PayPala dok sam npr. za obnovu MobileMe plaćala direktno mastercard karticom, a ostale, "uživo" kupnje uglavnom plaćam maestrom. Zadnje što sam plaćala mastercardom je bilo na naplatnim kućicama u Demerju. Zar je i to moguće? Ne znam više, dosada nikad nisam bila, a sad itekako postajem paranoična

Hvala Smayo

Paranoja je zdrava, u zdravoj količini.

Znat ćemo više kad ti banka kaže detalje o tim transakcijama.

Hmm da... baš sam danas opet provjeravala s bankom i zasada nijedna od tih transakcija nije provedena. Nadam se da će tako i ostati, ali povjerenje u online kupnju mi je definitivno poljuljano

Kako sam ti rekao, statistički, puno su manje šanse da te pokradu online, nego ovako uživo. Kupujem online od 1998. godine i (osim glupih physhing pokušaja) nije mi se nijednom desilo niti pokušaj da mi pokradu broj kartice. U istom razdoblju sam npr. 2x uhvatio frajera na benzinskoj pumpi da provlači kartice kroz svoj čitač u ladici i jedamput prodavačicu u trgovini tekstila da si fotokopira slipove od klasične pegle.

Ma znam, i ja sam dosta kupovala online, i nikada nije bilo problema do sada. A za ovo u živo, stvarno je rijetko koristim, uglavnom maestro, a mastercardom sam zadnji put plaćala cestarinu na naplatnim kućicama Demerje prije 10ak dana i još sam s njom jedino platila avionske karte u croatiji airlines prije jedno 2 tjedna, u međuvremenu nikakva druga transakcija ni u živo, ni online, tako da stvarno ne znam

Kompromitirajuća situacija mogla se desiti i prije više tjedana, pa i mjeseci. Ako se radi o organiziranom kriminalu, to tako obično i bude, dijelom zato što je lanac dug (onaj koji skima kartice na svom radnom mjestu obično je glupan, zadnji u lancu od 10 i više ljudi, i jedini kojeg uvijek uhvate kad naprave cross-reference svih prijavljenih krađa), a dijelom i zato što namjerno čekaju dulje da ih bude teže slijediti.

Također, razmisli o onom što sam naveo kao najčešće - netko od ukućana, kolega na poslu, u garderobi na fitnessu, bazenu i sl. Koliko ima dnevno ili tjedno situacija kad ostavljaš novčanik dostupan, a bez tvog nadzora na sat-dva? Ili čak na samo 5 minuta, što je dovoljno da si netko prepiše broj kartice i CVV2 i kasnije je "pegla" preko interneta (uglavnom za razne download sadržaje jer ga se tako ne može uhvatiti). Roditelji koji imaju djecu od 12-13 godina i stariju vrlo često su baš njihova žrtva. Hoće nešto, roditelji im to ne žele kupiti, oni si uzmu karticu (npr. za vikend dok znaju da su starci doma i ne idu nikamo) i speglaju je sami (prodavačici, ako ih ova uopće išta pita, kažu "mama mi je dala karticu da si kupim sam-a" i još pokažu maminu osobnu kao "dokaz") te poslije vrate natrag i prave se blesavi.

Hm, zaista mi je teško povjerovati u bilo koji od navedenih scenarija, pa me eto zato sad moja naivnost i košta
Moja ćerka ima 10 godina, tako da ipak ne sumnjam u nju (eto opet sam previše povjerljiva)
Kad sam vani, ili na poslu, novčanik je uvijek sa mnom. Jedina situacija gdje nije bio konstantno pod mojim nadzorom je na bazenu (u zaključanom ormariću) i u teretani (ali to je bilo pred više od par mjeseci).

Ne znam da li to banka uopće radi, ali mogu li oni pomoću IP adrese otkriti o kome se radi, ili je to ipak slučaj za policiju?

Banka se time ne bavi. Za to postoje ljudi u Mastercardu. Iz ovog zaključujem da su te "ukradene" transakcije sve online? To znači da je nekom dovoljno 2-3 minute (dok si na WCu na primjer) da izvadi karticu iz tvog novčanika, uslika je mobitelom s obje strane i vrati ti je natrag.

Ne želim da sad počneš sumnjati u sve svoje kolege s posla i sve ukućane, i ne znam koga sve ne, samo ti ukazujem kako je puno lakše do broja kartice doći "off-line", nego online.

Ali isto tako, ako su to sve bile online transakcije, doznaj da li su preko PayPala ili direktne. Ako su preko PayPala, tada ti je netko provalio PayPal lozinku. Promijeni je.

smayoo kaže:

Ne znam, to sam ja pretpostavila, sad vidim da je sve moguće. Iz banke mi nisu znali reći gdje su obavljene transakcije, pošto još uvijek, tj. do danas nisu bile realizirane. Uglavnom, kartica je blokirana, izdana mi je nova, password za paypal ću promijeniti a daljnje ću online kupnje vjerojatno nastaviti obavljati prepaid karticom.

