Kiedy o 3:13 w nocy przychodzi SMS z pytaniem czy próbujesz właśnie zrobić zakupy na 3,5 USD na końcu świata, to wiesz, że masz problem. Moją kartę (numer karty) o tej właśnie godzinie ktoś starał się wykorzystać do zakupów w Stanach Zjednoczonych. Właściwie była to próba czy karta działa.
Kartę na szczęście po ostrzeżeniu od Alior Bank bardzo szybko, jednym SMS-em zablokowałem i mogłem spokojnie przyjrzeć się z boku całej sytuacji. Pierwsze co zrobiłem, to zalogowałem się do bankowości elektronicznej i sprawdziłem jakie transakcje są na karcie. Widzę jedną na 50 USD i potem na 0.04 USD i 0.03 USD. Status transakcji “niezaksięgowane”. Abstrahując jednak od kwot, bardziej interesowało mnie w jaki sposób ktoś wszedł w posiadanie numeru mojej karty. O skanie paska magnetycznego nie było mowy, ponieważ wszystkie te transakcje były onlinowe.
Jako dość świadomy użytkownik karty byłem tą akcją naprawdę zaskoczony. Od miesięcy nie używałem karty w fizycznej postaci. Zawsze płacę telefonem przez Apple Pay. Nie pamiętam czy w ostatnim półroczu wyjmowałem ją w ogóle z portfela, którego też już praktycznie nie noszę. Jeśli wcześniej płaciłem kartą, to nigdy nie daję jej nikomu do ręki, wypłacam pieniądze też tylko w bezpiecznych miejscach (bankomat w galerii handlowej, lotnisko, bankomat w banku).
Sprawdziłem też transakcje online kartą, gdzie podawałem jej numer. W ciągu ostatnich kilku miesięcy były tylko płatności przez PayU i podobne zaufane systemy płatności i tylko w dużych zaufanych sklepach typu Komputronik, X-kom i podobne.
W ostatnich miesiącach było jedynie kilka transakcji online. Nie było płatności fizycznych kartą przy użyciu czytników. Płatności fizyczne realizuję za pomocą telefonu i technologii zbliżeniowych, a co do bezpieczeństwa Apple Pay nie mam żadnych wątpliwości (szczególnie, że odbiorca płatności ma do czynienia z numerem wirtualnym karty).
Jak więc złodziej wszedł w posiadanie numeru mojej karty? Nie potrafiłem odpowiedzieć sobie na to pytanie. Postanowiłem więc zadzwonić do kogoś mądrzejszego w tych sprawach czyli do Piotra Koniecznego (Niebezpiecznik). Piotrek po wysłuchaniu mojej historii zadał mi konkretne pytania "byłeś ostatnio w jakichś hotelach? Podawałeś może numer karty przy rezerwacji online hotelu ? To mogło być nawet pół rok czy rok temu".
I tutaj już pewny nie byłem odpowiedzi. Owszem często podróżuję, ale przeważnie płacę za hotel z góry przy użyciu systemów płatniczych online. Gdzieś jednak coś mi w głowie świta, że kiedyś przy rezerwacji podawałem numer karty (bez kodu CVV). Nie pamiętam jednak kiedy i gdzie więc musiało to być bardzo dawno.
Piotr wyjaśnił mi, że to właśnie systemy hotelowe są częstym celem dla złodziei. Często numery wypływają z booking.com, który jest przecież bardzo popularnym pośrednikiem, a ich interfejs jest podczepiony do wielu systemów hotelowych. Kradzież danych mogła nastąpić więc przez system hotelowy. Mogli włamać się do hotelu, w którym spałem w zeszłym roku i wyciągnąć numer mojej karty, próbując użyć jej dopiero teraz. Generalnie nie jesteśmy w stanie w takim przypadku zidentyfikować miejsca, z którego nasze dane wypłynęły w przypadku hotelowego włamania.
Co ciekawe te transakcje po 0.04 USD, a potem 50 USD, to było tylko próbkowanie czy wszystko działa. Potem na zablokowanej karcie złodzieje się już rozpędzili, bo próbowali zrobić zakupy na 500 USD.
Przy czym zakupy to tak naprawdę nie były. To była próba wyciągnięcia pieniędzy przez jakiś lewy / wirtualny sklep czy podstawionego merchanta
Opis we wszystkich transakcjach wyglądał mniej więcej tak:
Jeśli weźmiemy teraz nazwę tego punktu i wrzucimy ją w Google, dostaniemy na pierwszym miejscu dziesiątki wątków o tym, że ktoś zauważył jakieś lewe przelewy z takim opisem na swoim koncie bankowym czy w wykazie transakcji kartą. Czasem kwoty sięgały kilku tysięcy dolarów.
Na szczęście w moim przypadku bank zadziałał bardzo szybko. Wprawdzie kilka transakcji tych testowych muszę reklamować, ale to jest kwota ok 200 PLN.
Inna sprawa jak złodzieje są w stanie wykorzystać moją kartę bez kodu CVV i bez mojej autoryzacji SMS-em? W przypadku mojej karty (Mastercard) każda transakcja online jest autoryzowana SMS-em, który przychodzi na mój telefon. Czy w przypadku transakcji w USA system ten działa inaczej? Czy jest tam jakiś limit, poniżej którego można transakcje kartą puścić bez takiego potwierdzenia? Konsultant w Alior Banku niestety nie był w stanie udzielić mi odpowiedzi na to pytanie. Co jest dla mnie jak najbardziej zrozumiałe.
Koniec końców, cała historia zakończyła się dla mnie bezboleśnie. Bank za wyrobienie nowej karty też nie zażyczył sobie opłaty, a ja jedynie muszę zgłosić kilka nieautoryzowanych transakcji. Nauczka na przyszłość dla mnie i porada dla was - uważajcie na systemy hotelowe i nie podawajcie numerów kart. Nawet jeśli formularz z danymi wygląda na w pełni bezpieczny.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
