Ne bi trebalo da bude problema. Trebalo bi da svako plaćanje karticom možeš da storniraš u nekom roku.

E sad, kad je banka Inteza u pitanju, svašta ružno možeš da očekuješ.

Koliko je meni poznato novac se prvo rezervise i ne prebacuje se odmah, znaci mora da prodje neki dan pre nego sto tvoja banka posalje novac a druga banka primi novac (i obe moraju da potvrde), taj rok bi trebao da obezbedi neku sigurnost od zloupotrebe, narocito ako si odmah prijavio zloupotrebu.

Ovde banka mora da te zastiti i niko ti drugi ne moze pomoci.

Javi sta je bilo.

Jesi li siguran u to? Ja znam da kad sam radio bas e-banking za jedan domaci sajt koji je koristio bas Intezin procesor, imao si 2 opcije (moda) - autorizacija i naplata. Neki guide intezin je da uvek radis autorizaciju, pa onda kad prodavac posalje proizvod kupcu, prodavac se loguje na neki intezin software i poziva procesor u modu za naplatu.

E sad, ne znam kako rade drugi sajtovi, gde je "roba" virtuelna, poput ove za kladjenje...

Pa, ruku na srce, rekao si:

Nikad se ne zna! Očigledno je neko došao do pina koji si unosio pri ovim transakcijama?!

da li je to kreditna ili debitna kartica ?

kreditna

Koliko ja znam, sve kreditne kartice su osigurane, tj novac na njima. Sve sto bi trebalo da radis je da potvrdis sa nekim organom vlasti (policijom pretpostavljam) da ti je novac skinut sa kartice bez tvog znanja, to posaljes banci i trebalo bi da ti vrate sav iznos.

tako sam i mislio.

Obavezno idi u policiju, daj izjavu i insistiraj da das izjavu cak i ako budu hteli da te upute na call center. Ako budes imao nekog boljeg inspektora insistiraj da on nazove banku direktno.

Ovo je jako bitan korak jer moguce je i da neko u banci maznjava lovu. A druga stvar bitna, trebao si bloirati karticu za internet upotrebu i u principu za placanje internetom treba da uzmes neku obicnu karticu, dopunis je i paltis odmah sta hoces.

Moguce je i da ti je kompjuter zarazen, da imas neki keylogger ili neki spyware koji ti je pokupio broj kartice i CVV2 dok si ih unosio na Amazon i Skype. Znaci iako su ti sajtovi sami po sebi sigurni, pitanje koliko je tvoj kompjuter siguran (ili neki drugi kompjuter(i) sa kojih si kupovao robu i na njima ukucavao CC brojeve).

Moguce, no to mi deluje mala verovatnoca jer ne pokrecem na kompu nikakve app, niti skidam sve i svasta (dosta dugo se bavim kompjuterima i programiranjem, pa poprilicno znam sta radim). Imam antivirus i kuci i na poslu i to su jedina 2 kompa sa kojih sam koristio karticu.

Sta vise, karticu sam poslednji put koristio za net pre 3 meseca. Pre toga verovatno pre godinu dana. Sajtovi koje sam naveo, uglavnom cuvaju kartice (to rade i amazon, i godaddy i skype), na zalost, ali smatram da su oni poprilicno bezbedni sajtovi. Naravno, nijedan nije 100% siguran, tako da moze da bude da je neko pokupio njihove baze i negde podelio na netu, pa sada neko redom pokusavao koja radi.

U svakom slucaju, dobio sam mail od ove firme da su prebacili slucaj na 'security department' pa cemo videti sta ce dalje biti sa njihove strane

Pozdrav!

Evo da probam i ja da odgovorim, s obzirom na to da su mi ovakvi slucajevi u opisu radnog mesta:)...

