Vlákno názorů k článku Když šifrování snižuje bezpečnost a banka vyzrazuje číslo karty od Petr Soukup - Děkuji za zajímavý článek. Já bych ještě dodal, že...
-
Děkuji za zajímavý článek.
Já bych ještě dodal, že 3D secure přináší jen minimální užitek. Použití 3D secure nelze vynutit ani ze strany držitele karty, ani ze strany obchodníka. Tedy obchodník vždy podstupuje riziko, že mu někdo zaplatí kradenou platební kartou co nepodporuje 3D secure (třeba někde z USA) a bude z toho mít problémy. A přitom nemůže dělat nic, než lustrovat své zákazníky nějakou primitivní neúčinnou metodou.
Majitel karty zase trpí rizikem, že mu s kartou zaplatí někdo v obchodě, který 3D secure nepodporuje a problém má také. Ani jeden si nemůže zapnout vynucení 3D secure.Tedy 3D secure je zde jen na obtěžování lidí, aby měli nějací bezpečnostní "experti" z USA dobrý pocit, že skvěle zabezpečili problémový region východní Evropu (nebo celou Evropu) i když nejproblémovější region je USA, kde 3D secure není obvyklé a je spousta tak hloupých obchodníků, co si píší čísla karet svých zákazníků do wordu, který pak omylem vystaví na internet.
Na vlastní oči jsem viděl jak jeden Rumun doslova vygooglil platné číslo platební karty a pak si s ní koupil placenou verzi VMware. Psal se rok 2004, dnes google odmítá kreditní karty hledat, ale dají se koupit na černém trhu za cca 1 USD/kus. Tam je možné koupit i přístupové údaje na paypal. Jediný problém pro podvodníky je ten, jak hromadně a pro ně bezpečně převést tyto údaje na hotovost. Tak a plaťte moderně platební kartou na internetu :)
Možné řešení: U Fio si zdarma zřiďte spořící nebo druhý účet a k němu extra kartu. Na účet si pošlete těsně před platbou jen tolik, kolik se zrovna chystáte zaplatit.
-
qwertz (neregistrovaný)
To se mýlíte a vůbec jste nepochopil princip. Ano, 3D secure chrání především obchodníka, protože mu umožňuje přijmout pouze autorizované platby (kartu bez 3D afaik může volitelně odmítnout). Současně 3D secure snižuje okruh obchodníků, kde může útočník s kradenou kartou zaplatit bez ovládnutí druhého autorizačního kanálu (typicky SMS, ale možné jsou i jiné).
Celý vtip s 3D secure podle mých informací spočívá v tom, že "podvodná transakce" jde automaticky na vrub té strany, která (zbytečně) použila nižší způsob zabezpečení. Tzn. pokud vaši kartu s 3D secure někdo zneužije na čínském eshopu, který 3D secure nepoužívá, smolíka má automaticky obchodník.
-
Jednou mě špatně naúčtoval něco godaddy.com při kupování certifikátu na doménu. Prostě sleva sleva sleva a pak to strhli bez slevy, tedy mnohonásobně více. Snažil jsem se to reklamovat u české banky Reiffeisenbank a ta s tím nechtěla nic mít. Vůbec by nepomohli. Nakonec mi peníze vrátil sám obchodník, ale nepočítejte s tím, že banka bude jednat ve váš prospěch. Ti budou jen mlžit a vymýšlet proč vám nepomohou.
Ano banky v USA jsou zvyklí se zastat svého klienta a obchodník má pak smůlu. České banky ale na to nejsou vůbec zvyklí a budou mlžit a marketingově lhát.
-
xxxxx (neregistrovaný)
Moment, pokud nebyl realizován domluvený obchod (platba neodpovídala tomu, co uváděl obchodník), tak to je zneužití, ne? Obchodník zneužil data, která mu poskytl zákazník pro jiný účel (jiné peníze, které však strženy nebyly - to je ale jiná záležitost, tuto pohledávku zase může nárokovat obchodník), k realizaci jiné platby, na kterou se ale žádný obchod nevztahoval.
-
j (neregistrovaný)
2Petr: Nikolivek, reklamovat muzes libovolnou libovolne realizovanou platbu a to tusim 3 roky po jeji realizaci a banka je podle pravidel karetnich asociaci povina ti penize vratit. Prodavajici strana je pak ten, kdo musi pripadne dolozit, ze ti vse dodal presne tak, jak sis to objednal, tzn i za spravnou cenu.
