| Autor | Zpráva | ||
|---|---|---|---|
| Timy Profil |
#1 · Zasláno: 3. 2. 2008, 15:36:51
Nedávno jsem platil jízdenku na vlak online a zarazila mě jedna zvláštnost. Když jsem si zařizoval PayPal, musel jsem nějakým způsobem dokázat, že se jedná o můj účet. Tuším, že se to dělalo stáhnutím malého obnosu z účtu a do administrace paypal jsem pak musel zadat nějaký kód, který byl uvedený v poznámce. Nicméně při této platbě jsem využil jakýsi jiný online systém (viz kapitola 3. platba a podle historie asi šlo o pay.muzo.com, už si to nepamatuju) a ten po mně žádné ověření nechtěl… Prostě jsem zadal číslo kreditky, datum expirace a CVC kód (který byl ještě podle popisku nepovinný…) a převod byl uskutečněn.
Takže pokud jsem nepřehlédl nějakou drobnost, stačí mi nějak získat číslo kreditky, tipnout (nebo taky získat) datum expirace (zase tak moc možností není) a mohu si vesele převádět jak chci? Tedy ta kreditka ještě asi musí mít povolené transakce přes internet, s kreditkou od mamky mi to nešlo. Je tam teda nějaká ochrana proti zneužití, kterou jsem přehlédl? |
||
| Joker Profil |
#2 · Zasláno: 3. 2. 2008, 15:46:00
Timy
Jo, někde to opravdu tak funguje... někdy dokonce ještě méně bezpečný model: zákazník dá prodejci číslo karty a ten si pak strhne danou částku... a zákazník musí věřit, že prodejce neudělá žádný podraz. Bezpečnější způsob platby je, kdy zákazník samotnou transakci autorizuje na jiném webu, který patří tomu, kdo tu kartu vydal. Stejně ale není dobrý nápad někde na neznámém webu vesele zadávat číslo platební karty, pokud jsou na ní povolené Internetové transakce. |
||
| Aleš Janda Profil |
#3 · Zasláno: 3. 2. 2008, 16:07:13
Potrvzuji, opravdu je to udělané takhle blbě. Stačí prostě jednou někomu to číslo dát a pak ti můžou teoreticky strhávat co chtějí. Ty máš akorát možnost maximálního limitu odebrané částky a sledovat výpisy z účtů ;-)
Některé banky taky můžou platby aktivovat jen pro odečet z důvěryhodných služeb, přičemž ty důvěryhodné služby jsou nějak známé té bance. Zní to skoro výsměch bezpečnosti celého internetového bankovnictví. Ale ostatně - viděli jste někdy v bance tu krabici na vhazování příkazů o platbě? To je podle mě ještě horší. Prostě vezmu lísteček, vyplním číslo odesílatele, číslo příjemce, částku, odhadnu podpis, dám na to razítko, co se válí u toho a hodím do krabice. Voilá - druhý den mám peníze na účtu. Když si vezmu, že číslo účtu je často veřejně dostupné a podpis taky, nechápu, jak takováto možnost může v 21. století ještě existovat. Navíc každý personalista ve firmě má přístup k mnoha jak číslům účtu, tak podpisům. A zdaleka není sám.. Proti tomuhle se mi zdá mail navádějící se k přihlášení do falešné administrace jako nic :-) |
||
| Timy Profil |
#4 · Zasláno: 3. 2. 2008, 16:23:23
To je úchylné. Neukládám si heslo v prohlížeči, každou platbu z elektronického bankovnictví musím asi do deseti minut potvrdit SMS a teď přijdu na web, kde si každý – kdo zná číslo mé kreditky – může za moje peníze koupit co jen chce.