Prvo,ima ovde nekih pausalnih zakljucaka,tipa da "neko iz banke maznjava lovu"...Ovo je prakticno nemoguce ukoliko je kartica fizicki kod korisnika,jer se za internet transakcije zahteva unos CVC/CVV2 koda (zavisno da li je u pitanju VISA ili MasterCard kartica) - to su one tri cifre na poledjini kartice, odstampane na stazi predvidjenoj za potpis korisnika. Dakle, PIN nema nikakve veze sa ovim, sve i da je neko znao tvoj PIN, to je potpuno irelevantno,jer se za internet transakcije ne zahteva unos istog. Dakle,CVC/CVV2 kod ne moze da zna niko od zaposlenih u banci,osim ako nema fizicki kod sebe tu karticu.

Cinjenica da je da su sajtovi koje si naveo bezbedni,ali pitanje je ko je i na koji nacin mogao da dodje do podataka o tvojoj kartici(Br.kartice,CVV2 kod,rok vazenja,ime i prezime). U principu,sajtovi ne bi smeli da cuvaju podatke o kartici,ali u praksi je to drugacije.

Malo i o on-line kladjenju,s obzirom da je u tvom konkretnom slucaju rec o zloupotrebi na jednom od takvih sajtova. Gotovo sve najpoznatije svetske on-line kladionice zahtevaju prilikom registracije dokaz o potvrdi identiteta korisnika. Neki traze skenirane racune na tvoje ime i adresu,drugi pak pozivaju broj telefona koji si im ostavio kako bi u direktnom telefonskom razgovoru utvrdili identitet korisnika (najcesce proverom neke od lozinki i slicno). To u prevodu znaci da bi ta kladionica gde ti je zloupotrebljena kartica morala da ima podatke o licu preko cijeg je naloga koriscena kartica. Ovo sve pisem pod pretpostavkom da ti nisi registrovan u toj kladionici, jer onda ima jos nekih slucajeva (koje sam i licno iskusio),ali o tome ovde nije rec...

Sta dalje? Sustinski, svakako treba da odes u policiju i prijavis krivicno delo koje je regulisano clanom 225. KZ (Zloupotreba platne kartice), jer ti je to i formalni uslov za pokretanje citavog postupka, a svakako ce dati na ozbiljnosti citavoj prici. Neko je naveo da su kreditne kartice osigurane i da ces na osnovu toga dobiti novac nazad...Iskreno, znam da tako funkcionise u inostranstvu, ali ne znam kako rade u Intesa-i. Recimo banka u kojoj ja radim (a jedna je od jacih) ne osigurava kreditne kartice i procedura za povracaj novca moze da bude jako komplikovana u ovim slucajevima (da je npr. zloupotreba izvrsena negde na bankomatu ili kod klasicnog trgovca, moglo bi se lako dokazati da ti nisi izvrsio transakciju), ali bojim se da ovde odluka zavisi od slucaja do slucaja. Kako god, OBAVEZNO prijavi policiji i pokusaj da iscackas od on-line kladionice preko cijeg je naloga izvrsena sporna transakcija. Posle toga, pravac Intesa, naoruzaj se upornoscu i mislim da bi trebalo da dobijes svoj novac nazad.

Izvinjavam se ako sam bio preopsiran...

Oke, hvala na odgovoru... Znaci ipak pravac policija :) Problem je sto sam ja jutros bio prvo u banci i tamo na formularu ima da li sam obavestio policiju.... No nema veze, oticicu. Nekako bi mi bilo logicno i da banka prijavljuje kradju, ali ovo je ipak Srbija..


Nisam clan nikakve kladionice, niti sam se u zivotu kladio. Davno sam naucio da se jedino radom moze zaraditi :(

Inace, poslednji odgovor ove kladionice je sledeci:
" Our security department has informed us that we need to wait for the chargeback request from your bank. As soon as we will receive this request we will be able to proceed with this issue."

Koja je svrha posedovanja kreditne kartice ako ti nije osigurana i svaku prevaru moras da placas iz svog dzepa. Bolje je onda nemati.


Pa nisu banci ukradene pare, vec tebi, ti si korisnik kartice i ipak bi ti trebalo da prijavis kradju.

Nikad ne plaćaj ništa na Windows-u. Instaliraj Puppy linux na usb - napravi ga butabilnim i podiži Puppy sa fleša kad god nešto plaćaš. Ja tako radim godinama bez problema. Imam Norton 2013 plaćenu verziju ali antivirus nikad nije dovoljan plus svaki antivirus je državni spajver. Želim ti sve najbolje....