-
null null (neregistrovaný)
No právní autorita jako Miroslav Šilhavý nejsem, ale asi to nebude tak jednoznačné:
(1) Byla-li provedena neautorizovaná platební transakce (což je otázka kdo a jak to zhodnotí), poskytovatel plátce neprodleně, nejpozději však do konce následujícího pracovního dne poté, co neautorizovanou platební transakci zjistil nebo mu ji plátce oznámil,
a) uvede platební účet, z něhož byla částka platební transakce odepsána, do stavu, v němž by byl, kdyby k tomuto odepsání nedošlo, nebo
b) vrátí částku platební transakce, zaplacenou úplatu a ušlé úroky plátci, jestliže postup podle písmene a) nepřipadá v úvahu.
(2) Byl-li platební příkaz k neautorizované platební transakci dán nepřímo, má povinnost podle odstavce 1 poskytovatel, který plátci vede platební účet.
(3) Lhůta podle odstavce 1 nezačne běžet, dokud má poskytovatel plátce důvod se domnívat, že plátce jednal podvodně, jestliže to spolu s odůvodněním písemně oznámí orgánu dohledu.
(4)Odstavec 1 se nepoužije, jestliže ztrátu z neautorizované platební transakce nese plátce.(kdo, komu a jak to prokáže, kdo to bude vymáhat a jak? Lhůta?)
-
qwertz (neregistrovaný)
Co je to autorizovaná transakce definuje §156. Jednoduše řečeno je neautorizovaná transakce každá, ke které jste nedal souhlas.
Máte pravdu, že má banka určitý manévrovací prostor (zcela logicky), nicméně důkazní břemeno je na bance a důvod k domněnce není totéž co "žádný důvod nemáme, ale budeme ho hledat".
Ztrátu z neautorizované transakce nese plátce v případě, které jsou tam jasně vyjmenovány, důkazní břemeno je opět na bance.
Vy jako klient nedokazujete nic. A chcete radu? pořiďte si kreditku. Pak jsou to peníze banky, a vy neřešíte, že se reklamace vleče.
-
Ověřoval jsem si to, český obchodník nemá možnost platbu bez 3D secure odmítnout, tedy 3D secure vynutit. O tom prostě nerozhoduje. Pokud víte o nějaké bráně která se chová jinak, prosím napište to.
Smolíka má vždy majitel karty a musí řešit nepříjemnosti pokud si všimne, že jej někdo okradl. Pokud si toho nevšimne, podvod se za cca 14 dní promlčí a smolíka má úplného. Je to falešný pocit bezpečí.
Je pravděpodobné, že si někdo z účtu vezme jen několik tisíc korun a ne vše, pak si toho nejspíš nevšimnete.Jediná drobná výhoda je, že vás neokradou s 3D secure tam, kde 3D secure používají ale jen tam kde jej nepoužívají. A to je hodně slabá ochrana.
-
Dodnes jsem si o 3D secure myslel to same co vy, ale asi to bude tak jak pise qwertz. Asi pak existuje nejaka lepsi paka na obchodnika pripojeneho do site. Je totiz jasne, ze podvodny obchodnik si 3D nezapne, ale asi se pak daji z neho ty penize vymoct.
Jinak bych uvital moznost potvrdit kazdou kartovou transakci, kdy mi penize odchazi z uctu. A to tak, aby to neslo obejit. Nevidim do toho, ale banky maji z nejakeho duvodu problem implementovat takovou featuru. Pritom, tohle musi kazdy chtit. -
MarSik (neregistrovaný)
Ze strany obchodníka noční můra, musel by řešit zákazníky co zapomenou nebo "zapomenou" potvrdit platbu. Ze strany zákazníka žádná změna k lepšímu: Dnes oznamuje jen podezřelé platby, ve vašem systému by musel potvrzovat každou platbu.. což je o několik řádů vyšší číslo. A to nemluvím o offline platbách, kde trvá i několik dní (nebo týdnů), než se objeví na výpisu. To samé blokace s odloženou platbou.
Takže ani jedna strana tohle nechce. Nepřináší to žádné zlepšení stavu a komfort placení by byl naopak horší.
Naše banky už umí o každé online platbě informovat v reáném čase (sms, email, bankovní aplikace), což je mnohem lepší a pohodlnější řešení, protože se správně předpokládá, že terčem podvodu budete jen ve velmi malém procentu (spíše promile) případů.
-
Problém je jinde, obchodníci se na podvodech nepodílí. Protože tím by brzy skončili úplnou blokací a nakonec by nedostali vyplaceno nic. To se mu ostatně může stát i když v tom bude nevinně, proto jako obchodník máte z podvodníků strach, ale nemáte moc možností jak je odhalit předem.
Podvody s kartami tedy nebude organizovat obchodník, ale někdo třetí.
Většina mezinárodních velkých obchodů 3D secure prostě nepoužívá. To se používá jen u nás nebo v Evropě.Pokud si někdo koupí něco na Aliexpresu na Vaši kartu, za řekněme 30 USD, objedná si zboží se zasláním někam do třeba do Ruska, pravděpodobně si toho vůbec nevšimnete a on bude mít zboží zdarma. Podobných plateb tam budete mít víc a platby si nevšimnete.
