Sansa da booking.com ima neki popust a da to vec nije procurelo u javnost je vrlo mala - nije nula, ali je mala.

Zapravo od svih ostalih mogucnosti, to je verovatno najmanja.

Prvo pitanje koje moras postaviti je: da li je kartica sve vreme bila vidljiva dok si placao #1 i #3? Tipican nacin kradje je da se kartica prevuce kroz "dodatni" citac koji skladisti podatke za lopove.

Izmedju ostalog i zbog ovoga su jos pre vise godina npr. restorani poceli da koriste one male wireless terminale koje ti donesu na sto da ti sam vidis (a i ukucas PIN) sta se radi sa karticom.

Ako si izgubio "ocni kontakt" sa karticom na kratko vreme, ocitavanje je moglo tu da se desi.

Druga mogucnost je neki malware na sistemima sa kojima si radio online placanje.

To (kradja broja i podataka) uopste nije moralo da se desi sada, vec u bilo kom momentu od kada si dobio tu karticu od banke.



Ne ide to bas tako - danas se stvari mnogo vise prate i postoji trag tako da retko taj sto je "ukrao" karticu istu i koristi, pa cak ni oni za koje "radi".

Brojevi kartica sa podacima se prodaju "bulk" kao "sirovina" na crnom trzistu (za bitcoine, kes, drugu robu) i to sigurno promeni ruke par puta dok neko nije pokusao da je upotrebi.

Tako da, moguce je da je proslo neko vreme od momenta kradje broja do momenta kada je neko pokusao da je iskoristi.

IMHO, savetujem ti da ne lupas glavu sa tim - ako cesto koristis karticu za svata, to je moglo da se desi na milion mesta. Meni je par puta ukradena kartica i cak nije nista stiglo ni do pokusaja transakcije vec je banka proaktivno zamenila karticu zato sto je moj broj bio na gomili u nekoj policijskoj zapleni boga pitaj gde - svaki put. U mom slucaju, mozda je bio restoran, mozda hotel, mozda benzinska pumpa - ko ce to znati.

Ako postoje neki tragovi policija ih sigurno vec ispituje. Ako ne, nema nista od toga, mogao je biti bilo ko.

Klasican MITM na public wifi mrežama.
Neko treći podigne svoji wifi AP sa istim nazivom mreže, vi se konektujete na njega, on snifuje sve pakete dok vi plaćate and that's it.
Sledeći put nemoj da koristiš public i open wifi mreže za plaćanje. Takođe je preporučljivo da ne pristupaš sajtovima, za koje ne želiš da izgubiš pristup.

Kako MITM ako je HTTPS u pitanju?

@jablan MITM ne može da funkcioniše ako je https u pitanju.
Ako pogledaš celu situaciju to mi izgleda najlogičnije pošto su i on i komšija koristili open wifi iz hotela za online plaćanje preko telefona.

Tacno. Https i sluzi da se MITM spreci. ALI...
-On krene da otvara https://www.nesto.com
-Sajt daje sertifikat.
-Ti pokupis sertifikat
-Kreiras self signed sertifikat koji posaljes njemu
-Njega browser upozori
-On nema pojma sta ga ovaj pita i klikce "yes" / dodaje exception jer je to ocigledno neophodan korak da bi obavio ono sto hoce.
-Razmenis kljuceve sa njim, razmenis sa sajtom.
-On komunicira sa tobom ekriptovano. Ti komuniciras sa sajtom enkriptovano. Ali izmedju te dve komunikacije imas plain podatke.


Boldovani deo je uzrok vecine problema sa sigurnoscu.

Napomena: "on" se ne odnosi na pokretaca teme vec na izmisljenu osobu iz uopstenog scenarija.

Koliko sam ja skapirao, u pitanju je mobilna aplikacija, a ne browser. Mislim, teoretski je moguće da aplikacija ignoriše sertifikat ili uopšte ne koristi https, ali je malo verovatno.