Sustinski si u pravu,ali u zemlji Srbiji, nazalost, stvari tako funkcionisu. U ugovoru koji potpisuju klijenti prilikom preuzimanja kreditne kartice, jasno stoji u kojim slucajevima snose stetu licno, a u kojim slucajevima im banka refundira sredstva (npr. u slucaju da je kartica zloupotrebljena na bankomatu uz upotrebu validnog PIN koda, smatra se da se korisnik nesavesno odnosio prema PIN-u i na taj nacin ugrozio bezbednost kartice, te on sam snosi stetu...itd,itd, postoji jos niz odredaba koje regulisu ove stvari).
Sto je jos crnje, do decembra 2011.godine, kada je na snagu stupio Zakon o zastiti korisnika finansijskih usluga, korisnik je snosio celokupan iznos koji je nastao koriscenjem njegove kartice do momenta blokade!!! Onda su nekako nemusto formulisali da korisnik snosi do 15.000 din, a sve preko toga banka, ali i to je bilo jako nevesto formulisano i bilo je dosta problema, jer postoje evidentni slucajevi gde korisnik cuva PIN zajedno sa karticom (i po meni je onda iskljucivo njegova odgovornost ako dodje do zloupotrebe), a postoje i slucajevi kao sto ima gospodin koji je pokrenuo temu, gde je ocigledno njegova krivica = 0...
Kazem, ne znam kakva je politika Intesa-e u ovakvim slucajevima, ali mislim da ima velike sanse da uz pokretanje reklamacionog postupka dobije svoje pare nazad.

Ima pausalnih zakljucaka ali to ne mora da znaci da nije tacno :) Samo sumnjam da bi neko iz banke. Veca je verovatnoca da je software napravio problem, nego da je neko iz banke. Iz price nekih ljudi koji su radili u intezi, znam da imaju svakakvih problema i da cesto neke konfliktne transakcije moraju rucno da razresavaju. Desavalo mi se vise puta na debitnoj da imam neke fantomske transakcije, po 5 ili 10 hiljada dinara, isto nepoznatih trgovaca. Svaki put kad sam prijavio, bez problema su to resavali. JEdnom mi se desilo i da sam imao isto takve fantomske transakcije, pa posle 2-3 dana same nestanu. I nisam jedini kome se to desavalo, jer su se i druge kolege zalile na isti problem. Ali to je sve manja suma nego sto je ova sada, pa nisam pravio problem. A da ne pricam o drugim problemima (neko je gore naveo da se radi prvo autorizacija - s obzirom da mi je limit na ovoj kartici oko 950e, uvek sam imao problema sa placanjem hotela kad ga rezervisem preko booking.com-a mojom karticom zbog sporosti sistema. Problem je debilan - hotel uradi autorizaciju na pola sume kada se uradi rezervacija, recimo 350-400e, a onda kada se prijavljujem u hotel, oni u hotelu prvo poniste autorizaciju, pa onda rade naplatu. I tu nastaje problem sto to ponistavanje kao da neko rucno posle mora da uradi u intezi, i ostane mi tih 350-400e rezervisano nedeljama, nekad moram sam da trazim ponistenje, i onda nemam dovoljan limit da platim jos 700e za ceo iznos hotela. Cist debilizam. Sreca pa toga vise nema otkad korisim firminu karticu).

U svakom slucaju, sutra cu prijaviti i policiji, i onda to odneti kao dodatak ovima u banci.

Pozdrav i hvala

Jedno laičko pitanje koje me muči godinama. Zbog čega je CCV kod odštampan i vidljiv na kartici a ne tajan kao PIN kod?

Svi podaci neophodni za online plaćanje su vidljivi na kartici tako da je dovoljno samo slikati karticu, npr. prilikomo običnog plaćanja u trgovini. Ili da vam neki lik sa super pamćenjem virne preko ramena.

Ista stvar je i meni pala na pamet pa ako neko moze da pojasni...

Ovakvi problemi su nesto sto prvi put cujem. Ja bi definitivno raskrstio sa bankom gde se ovakve stvari redovno desavaju.