Pokud si toho všimnete a podaří se vám přesvědčit vaši českou velmi natvrdlou banku, že jste to opravdu nebyl vy (což může být nadlidský výkon), transakci stornují a peníze vrátí. Ve ztrátě bude Aleexpress nebo nejspíše chudák obchodník co zboží poslal. Tím to ale skončí. Kvůli třiceti USD nikdo nebude vyslýchat příjemce balíčku ať je to kdekoli na světě (natož někdo v Rusku nebo na Ukrajině) a dokazovat mu, že v tom má prsty. To by musel dělat hromadně. -
john doe (neregistrovaný)
Létat je tak prosté, proč se nenaučit i používat bankovní účty!
1. běžný - platební karta-A - zůstatek 2000,- platby pro jídlo, benzín, atd.
2. Internet - platební karta-B - zůstatek 100,- platby na internetu
3. spoření - NIC - zůstatek 950.000,- (štrozok)Chci něco zaplatit na internetu? Převedu si přesnou částku z "3. spoření " na "2. Internet" a provedu platbu kartou "karta-B".
Je to složité? Je to bězpečné? Funguje to?
:-) -
Ondřej CaletkaZlatý podporovatelJe to složité. Držet na běžném účtu zůstatek 2000 Kč a vyžaduje spoustu manuální práce přináší řadu trapných momentů u pokladny v obchodě, když zůstatek nebude o pár korun stačit na útratu. Navíc spořicí účty s nějakým netriviálním úrokem mají obvykle nějakou vázanost, že se z nich nevyplatí vybírat často menší částky.
-
qwertz (neregistrovaný)
Zjevně jste nikdy nešlyšel o offline transakci. :-)
Ve skutečnosti vaše řešení zas tak zásadně bezpečnost nezvyšuje. Zejména separátní účet pro platby na internetu je naprostá hovadina, protože při offline transakci se žádný zůstatek neověřuje a ještě dostanete pokutičku za neoprávněný debet. Že nemá smysl mít milion na běžném účtu je jasné.
Mnohem účelnější je mít kreditku, kde při zneužití okradnou banku a ne vás.
-
Je to spíše specifikum USA, kde prý může majitel karty kartu stornovat platbu na internetu téměř bez udání důvodů.
V ČR to nikdo moc nechce řešit a budete těžko dokazovat, že jste tu platbu neudělal vy, ale onen limit 14 dnů tam nejspíš nebude.Samozřejmě pokud vám někdo vybílí účet na první pohled pochybnýma platbama, tak asi nebude problém, aby banka uznala reklamaci a transakce zrušila. Pokud to ale bude běžná částka a nebude to nějaký hromadný způsob o kterém banka ví, budete mít problém v tom, aby vám banka uvěřila, že jste to nebyl vy. Nemáte důkaz a ani banka nemá důkaz že jste to byl vy. Prostě je to jen přiblblé tlachání bez důkazu.
Pravděpodobně si toho, že vám někdo ukradl několik set korun vůbec nevšimnete.
-
hg (neregistrovaný)
"smolika za 14 dni" je teda riadny blabol :) Vsetky karty su poistene a v CR mate typicky 90 dni na reklamaciu transakcie. Staci si precitat obchodne podmienky, ktore ste dostali spolu s kartou. Reklamacia je samozrejme o nieco zdlhavejsia, ak sa ta transakcia po par dnoch uz stihla zuctovat obchodnikovi, no nikdy som s tym nemal problem.
Osobne som (zrovna v raiffke) reklamoval uz niekolko krat zneuzitie karty a nikdy s tym nebol problem. Tykalo sa to malych sum (radovo stokoruny) a velmi velkych sum (40-50k), reklamovanych po 45 dnoch. Ak vam nieco taketo vasa banka spravila, tak by som ju asi velmi rychlo vymenil...
-
Petr M (neregistrovaný)
Jenomže EU chystá sjednocení e-komerce na území EU. Mělo by to vypadat tak, že obchodník jednoho státu nemůže odmítat zákazníky jinýho členskýho státu, nebo jim dávat jiný podmínky (lišit se může jenom cena za doručení). No a v tom případě podmínka platby kartou výhradně od CZ banky neprojde.
Další věc je turista v kamenným obchodě bez hotovosti...
-
msx. (neregistrovaný)
EÚ nechystá nič. Vraj ide umožniť, aby obchody prímali všetkých zákazníkov a nemôžu ich odmietnuť. Mám taký problém s jedným českým eshopom. Odmietajú doručovať na Slovensko. Tešil som sa, že príde zmena. Teraz mi už budú musieť predať, ale spomínaná legislatíva umožňuje nedoručovať, takže vlastne pre mňa sa nič nezmení. Oni ma totiž neodmietli, len mi povedali, že na Slovensko nedoručia a to ostane aj po zmene legislatívy. Takže EÚ nech si svoju legislatívu strčí do pr.ele.