Ako uzmemo u obzir da Booking verovatno nema propust u aplikaciji, onda je jedina moguća varijanta #1. Ja dam karticu onom čoveku u kućici za naplatu putarine i on mi vrati posle desetak sekundi. Za to vreme ne vidim šta radi sa njom. Slažem se da je mogao da fotografiše prednju i zadnju stranu kartice i time dobije sve podatke potrebne za online plaćanje. Moje ime, broj kartice, rok važnosti - na prednoj strani i CVC na zadnjoj. Od sada ću na svim svojim karticama da ostružem CVC broj. Ne znam zašto je on vidljiv. Ako treba da se pamti PIN, nije problem da se zapamti i CVC
Što se policije tiče, čisto sumnjam da će neka istraga da se desi po automatizmu, barem što se tiče naše policije. U emailu iz online prodavnice (u Engleskoj) su napisali da meni ne mogu da napišu podatke o onome ko je koristio podatke sa kartice, ali da će da ih ustupe mojoj banci ako ih zatraži. U banci su mi rekli da njih ne zanima da to ispituju i da mogu da se lično obratim policiji, a oni će da sarađuju sa policijom ako se to traži. Naravno, u policiju neću da idem. Mislim da nema šanse da se naša policija angažuje na tome, da angažuje i policije drugih zemalja, a sve zbog neuspešnog pokušaja relativno sitne krađe.

Istraga ce da se desi samo ako je ta kradja deo neceg mnogo veceg - sigurno nece murija da istrazuje jedan izolovan slucaj ukradenih podataka sa kreditne kartice, ali ako se desi da je tvoj broj "izleteo" u nekoj akciji protiv organizovanog kriminala, onda i ima neke sanse.

Kao sto rekoh, meni se vec par puta desilo do sad da mi banka samo zameni karticu sa informacijom da su dobili info od policije da je, izmedju ostalih, i moj cc# bio kompromitovan. Istragu vrlo verovatno nije zapocela banka (niti ja, ocigledno) vec je broj "ispao" dok su panduri hapsili boga pita koga i nasli mu to verovatno na kompu i sl.

Tako da, ako je to izolovan slucaj - sanse su verovatno 0% da ce pocinilac biti pronadjen.

Ako je to neki organizovan kriminal, onda su malo vece - ako ih bas potkace, mozda propeva neko i padne bas taj sto ume dobro da belezi :-)



Naravno, ne bavi se banka policijskim poslom. Prvo, to kosta kinte. Drugo, banka nema zakonska ovlascenja neophodna za vodjenje efikasne istrage, to samo imaju organi drzava.

Ja bih sve to iskulirao, ti nisi na gubitku nikakvom ne vidim sto bi se cimao.

Ubuduce pazi kome dajes karticu (ne gubi je iz vida) i da ti je online veza sa sajtom sigurna. Mozes obrisati CVC broj, to nije losa ideja pod uslovom da ljudi ne prave problem sa takvom karticom. Mozda samo nesto prelepi preko da se ne vidi.

Hvala na savetima, tako ću i da postupim.
Pozdrav!

Trosak izdavanja nove kartice i gubljenje vremena? (nije kao u Nemackoj za jedan dan, ovde se ceka mesec dana cesto za zamenu)

Pa ono, stavi cenu kartice na jednu stranu i cenu svog vremena provedenog na "istrazi" na drugu. I to sve prvo ako zaboravimo da ne postoje prava koja ima policija koja omogucuju istragu i prakticno mozes samo da nagadjas.

Drugim recima - najvece su sanse da ce samo dodatno vreme biti izgubljeno i to vrlo verovatno skuplje nego kartica i sve poteskoce dok se ceka zamena.

Otprilike kao da si izgubio negde par desetina EUR u gradu i neko ih je makao. Kraj price, osim ako ne zelis da izgubis jos vremena dzabe. Jbg, losa sreca - vise pazis u buducnosti i to je to, nema tu nikakve filozofije.