Jedan primer. Prilikom boravka u Rusiji, drug me upozorio da nikako ne dajem kreditnu karticu u ruke bilo kome jer ima dosta slučajeva da montiraju veb kamere na komp i u dva poteza (okretanjem lica i poleđine) snime karticu i kraj!
Naravno, vi to i ne primetite!

Cudno da iako radis u tom sektoru, nisi cuo za razne muljaze i kradje brojeva kartica u samim bankama na razne nacine - od mini skimmera nalik Square-u za iPhone, do rucnog prepisivanja broja kartice i pripadajuceg CVV2 broja. Mislim da je takav slucaj dospeo i u novine.





Da nije malo previse druze?! :D Najbolje jos i da sandboxuje proces i ukljuci hardwaresku enkripciju on the fly. :D Ja preko 20 godina sve placam iz Windowsa bez problema. Sta to dokazuje? Nista. Isto kao i to sto si ti bezbedan na Linuxu vec godinama. Zaraza najvise zavisi od samog korisnika. :)








No, pokretac teme kaze da je iskusan korisnik i da najverovatnije nije zarazen i da to nije uzrok (naravno, ne bi bilo zgoreg da potera neki Malwarebytes' i slicne programe, malo da precesljaju komp ;) ...mozda i neki live anti-virus sa CD-a tipa Kaspersky Live ili Dr. Web i sl.).
E sad, sta god bio uzrok ovome, savet je uvek da se koristi debitna kartica namenjena Internet trgovini sa namenskim deviznim razunom za koji je vezana. Uplatis koliko ti treba, potrosis to, a posle cak i da se lopovi domognu brojeva kartice, nek kradu koliko 'oce. :)

Druže, znam ja i za skimming i za phishing i za smishing, znam i za "viljušku", ali ovde je to nebitno, jer čovek je lepo rekao da nigde nije fizički koristio karticu, već samo na netu, a tu skimer ne pomaže, jer da bi skimer "skinuo" podatke sa kartice, mora da dođe u fizički kontakt sa istom. Nemojte slepo verovati filmskim i novinskim pričama, ima internih zloupotreba u bankama, to niko ne spori, ali je to, verujte mi na reč, mizeran procenat u ukupnim zloupotrebama i tad se radi "na veliko", odnosno radi se sa velikim brojem podataka sa kartica i postoji više ljudi uključenih u priču (jer nemaju svi isti nivo pristupa podacima), a ne sa jednom pojedinačnom karticom (ne isplati se rizik)...

Meni se u ovoj priči najrealnijim čini da je neko "pokupio" podatke sa kartica iz baze nekih od sajtova na kojima je korišćena i da je zatim zloupotrebio (verovatno sa još gomilom kartica koje su takođe korišćene na tim istim sajtovima).

Inače, slažem se da je totalna glupost što su osetljivi podaci (CVV2) odštampani na samoj kartici. Koliko znam, polako se ide u pravcu autentikacije tokenom koji menja random šifru posle određenog kratkog vremenskog perioda, za svaku on-line transakciju, što znači da bi neko ko želi da zloupotrebi karticu, morao da, osim podataka sa kartice, "nabode" i šifu sa tokena, a tu su šanse skoro pa nikakve.

Slažem se sa mr.ako - najbolje je uzeti internet karticu, po sistemu "koliko para, toliko muzike", uplatiš koliko novca ti treba i ne boli te glava...Ili, ukoliko već želiš da koristiš kreditnu karticu u ove svrhe, da smanjiš limit za "card-not-present" transakcije na neku manju cifru, te da ga po potrebi povećaš (kad plaćaš nešto skuplje bez prisustva kartice).

Pozdrav svima, uz želju bicca-u da vrati svoj novac.

Meni je prosto bilo neverovatno saznanje da su za plaćanje preko interneta dovoljni podaci sa same kartice, a koji su vidljivi.
(Službenik u banci apsolutno može videti ove podatke, pa ja kada odem na šalter da podignem veći novac, dajem im karticu).
Ok, intezine kartice imaju i pin zaštitu (mada vidimo da u ovom slučaju ni to nije pomoglo), ali kod nekih drugih banaka to nemaju.
Kao što neko reče, ja bih isto prestao da budem korisnik tih kartica, to je jedino rešenje.
Pozdrav i nadam se da će postavljač teme uspešno rešiti ovaj problem.