Jak se teda proti tomu nejlépe bránit? Přičemž to nechci zakázat úplně, abych přes to mohl případně něco zaplatit. |
||
| Joker Profil |
#5 · Zasláno: 3. 2. 2008, 16:53:53
Timy
Jak se teda proti tomu nejlépe bránit? Přičemž to nechci zakázat úplně Nejúčinnější asi je to zakázat úplně a na platby na Internetu mít třeba zvláštní "virtuální" platební kartu, na které bude vždycky jen tolik peněz, kolik je potřeba. |
||
| Marek Prokop Profil |
#6 · Zasláno: 3. 2. 2008, 18:55:18
Kreditky takto fungují odjakživa a jediný, komu to připadá divné, jsou zřejmě Češi :-)
každý – kdo zná číslo mé kreditky – může za moje peníze koupit co jen chce To samozřejmě může, ale máte-li kreditku od nějaké normální banky, není to Váš problém. |
||
| Timy Profil |
#7 · Zasláno: 3. 2. 2008, 19:11:13 · Upravil/a: Timy
Marek Prokop
„Kreditky takto fungují odjakživa a jediný, komu to připadá divné, jsou zřejmě Češi :-)“ Možná máme víc rozumu :o). Mně prostě přijde dost zvláštní, že když chci: – poslat peníze z jednoho účtu na jiný účet, musím projít kontrolou přes SMS. Tím prokážu, že za tou transakci stojím s největší pravděpodobností já. – zaregistrovat na tu samou kreditku PayPal, tak mi stáhnou trochu peněz z účtu a já musím následně vyčíst z poznámky kód a ten jim napsat do nějakého formuláře. Tím zase prokážu, že ten účet je fakt můj. – registrovat účet do AdSense, musím projít ověřením účtu a přitom tam není možné účet zneužít, protože se peníze posílají jen jedním směrem. Kdekoliv jinde musím jednak projít ověřením a i po ověření musím znát nějaká hesla. Při tom převodu co popisuji nahoře, nemusím projít ověřením a nemusím znát hesla. Přitom by stačilo třeba to ověření přes SMS (ačkoliv nevím, jestli by to bylo technicky možné) a bylo by to asi stokrát bezpečnější. Joker To už je moc složité… Ale jestli nebude jiná možnost… |
||
| habendorf Profil |
#8 · Zasláno: 3. 2. 2008, 19:21:36
Timy
Ale Marek má pravdu, takhle to prostě s kartami funguje a vždycky fungovalo. Napodobit podpis také není až takový problém a čím máš chráněné šeky - jen podpisem. |
||
| Joker Profil |
#9 · Zasláno: 3. 2. 2008, 19:22:45
Marek Prokop
jediný, komu to připadá divné, jsou zřejmě Češi :-) Neřekl bych, že jen Čechy napadne to zneužít... soudě podle počtu různých "nenápadných" formulářů, které se právě číslo karty a datum expirace snaží z návštěvníka vytáhnout. Marek Prokop máte-li kreditku od nějaké normální banky, není to Váš problém. Mnoo... snažit se v normální české bance o reklamaci tvrzením "Tuhle platbu jsem nedělal já" by jistě byl velmi zajímavý pokus, nicméně raději bych ho zůstal ušetřen :-) Jinak mám pocit, že naše banky aplikují poměrně jednoduché řešení: že účty anebo karty v základu takové platby vůbec neumožňují. |
||
| Timy Profil |
#10 · Zasláno: 3. 2. 2008, 19:34:17
habendorf
„Ale Marek má pravdu, takhle to prostě s kartami funguje a vždycky fungovalo.“ Já neříkám, že to takhle nefunguje a nefungovalo. Jen mě to dost překvapilo, protože normálně takhle přes kartu neplatím, používal jsem (občas) jen PayPal a ten je aspoň zajištěný nějakým heslem. A stejně jako Joker si myslím, že následně vysvětlovat bance, že tenhle převod jsem fakt neprovedl já by bylo takové… Hodně nejisté. Nezná někdo nějaký konkrétní příklad? Nechce se mi věřit, že by tohle ještě nikdo nezneužil. Tak jsem našel jeden starší související článek na Lupě. Snad to tehdá nebyl fake ;-). |
||
| Joker Profil |
#11 · Zasláno: 3. 2. 2008, 19:59:07
habendorf
Napodobit podpis také není až takový problém a čím máš chráněné šeky - jen podpisem. Není problém? Podle mě spíš obvykle není problém dokázat, že to není můj podpis. |
||
| habendorf Profil |
#12 · Zasláno: 3. 2. 2008, 20:12:23
Joker
Já nevím jak ty, ale já se dvakrát stejně nepodepíšu. Tudíž k odchylkám je jakási rozumná míra tolerance. Ale to už jsme OT. |
||
| juk_jana Profil |
#13 · Zasláno: 3. 2. 2008, 22:44:45
Říkal mi kolega, co byl na podzim pár týdnů v Americe, že tam jiný způsob než platit kartou neexistuje (zařizoval si na to novou embosovanou) a prý je zneužití karty relativně těžký zločin. Možná hraje roli těch několik desítek let, o které se karty využívají v Americe více. Místní mu snad tvrdili něco v tom smyslu, že by z hlediska trestní odpovědnosti bylo lepší mu tu kartu vzít násilím, než si to číslo nějak opsat a zneužít. ;-)
|
||
| Martin Profil |
#14 · Zasláno: 3. 2. 2008, 22:51:26
Já jsem si zřídil virtuální (papírovou) platební kartu, kde mám nastavený limit. Platil jsem vždy jen domény, rychlost je neuvěřitelná. Pro platbu musím znát číslo karty, expiraci a kontrolní kód. Oblafnout to určitě jde : )
|
||
| Marek Prokop Profil |
#15 · Zasláno: 3. 2. 2008, 23:09:58
Kdekoliv jinde musím jednak projít ověřením a i po ověření musím znát nějaká hesla.