U banci su rekli da će da mi izdaju novu karticu besplatno i da treba da bude gotova za nedelju dana. Videćemo :)

Izvinjavam se što dižem temu iz mrtvih, ali sada sam saznao neke nove detalje. Naime, pročitao sam da prodavci na Bookingu, u većini slučajeva, dobijaju na uvid sve podatke sa kreditnih kartica klijenata (uključujući CVC broj) i ostavlja se njima na savest da li će da ih dalje distribuiraju ili ne.
https://partner.booking.com/en...s%E2%80%99-credit-card-details

Da li si siguran da bas dobijaju puni broj kartice, ili samo poslednje 4 cifre, CVC2 i tome slicno?

Ali cak i da pretpostavimo da dobijaju sve na tacni - pa i u restoranu ili hotelu kada placas racun kreditnom karticom, ti dajes fizicku karticu u ruke nekom drugom coveku, koji tu nesto knjizi. Sta recepcionara u hotelu sprecava da vidi broj tvoje kartice i CVC kod s druge strane? Ima ljudi koji to mogu i da zapamte. A danas postoje i "wearable" kamerice velicine dugmeta na kosulji, koje mogu sve to da ubeleze. I da mu opet ne mozes nista.

Srecom, Visa je odavno uvela 2FA, tako da ti poznavanje broja i CVC koda cesto ne pomaze. Vecina e-prodavnica uvodi polako obavezu da vlasnik kartice potvrdi transakciju putem Visa aplikacije na telefonu ili SMS poruke. Ako neko i proba da iskoristi tvoju karticu vlasnik ce dobiti nalog da potvrdi transakciju, a onda je tu kraj - obratice se banci i trazice promenu broja kartice.

Iz mog licnog iskustva, profesionalni card lopovi imaju pun q sajtova na kojima prolazi samo CC#

Pricao sam vec - za 2 min su mi 'skinuli' preko 5 soma - toliko mi je trebalo da se ulogujem i blokiram karticu :-)))

Naravno, banka je vratila sve pare.

ALI... pre par nedelja, ladno su 2 sajta trazili tzv. "second presentment" (Mastercard lingo) - to je prakticno zalba prodavca na chargeback, gde se pare opet skidaju automatski, a onda prodavac ima nedelju dana (ili 8 dana, ne secam se) da prilozi dokumentaciju zasto smatraju da chargeback nije validan.

U mom slucaju to je presmesno, posto sam inicirao chargeback bukvalno u roku od 2 min od transakcije (+ u pitanju su USA sajtovi a ja sam u NL) - ako je neki prodavac uprkos 2-minutnom chargeback-u odlucio da posalje robu, to je samo njegov problem. Novac je, kao sto se i moglo ocekivati, opet vracen posle tih 7-8 dana. Pitam se samo da li su ti prodavci u nekom dilu sa krimosima ili idu na "ako prodje - prodje"... ko ce ga znati.

U svakom slucaju, cisto sumnjam da ljudi koji rade u firmama poput Booking-a kradu brojeve kartica - bukvalno bi ih navatali iz odmah zato sto, ako je to njihov 'side gig' to ce iskociti kao trn u bilo kojoj analizi, zato sto ce booking biti zajednicko mesto u logu transakcija za sve te pokradene kartice.

Ali cisto higijene radi, ja gde god moze placam Apple Pay-om ili Paypal-om - nema razloga da prodavac ikad vidi brojeve mojih kartica, osim ako ne mora.

Mislim da nisu problem ljudi koji rade u Bookingu, nego oni koji izdaju smeštaj preko Bookinga.
Od kada sam prešao u Intesu, za sve internet transakcije pravim virtuelne kartice za jedno korišćenje, što bi trebalo da je dovoljna zaštita :)

Mislim da ni booking.com ne daje tek tako podatke, druga strana isto mora biti u sistemu za procesiranje kartica i pod nadzorom.

Naravno to nije garantovana sigurnost za neke leve zemlje, u tom slucaju ja iskljucivo idem na pre-payment, gde je placanje direktno preko booking.com - mada, u poslednjih par godina ako idem negde na odmor, property ce obicno biti preko AirBnB-a koji komplet radi placanje. Booking.com mi je vise ako negde idem poslom ili na jednu noc hotel.