Najnoviji update.... Banka mi je na ime nekog zakona o zastiti korisnika finansijskih usluga, nadoknadila deo para = ukupna zloupotrebljena suma - 15k dinara. Dakle, fali mi jos 15k dinara da bih bio na nuli. Kazu ceo postupak reklamacije moze potrajati do 6 meseci

Moj dobronamerni savet ti je da vidiš da izguraš ovo do kraja - ako možeš da dokažeš da transakcije nisu tvoje (tu bi mogla ta kladionica da ti pomogne ako uspeš da dobiješ podatke preko čijeg je account-a izvršena uplata), dobićeš celokupan iznos nazad...Ovo pozivanje na zakon je klasičan dokaz da banka zna da si u pravu, inače ti ne bi vratili ni taj deo preko 15.000.
Naravno, ukoliko ne želiš da se cimaš i hoćeš da im oprostiš 15.000, odluka je na tebi...Teoretski, može da traje do 6 meseci, ali u praksi traje mnogo, mnogo kraće.

Teorijsko pitanje:

S' obzirom da nisam vlasnik kartice ja nego banka, smem li da sastruzem neki podatak sa kartice ( cvv2 ) ili kompletno zeznem magnetni zapis da kartica ostane upotrebiva samo preko kontakata sa cipa ?

Hahaha!

Koji si ti kralj! Teoretski, možeš to da uradiš ako planiraš da koristiš karticu samo na netu...Ali isto tako teoretski, ako budeš plaćao u radnji i trgovac utvrdi da na kartici nema nekog od obaveznih elemenata (a CVC to svakako jeste), može da ti odbije transakciju i zadrži karticu. Naravno, u praksi retko ko proverava i potpis, a kamoli ove ostale stvari, ali eto čisto da znaš...
S druge strane, ne bih ti savetovao da se zezaš sa magnetnom pistom, jer gde god nema terminala koji čitaju čip, trgovac ti provlači karticu i očitava magnetnu pistu. Ne znam da li planiraš da ideš, ali recimo u Americi nema čip terminala, tamo se sve transakcije realizuju očitavanjem magnetne piste...Takođe, ako iz bilo kog razloga čip ne funkcioniše, transakcija može da se izvrši "provlačenjem" kartice, a za to ti isto treba neoštećena magnetna pista.

Nisam cuo za smishing, ali sam skimmer i prepisivanje pomenuo upravo u scenariju gde je kartica u "fizickom kontaktu" sa licem koje zeli da ukrade brojeve: "kradje brojeva kartica u samim bankama na razne nacine - od mini skimmera nalik Square-u za iPhone, do rucnog prepisivanja broja kartice i pripadajuceg CVV2 broja. Mislim da je takav slucaj dospeo i u novine.".
Logicno je da je skimmer bespotreban ukoliko nemas fizicki karticu. :)

No, pored raznih zloupotreba samih zaposlenih u bankama, moguce da mu je neko skinuo podatke kada je karticu koristio tih par puta na POS terminalima ili podizanju para na bankomatu. Postoje vrlo prefinjeni metodi stavljanja kompletne prednje lazne maske na bankomat, koja je cak i iskusnom oku neprimetna, a koja pokupi podatke sa kartice i snimi PIN broj pri ukucavanju; takodje i ostale brojeve/podatke sa kartice (medju njima i CVC/CVV2).
Postoje i nesto kompaktnije varijante ovih maski koje se stavljaju samo na onaj deo bankomata gde ulazi kartica...