Hvala Smayo

Nema na čemu.

Evo mali update:
provjeravala sam preko internet bankarstva karticu i sad su vidljive te tri transakcije koje bi "trebale" doći na naplatu i to:

27.07. OLYMPICA 335,15 eura
27.07. OLYMPICA 295,15 eura
27.07. AEGEAN AIRLINES 99 eura

Pretpostavljam da je time pokušana naplata za avionsku kartu i možda hotel? Nažalost, moram čekati ponedjeljak da vidim sa svojom bankaricom od kuda su napravljene te transakcije.

Provjeravala sam svoj pay pal account, promijenila sam password, i tamo su mi zadnje transakcije od početka mjeseca koje i jesam napravila kad sam kupovala ćerki igricu.

Mastercard sam zadnji put koristila 11.07. i to za online kupnju avionskih karti Croatie Airlines i 15.07. na naplatu cestarine na naplatnim kućicama Demerje.

Stvarno više ne znam, izludit ću do ponedjeljka

Dakle, na PayPalu nemaš "čudnih" transakcija, to znači da se ovo nije dogodilo preko PayPala.
Kupovala si avionsku kartu (u nekoj putničkoj agenciji, pretpostavljam) i 16 dana kasnije netko tvojom karticom pokušava uplatiti za avionsku kartu i smještaj.

Meni je ovo prilično indikativno. Čak i ljudi koji često putuju avionom bi se složili da je ovo poprilična koincidencija. Nije nemoguće, ali je vrlo malo vjerojatno da taj pokušaj krađe nema veze s putničkom agencijom gdje si kupovala avionsku kartu. Odnosno, s nekim od osoblja u toj agenciji.

Pokušaj se sjetiti (u toj agenciji gdje si kupila kartu od Croatie) što su radili s tvojom karticom i da li ti je cijelo vrijeme bila "na oku".

Koliko su puta tvoju karticu provukli kroz nešto? Samo jednom ili više puta?

Ako je više puta, što je to još bilo osim POS-a?

Da je nisu, nedajbože, peglali na klasičnu peglu?

Da je nisu (i to sam vidio!) fotokopirali?

Da je nisu nosili nekamo u neku drugu prostoriju, izvan tvog vida?

Karte sam kupovala online na službenoj stranici Croatie Airlines.
Vrag mi ne da mira pa sam sada zvala Aegean Airlines pa ćemo vidjeti što oni kažu (čekam da mi odgovore na mail), a pretpostavljam da je Olympica hotel, našla sam jedan u Švicarskoj, zvala sam i njih pa sad čekam i njihov odgovor

To je agencija aviokarte.hr (iako je site cijelo vrijeme od Croatia airlines, transakcija se naplaćuje preko aviokarte.hr) - tako je barem bilo prije godinu i sitno kad sam ja kupovao kartu za Sarajevo. Što ti piše na izvodu?

Same stranice za plaćanje na siteu od Croatia Airlines su HTTPS, dakle vrlo je, vrlo, vrlo, vrlo teško da ti je netko "posnifao" broj kartice u trenutku dok si kupovala karte.

Ovisno o tome kako oni u agenciji vode brigu o tim platnim podacima, mogao ih je kod njih u kući netko očitati iz informatičkog sustava, ili im (agenciji ili Croatia airlinesu) je netko hackirao sustav (u kojem slučaju nisi jedina žrtva - a i to je moguće jer ti je banka nekako prelagano prihvatila da to nije tvoja transakcija, dakle već su znali da ima negdje security breach).

Naravno, hackiran je mogao biti i sustav od banke, ili od Mastercarda, ali s obzirom na vrlo striktne procedure i vojsku ljudi koja tamo brine o sigurnosti, to je puno manje vjerojatno.

U svakom slučaju, (sve su ovo samo moje pretpostavke, naravno - što bi Ameri rekli - "educated guess") to što si kupovala online nije ni na koji način olakšalo lopovima posao. Da si u toj istoj agenciji došla uživo platiti karticom, lako je moguće da bi ti se isto dogodilo.

smayoo kaže:

Da, to je i mene iznenadilo i sama činjenica da su me prilično brzo nazvali, dakle isti dan i to 2 sata nakon tih transakcija. Čak su mi rekli da ukoliko i dođe do naplate tih transakcija da ću dobiti povrat novaca.

Inače na izvodu piše baš Croatia Airlines, ne aviokarte.hr i tada me nisu zvali iz banke za autorizaciju za iznos veći od 2000 kn

Hvala Smayo

To je bio hack na nečiji server. Isto bi ti se dogodilo i da si kupila kartu u poslovnici.

Nema na čemu.

Bit će da je, i nadam se da će sve to proći što bezbolnije

hvala još jednom