Ale to je přeci u kreditky taky. Jak držitel, tak obchodník musí nejprve projít ověřením a číslo slouží jako heslo. snažit se v normální české bance o reklamaci tvrzením "Tuhle platbu jsem nedělal já"... Ano, v některých českých bankách to může být trochu nepříjemné, ale uznat by Vám to měla každá. Mj. proto, že ty peníze obratem sebere obchodníkovi, takže o nic nepřijde. ...nicméně raději bych ho zůstal ušetřen Při dodržování běžných bezpečnostních opatření (nedávat číslo karty nespolehlivým lidem) toho ušetřen budete. Ostatně, bez těch bezpečnostních opatření asi také. Kdesi jsem četl, že číslo cizí kreditky stojí na černém trhu řádově jednotky dolarů. Z toho je vidět, jakou asi má reálnou hodnotu a jaké je tudíž reálné riziko jeho úspěšného zneužití. Mimochodem, jak třeba cestujete, resp. jak si v zahraničí rezervujete ubytování v menších hotýlcích a pensionech? To přeci snad vůbec nejde jinak, než že jim pošlete číslo karty jen tak e-mailem, protože žádné platební brány nemají. Před pár lety je ostatně neměly ani ty velké hotely. prý je zneužití karty relativně těžký zločin No já nevím, myslel jsem, že krádež je zločin všude, nejen v Americe a nejen zneužitím karty :-) |
||
| Timy Profil |
#16 · Zasláno: 3. 2. 2008, 23:24:17
Marek Prokop
„Ale to je přeci u kreditky taky. Jak držitel, tak obchodník musí nejprve projít ověřením a číslo slouží jako heslo.“ Tady se asi trochu nechápeme. Ostatní služby, které používám, si nejdříve zkontrolují, zda k tomu účtu mám přístup (zkrátka jsem nucen podívat se do svého účtu nebo alespoň na výpis, což implikuje, že k tomu účtu opravdu mám přístup). A poté musím ještě znát login a heslo. U kreditky není žádné ověření v tom smyslu, že by mi poslali nějaký kód přímo na účet, ani třeba ověření přes SMS. A není tam ani kombinace login+heslo, ale jen login, který se ještě neskrývá za hvězdičkami, ale je normálně čitelný. Proč se u internetového bankovnictví instalují všemožné certifikáty a proč tam funguje ověření pomocí SMS a nespoléhá se jen na to, že nikdo neuhádne kombinaci login+heslo a případně na to, že krádež je trestná? To se to opravdu nijak nezneužívá? |
||
| Marek Prokop Profil |
#17 · Zasláno: 4. 2. 2008, 00:22:59
Proč se u internetového bankovnictví instalují všemožné certifikáty...
Asi proto, že to je na internetu snadné. Jenže kreditky vznikly někdy v padesátých letech a byly navrženy tak, aby umožnily platby v kamenných obchodech primárně bez jakýchkoli dalších technických prostředků. To se to opravdu nijak nezneužívá? Ale jo, zneužívá, ale o škody se dělí banky s obchodníky a v součtu se jim to asi vyplatí. Zavedením debetních karet se to možná trochu změnilo, protože z těch mají jak banky tak obchodníci menší zisk. Proto se bezpečnostní mechanismy vylepšují, obchodníci v kamenných provozovnách mají terminály, na internetu už častěji používají renomované platební brány apod. Musíte si uvědomit, že žádná platební metoda a žádný převod peněz není bez rizika. Když budete jako obchodník inkasovat platby v hotovosti a každý večer je odvážet do banky, se statistickou jistotou Vás vždy jednou za pár let přepadnou zloději, tržbu Vám ukradnou a škoda zřejmě bude větší, než peníze, které byste musel za stejnou dobu vrátit bance z reklamovaných kartových plateb. |
||
| Mistr Profil |
#18 · Zasláno: 4. 2. 2008, 03:09:02
K tématu podpisového vzoru.