Dobra ideja za virtuelne kartice, to je feature koji bi danas svaka banka trebalo da ima.

Mada, mislim da su najvece sanse da ti kartica bude skimovana kada je neko ima fizicki - ja sam prilicno siguran da su mi poslednji put tako maznuli podatke kad sam iznajmljivao auto (ironicno, zbog toga sto su me tu prvo orobili "legalno" sam uzeo 'pravu' charge karticu posle N godina sa kojom imam status kod rentacara i mogucnost da placam direktno online).

Inace ima jos zemalja gde komotno traze da im napises sve podatke za rezervaciju i posaljes nesigurno. Takve treba izbegavati zato sto postoji N nacina da se ti podaci nadju u pogresnim rukama.

Pre nekoliko odina sam, silom prilika, radio u call centru za booking prevoza u USA.
Ljudi su mogli da plate online a ako nisu imali pristup internetu, mogli su da osave podatke sa kartice sto su u 8 od 10 slucajeva cinili. KOMPLETNE podatke, ime, CC#, CVV2, expiry date, itd.

Sta je tu toliko novo? Pre 15 godina, dok ona preteca Air Srbije na slovo na slovo "J" nije imala online kupovinu karte su mogle da se kupe kreditnom karticom, putem telefona. Pozoves njihov call centar, sluzbenik ti trazi karticu, ti diktiras broj i sve ostalo. A tek tada sto je moglo da se drpa s kartice samo tako, te kartice nisu imale jos uvek ni mikrocipove, kamoli 2FA, CVV2 i ostale stvari ... i vecina sajtova je prihvatala samo CC# i godinu/mesec kada istice.

Evo i mene oladise za 30+ eura pa imam taze iskustvo za preneti.

I ranije sam na SMS dobijao kodove za nesto sto nisam ja inicirao, ali je zastita ocito radila svoj posao i sve se na tome zavrsavalo. E, sada su uspeli da kompletiraju transakciju bez da su me uznemiravali - znaju baje bankarstvo !!! Realizovano na nekom sajtu u Dablinu.

U korisnickom mi nude da blokiraju karticu (sto sam i sam uradio u aplikaciji), a za zalbe moram u svoju OTP ekspozituru.

Tamo me gospodja uverava da ce biti sve ok, samo ce da potraje. I da, to je kriminalno delo i mora se prijaviti u MUP ... Sa njihovim papirom dodjem opet kod njih u banku. Nista strasno, mogu rukom napisati izjavu i samo predati u MUP-u. Vidim da ce se pokajem sto sam se rodio i dok cekam, ajde bar iniciraj pravljenje nove kartice. Da pre stigne. Okej to nije problem ... u stvari ima problem. Aplikacija joj neda da uradi karticu jer nemam dinakard!! Kako bre nemam. Ovde se ne vidi. Da nije istekla? Izlazim ispred banke i na automatu skidam 1.000 din sa tom karticom. Duga tiha pauza ... A da zamenimo i tu dinu? Pa trebaju mi kartice - da sam hteo da cuvam pare u duseku ne bi dosao kod vas. Da, u pravu si. Imas jos jednu MC. Ajde da sve to zamenimo odjednom. Dobijes sve nove kartice. Ok, danas mi nije bas dan ... Super, potpisem se (6 zahteva) da na licni zahtev blokiram stare i trazim pravljenje novih kartica ....

Nastavak u MUPu. Soba - desetak inspektora. Interesantna im tema, ali ... a sta ces ti ovde. Ma ne trazim ja da vi dignete interpol na noge. Samo toj papir da sam prijavio kradju. Ma okej, dobro, nema problema. Samo treba da doneses iz banke izvod gde je ta gospodja zaokruzila transakciju. I, naravno, overeno sa potpisom gospodje da je primila prituzbu na tu transakciju!!! Sada se svi od srca smejemo ...