Sto se tice pitanja clanova ili ser_nicky-jeve tvrdnje da je stampanje CVC/CVC2/CVV/CVV2/CVD/CVVC itd. brojeva na karticu glupost:
Pre 10-15 godina ti CVC brojevi nisu bili potrebni za Internet kupovinu, tj. nisu postojali i nisu bili stampani na karticama uopste. Ali uvedeni su iskljucivo ZBOG Internet kupovine. Stampani su na karticu kako bi se time dodao leyer sigurnosti da bi neko ko kupuje na Internetu (ili preko MOTO transakcija) time dokazao da je fizicki kartica kod njega. Iz tog razloga je CVC broj odstamapn na samoj kartici za razliku od PIN broja, koji se ne stampa vec daje zasebno. Jer da bi koristio PIN broj, kartica svakako mora biti kod tebe (ATM, POS,...).
Nazalost neki sajtovi i danas ne zahtevaju CVC2/CVV2, pa je moguca zloupotreba kartice i bez njih. A sam broj kartice je oduvek lako izgenerisati pomocu programa namenjenih tome ili kupiti citav bach brojeva na crnom trzistu.

Isto sto i phishing, samo SMS-om kradu podatke o korisniku, kartici, itd...



Ja se izvinjavam, nisam pazljivo procitao prvu poruku pokretaca teme, bio sam uveren da je rekao da je koristio karticu iskljucivo na internetu, te mi zato pominjanje skimera nije imalo logike. Moja greska,moguce da mu je neko "skinuo" podatke sa kartice prilikom neke od tih transakcija. Ipak, iz mog iskustva, pre ce biti da je on jedan od mnogih cije su podatke sa kartice "pokupili" iz neke baze, neretko se to desava (pre jedno 3 godine bio je problem sa nasim karticama koriscenim sirom Spanije, pre 2 godine na OMV pumpama u pola Evrope, itd).



Pre 10-15 godina obim internet trgovine je bio jedno 1000000 puta manji nego danas, te je kriminalcima bilo mnogo isplativije da se bave kradjom PIN-a, odnosno podataka sa magnetne piste (tad je i chip tehnologija tek bila u povoju) nego kradjom CVV-a. Medjutim, trendovi se menjaju, danas su milijarde koje se obrcu u "card-not-present" transakcijama dovoljan mamac za sve one koji zele da se bave mutnim radnjama. Mozda CVV nije bio glupost pre 10-15 godina, ali danas jeste, samim tim sto je nepromenjiv i ko ga jednom sazna, moze uvek da ga koristi uz tu karticu. Zato se ide ka tome da se uz svaku on-line transakciju zahteva unos kljuca (kombinacija licno kreirane sifre i random broja koji se svakih 20 sekundi formira na tokenu - oni koji koriste e-banking znaju o cemu govorim). U tom slucaju, da bi neko izvrsio on-line transakciju, morao bi pored ovih osnovnih podataka sa kartice (broj,rok vazenja) da zna i licnu sifru pravog korisnika+da ima u rukama u tom trenutku i token koji je "vezan" za tu karticu...U tom smislu smatram da je u danasnje vreme CVV prevazidjena stvar.

Danas (u vreme beskontaktnog placanja, NFC smartphone-a, RFID chipova itd.) je i sama kartica u ovom obliku prevazidjena stvar, kamoli CVV... no, objasnjenje o CVV je bilo iz razloga sto njegovo postojanje nekima nije bilo jasno ili je nazvano gluposcu.

CVV je Card Verification Value Code i samo je jedan od načina u svrhu sigurnosti plaćanja karticama. Ne radi se o sigurnosti kartice ili sigurnosti na strani korisnika, već sigurnosti u ime i na račun korisnika od strane firme koja naplaćuje kreditne kartice.

Kad firma pita za CVV code, onda taj kod koristi u pravilu jednokratno, to znači, radi se o sigurnosti podataka o kartici dok je broj te kartice sačuvan kod firme za naplatu kartica. Ne radi se o sigurnosti na strani korisnika kartice.

Recimo:

1. Platite karticom nekoj firmi, CVV code se treba koristiti jednokratno u svrhu naplate. Ne smije se čuvati u pravilu iako vjerujem da će firme to da krše. Nakon što je izvršena uplata, neki radnik u toj firmi ne može da koristi karticu jer nema CVV kode. Na taj način je kartica zaštićena od zloupotrebe kod same firme za naplatu kartica.