Před nějakým časem (a není to tak dávno) jsem náhodou v televizi zahlédl jakýsi krátký příspěvek, v němž Alexander Hemala (to si pamatuji ještě doteď) radil, jak vytvořit podpisový vzor. A vím, že bylo doporučováno, aby nebyl stejný jako "oficiální" podpis. Lze jej také něčím dotvořit. Nabízí se třeba kreslení domečku za podpis nebo něco jednoduššího jako je třeba podtržení, nadtržení, svislé čáry apod. Tím se podpis zcela odliší od toho "oficiálního". K tématu ochrany mého účtu. Můj potenciální švagr přišel se zajímavou myšlenkou, kterou by bylo možné využít i v těchto souvislostech (on to plánoval pro cestu do zahraničí). Totiž, nabízí se využití služeb mBanky. Všude prohlašují, že je to zadarmo, tak si plánuje na nově zřízený účet v mBance poslat (či posílat) nějaký základ a z něho platit v podobných "ožehavých" prostředích. Krom tohoto nového účtu v mBance má již nějakou dobu účet - tuším - u České spořitelny. |
||
| juk_jana Profil |
#19 · Zasláno: 4. 2. 2008, 08:12:47
prý je zneužití karty relativně těžký zločin
No já nevím, myslel jsem, že krádež je zločin všude, nejen v Americe a nejen zneužitím karty :-) Tím jsem myslela to, o čem píšu o pár vět dál - tedy že je to těžší zločin než násilí vůči jejímu držiteli. Jenže kreditky vznikly někdy v padesátých letech a byly navrženy tak, aby umožnily platby v kamenných obchodech primárně bez jakýchkoli dalších technických prostředků. To je zajimavá informace, že jsou tu kreditky celkem dlouho jsem věděla, ale že už tak dlouho to jsem netušila :-) Jinak mám pocit, že naše banky aplikují poměrně jednoduché řešení: že účty anebo karty v základu takové platby vůbec neumožňují. Ano, než by si komplikovali život s reklamacemi, raději tyhle služby ani neposkytují :-) Sama mám zkušenost s jednou prapodivně strženou platbou - peníze mi z účtu odešly a obchodník se tvářil, že mu nedorazily. Řešilo se to asi tři měsíce, ale nakonec mi ty peníze vrátili. |
||
| Aleš Janda Profil |
#20 · Zasláno: 4. 2. 2008, 08:47:27
> snažit se v normální české bance o reklamaci tvrzením "Tuhle platbu jsem nedělal já"...
Ano, v některých českých bankách to může být trochu nepříjemné, ale uznat by Vám to měla každá. Mj. proto, že ty peníze obratem sebere obchodníkovi, takže o nic nepřijde. Chápu to tak, že ten kreditní systém funguje oběma směry, tj. obchodník může bez potrvzení strhnout částku od banky ze zákazníkova účtu, ale stejně tak může banka strhnout peníze od obchodníka? Předpokládejme situaci: Objednávám si třeba nějaký hotel, zadám číslo kreditní karty, objednávka proběhne, peníze se mi odečtou. Druhý den si tu objednávku rozmyslím, ale hotelu bych musel zaplatit storno poplatky. Tak přijdu do banky, řeknu, že mi včera někdo nelegálně strhnul peníze a že to chci reklamovat. Uznají mi to a vrátí peníze? Fakt lze platby i takto stornovat? Říkal mi kolega, co byl na podzim pár týdnů v Americe, že tam jiný způsob než platit kartou neexistuje (zařizoval si na to novou embosovanou) Jsem rád, že u nás jsme na tom s bankovními systémy evidentně dále :-) |
||
| Joker Profil |
#21 · Zasláno: 4. 2. 2008, 09:07:27 · Upravil/a: Joker
Marek Prokop