Odlazim u drugu ekspozituru da probam to sa izvodom. Ovde mladji gospodin ... Objasnjava da to jos nije realizovano - samo je rezervisano. Super, samo blokiraj to! E, nece da moze. Ovo sigurno prolazi !! Verovatno za dan-dva. Opsta je guzva sad je udarni termin. Pa, mozda u ponedeljak svrati da vidimo da ti to odstampam. Ovo cu ti odradim pa ce vidimo sta ce da bude. Znaci povracaj nije siguran ? Ne, verovatno nista od toga ... Internet transakcija bez verifikacije i to nista ne znaci? Ima izuzetaka, pogledaj na sajtu MasterCarda..... Cekaj bre, ti rece da mozes to bez onog papira iz MUPa? Da, sta ce mi to? A sto me bre ona dobra dusa poslala u setnju ? Verovatno misli da su vece sanse kad se dobije dopis iz MUPa nego kad ja posaljem imejl. Pa to znaci da neko pogleda u vis i kaze moze-ne moze. Tako nesto. Zapravo svi ti referenti u bankama i kod karticara imaju neki zbirni iznos do koga "moze", nakon toga - "nedamoze" ...

I tako - Jos jedan prodje dan, uzburkan k'o more ....

Bilo je ranije u nekoj temi koliki su iznosi !

Navodno je sada smanjeno u korist korisnika !

Ovo sada lupam jer se ne secam iznosa, vidi na netu ili zovi NBS ako niko sa foruma ne zna cifre.


Znaci ranije je bilo negde 100-150 Eura , korisnik sam snosi stetu !

Sada je poboljsano pa je do 50-70 korisnik sam , preko banka !


Znaci cifre su samo primer , ali nisu ni onda ni sada povoljne za korisnike !

Evo nasao sam clanak , nije lose preko 3.000 din Banka snosi troskove vracanja .

Znaci ako je 30 Eur dobices oko 600 dinara . Teoretski.

https://biznis.kurir.rs/info-b...-platna-kartica-prevara-kradja


Znaci ne dozvoli da te Banka voza ! Vec se zali vidis da u NBS ima sluzba bas za to !

Naravno zavisi i koliki je iznos, ako ces da dobijes crvenu onda razmisli da li sve to vredi toliko.

Evo ovde je i dosta bolji clanak sa vise detalja :


https://n1info.rs/biznis/kada-...vac-sa-racuna-ko-snosi-trosak/

Pa nije baš tako, dobićeš sve pare nazad. Nije da ti banka odbije 3000, nego se ne reaguje za manje od 3000.
Dobro si uradio što si odmah blokirao karticu. Ako je jednom prošla transakcija, onda su tvoi podaci iscureli i jedini način je da se kartica blokira i izda zamenska.

Mislim da je problem i sa šalterskim službenicima. U bankama su jako velike fluktuacije kadra, šalteraši imaju mizerne plate i tu često rade ljudi koji nemaju iskustva. Taman kada nauče posao, nađu neko bolje plaćeno mesto.
Jednostavno, to ti na šalteru neće rešiti, ono što je procedura je da prijave incident službi kartica u banci, a oni već znaju šta se radi. Povraćaj srerdstava po kartičnoj transakciji je rutinska stvar.

O.K. jos bolje ako je tako !

Ja sam davno imao jednu zloupotrebu , pisao sam o tome u nekoj temi , ali nije bilo do nase banke vec do Ebay-a i PP !

Tako da je Pp vratio novac i to je bilo to.

Nisam se petaljao sa nasim bankama sa takvim stvarima, pa i nemam iskustva oko toga.

U sustini ovakvi dogadjaji i nisu bas cesti sto se vidi iz drugog clanka , gde su na nivou statisticke greske !


Ali svakako je procedura da se prvo zali Banci i to pismeno , mejlom , a ne da dozvoli da tamo neki sluzbenici sa saltera ga ubede " nema nista od toga ili kako strani karticarski sistem odluci " i da sve ostane na usmenom "rekla-kazala " neke anonimne salteruse ili Salterusana

Pokrene se zalbeni postupak koji moze da traje do 15 dana .

Druga instanca je NBS.