-
Re: (neregistrovaný)
Nikoliv. Dle legislativy České republiky je možné, reklamovat transakci až 13 měsíců od data realizace transakce. Jednotlivé karetní společnosti (např. VISA), mají extra podmínky, ale Vás, jakožto klienta, to zajímat nemusí (např. podvodná transakce, kdy Vy nemáte 3D Secure (resp. issuer - banka vydávající platební kartu) a obchodník naopak je 3D Secure... tak v tomto případě banka analyzuje předmětný incident a vrátí vám peníze v hodnotě transakce (může i nemusí - podle analýzy). Jiná situace je v případě, že Vy jste 3D Secure, ale Merchant 3D Secure není (např. Aliexpres). V tomto případě máte peníze jisté, banka pošle Chargeback ACQ Merchanta, kdy ACQ Vaší bance pošle peníze v hodnotě transakce (45 dní) a následně ACQ vymáhá peníze v hodnotě transakce po Merchantovi, tj. subjektu, u kterého se fraud odehrál.
Ony kartové mezibankovní reklamace jsou úžasné a zajímavé zároveň :). Pokud Vás to zajímá, public verze VISA Core Rules, je k dispozici zde: https://usa.visa.com/dam/VCOM/download/about-visa/visa-rules-public.pdf
-
Osobně jsem znal člověka, který běžně platil čísly karet, které vygooglil na internetu. Tehdy bylo snadné najít číslo karty pomocí google, podle začátku (počátečních číslice karty jsou stejné pro stejný druh karet) a délky čísla platební karty. Paradoxně tito lidé platili pomocí karet co našli googlem snad právě proto, protože jejich domovská banka z východní evropy jim takovou kartu odmítala vydat z toho důvodu, že někde v USA považovali východní Evropu za rizikový region. Tehdy byl rok 2004. Zíral jsem na to tehdy jak puk, že mu to projde a je si tak jistý, že se tím dokonce chlubí.
Hledání čísla karet nyní google odmítá, čísla karet je nutné si obstarat jinak.
Typicky byl tehdy držitel takové karty nějaký Američan, jehož obchodník byl tak blbý, že si jeho číslo karty poznačil třeba do wordu nebo excelu a ten potom omylem umístil na internet. A takový průměrný američan má až stovky plateb podobných částek měsíčně. Takže toho, že mu někdo utratil navíc dalších 30 USD si nejspíše vůbec nevšimne, nebo si prostě podvodem není jistý a tak to nehlásí. Tehdy byly softwarové licence offline, takže nebylo možné je zpětně zneplatnit. Dnes to většinou jde, tak prostě provedete jinou platbu z jiné karty a budete doufat, že majitel si toho nevšimne. Kvůli částkám do 100 dolarů to nikdo vyšetřovat nebude, prodělá jen majitel karty případně obchodník. Kdyby to chtěl někdo vyšetřovat, pokud si dotyčný dá trochu pozor, nic mu nedokáží. A všichni to dobře vědí, proto se o to ani nesnaží.Pokud si necháte zaslat zboží z Číny, znají sice adresáta, nemají ale důkaz, že celý podvod organizoval zrovna adresát. Nikdo to vyšetřovat nebude. Vyšetřovalo by se to jen v případě, že by to bylo opravdu hromadné.
A to je pak pro podvodníky problém. Proto ty podvody nejsou tak běžné a všichni se mohou tvářit, že platba kartou na internetu je bezpečná i když je to totální lež. -
Ondřej CaletkaZlatý podporovatel
Existují banky, kde je možné nastavit různé limity pro platbu s 3-D Secure a bez, takže je možné nastavit nulový limit na platby bez 3-D Secure. Umí to třeba banka Creditas.
Pak ale na spoustě míst nezaplatíte ;)
-
peci1Stříbrný podporovatelA mbank se na me od zavedeni 3DS stale tvari, jako ze po ni chci divny a nesmyslny veci, kdyz chci limit pro 3DS a ty druhe zvlast :(
-
omelius (neregistrovaný)
U nas ma tatra banka moznost cez mobilnu aplikaciu si vygenerovat jednorazovu kartu na nakup cez internet, je to velmi prakticke aj pri subscriptions ktore su na urcite obdobie zadarmo a potom si pravidelne strhavaju peniaze, na kontrolu karty a strhnutie par centov to funguje, nasledne na vratenie strhnutej sumy tiez avsak pri dalsej platbe to uz nefunguje