No já nevím, myslel jsem, že krádež je zločin všude, nejen v Americe a nejen zneužitím karty :-) No, pokud juk_jana píše: Místní mu snad tvrdili něco v tom smyslu, že by z hlediska trestní odpovědnosti bylo lepší mu tu kartu vzít násilím tak by to znamenalo, že zneužití karty je tam těžší zločin než loupež, což je podstatně těžší zločin, než krádež (pro zajímavost "základní" trest za krádež je peněžní trest, případně až dva roky vězení, "základní" trest za loupež je 3-10 let vězení). Mimochodem, ad krádež, pokud to u nás je krádež, tak když si někdo opíše číslo karty a pak nakoupí třeba za 4000Kč, i kdyby ho náhodou chytli, možná mu tak řeknou "Ty, ty, ty, už to nedělej". Mistr K tématu podpisového vzoru... No zrovna u platebních karet je vtip v tom, že platba (edit: myšleno platba osobně přes terminál) je zabezpečená podpisem, který je na zadní straně karty, takže když mi někdo tu kartu sebere, má neomezené možnosti si ten podpis nacvičit. Naštěstí se už rozmáhají čipové karty, kde tohle neplatí, protože je potřeba zadávat PIN. nabízí se využití služeb mBanky. Teoreticky to ani není potřeba, některé banky nabízejí "virtuální" Internetové platební karty, kde se snad dají nastavit nějaké limity. Aleš Janda Předpokládejme situaci: Objednávám si třeba nějaký hotel... Nejenom to, teoreticky si můžu něco nakoupit (pochopitelně něco, kde se nezadává adresa :) ) a pak říct, že to jsem nebyl já a chtít peníze zpátky. Celý můj nárok na vrácení peněz je v obou případech založený jen na tvrzení, že jsem tu transakci neudělal já. |
||
| Marek Prokop Profil |
#22 · Zasláno: 4. 2. 2008, 11:34:39
Předpokládejme situaci: Objednávám si třeba nějaký hotel, zadám číslo kreditní karty, objednávka proběhne, peníze se mi odečtou.
IMHO už tady děláte ve své úvaze první chybu. V ČR je dost rozšířený mylný názor, že platba kartou = platba předem, jenže tak to nebývá. Obchodníci musejí dodržovat dost přísná pravidla a obvykle si nemohou peníze strhnout dřív, než zboží či službu skutečně dodají. U nás platím kartou třeba u Mallu a peníze mi vždy odešly i několik dní poté, co jsem už měl zboží doma. Pak už má obchodník samozřejmě můj podpis na dodacím listu. Hotelům se při rezervaci většinou posílá číslo karty jen jako garance. Ve skutečnosti pak platíte až na místě. Se storno poplatky je to různé, ale v zásadě platí totéž, co u čehokoli jiného -- není-li jedna strana (v tomto případě hotel) schopna dokázat, že byla uzavřena platná smlouva (v tomto případě o smluvní pokutě), nemůže plnění právně vymáhat. Druhý den si tu objednávku rozmyslím, ale hotelu bych musel zaplatit storno poplatky. Tak přijdu do banky, řeknu, že mi včera někdo nelegálně strhnul peníze a že to chci reklamovat. Uznají mi to a vrátí peníze? Ano, vrátí... poprvé, podruhé, potřetí. Pak už si asi začnou ověřovat, zda Vaše procento reklamací odpovídá nějakému průměru a v jakém vztahu je k podílu reklamací u dotyčných obchodníků. Nakonec třeba skončíte jako nežádoucí klient pro většinu bank, protože ony si tahle data mezi sebou předávají. Jsem rád, že u nás jsme na tom s bankovními systémy evidentně dále Bohužel je vztah k využívání karet pravděpodobně jednou z příčin nerovnoměrného rozvoje internetu v USA a v Evropě (o ČR nemluvě). Ono je dost těžké na internetu něco prodávat, když to není jak zaplatit. U nás rozšířené bankovní převody a dobírky jsou uživatelsky tak nepřátelské, že výhody nákupu na internetu mnohdy skoro eliminují. |
||
| habendorf Profil |
#23 · Zasláno: 4. 2. 2008, 13:07:14
Jenže kreditky vznikly někdy v padesátých letech
To je zajimavá informace, že jsou tu kreditky celkem dlouho jsem věděla, ale že už tak dlouho to jsem netušila :-) Skutečnost je taková, že první kreditky se objevily již ve dvacátých letech a vynález konceptu jejich používání je z roku 1887 (!). Viz http://en.wikipedia.org/wiki/Credit_card#History Taky se mi zdá, že zde někteří poněkud volně operují s pojmem "kreditka", majíce na mysli asi spíše kartu debetní. Kreditní a debetní karta jsou dvě věci s dost podstatným rozdílem. Zatímco používáním debetní karty operujete se svými prostředky, používáním kreditky operujete s prostředky vaší banky. |
||
|
Časová prodleva: 16 let
|
|||
0