2. Ako neko probije baze podataka i ukrade liste kreditnih kartica, onda ne bi trebao da dobije CVV kod.

3. Ako neko provuče karticu kroz uređaj koji je tako napravljen da snimi automatski sve podatke iz kartice, koja se onda može zloupotrijebiti, ako nema CVV kod, ne može da plaća na Internetu. To nije kompletna sigurnost, ali jeste neka vrsta sigurnosti.

4. Ako korisnik kartice daje CVV broj putem Interneta, telefona ili faksa, taj kod uvjerava trgovca da korisnik ima karticu kod sebe. Recimo ako je neko ukrao broj kartice, pa nema CVV kod, neće moći zloupotrijebiti karticu (ne tako lako).

Imam ja jedno pitanje... imam karticu koja nema magnetnu traku već samo čip. Ubeđen sam da se takva kartica ne može "skinuti" preko montiranog piratskog čitača na bankomatu (čak i kada snime pin kod) jer se, za razliku od magnetne trake, čip ne može prekopirati.

Pa da pitam upućene da li sam u pravu?

@pisac

Upravo tako! PIN bi im koristio samo u slučaju da nekako dođu baš do te konkretne kartice koja se nalazi kod tebe, u suprotnom ne mogu da naprave kopiju koja će da radi.
P.S. Imam jedno pitanje, čisto iz radoznalosti: odakle ti kartica bez magnetne trake, da li je neka domaća banka izdavalac?

Nije domaća.

A sta ako terminal na kom je obavljena transakcija ima omogucenu 'card not present' funkcionalnost? U tom slucaju nisu potrebni ni PIN ni CVC. Doduse, za takvu funkcionalnost postoje stroga pravila i ne daje se bilo kome ali svasta je moguce.

Sto se Inteze tice, mozes da trazis da ti aktiviraju 3DSecure odnosno da ti daju citac. Kada karticu prijavis za 3DSecure onda svaka online transakcija mora da se potvrdi challenge-response mehanizmom. To je malo nezgodno jer znaci da moras da vuces hardver sa sobom (mada nije glomazan) ali pruza vecu sigurnost i sto je najbitnije mozes lako da osporis svaku transakciju koja je obavljena na sajtu koji ne podrzava 3DSecure.

Upravo se vratih iz banke intese da podignem novu deviznu karticu...

Nije mi se svidelo sto mi je salterusa trazila moju staru jos uvek validnu karticu koju je onda odnela u neku drugu prostoriju i tamo se zadrzala nekoliko minuta.

Posle toga mi izdaje novu karticu, a na moje pitanje gde je stara, kaze, "bacili smo"!

Na moje insistiranje da mi se vrati i stara kartica, gospodja je izvadi iz korpe nevoljno mi daje i kaze onda cu da je isecem.

Nema problema, nek je isece...ali da mi baca karticu u kontejner gde drzim pare ne dolazi u obzir.

Nedelju dana ista banka samo druga filijala bez problema sam zamenio karticu i vracena mi je i stara.

Glupača. "Bacili smo" ?!

Nema to nikakve veze. Onog momenta kada je klijent vratio karticu banci tada je banka preuzela odgovornost. Samo treba insistirati na tome da se dobije potvrda da je plastika vracena kog dana i u koje vreme. Sve sto se kasnije desi sa plastikom nema nikakve veze sa klijentom.

U pravu si ti, ali postoji i nešto što se zove subjektivni osećaj. Zato, verujem da postoji interno pravilo da kartica treba da se uništi (iseče) pred klijentom. Da ti gest bankarske službenice ulije poverenje da se ništa loše neće desiti što je ta kartica van tvoje kontrole.

I bakara je iskorisitio termin "nije mi se svidelo". Dakle, ne misli on da će neko da ga opljačka, ali gest nije u redu.

U 99,99% slucajeva bankarski sluzbenik ce pred klijentom da presece karticu tako da cip ostane neostecen (preseku je po polovini). A preseku je i tako da se svi brojevi mogu procitati sa prednje strane kao i CVC sa zadnje.

Ali na to niko ne obraca paznju. Vazno da volimo da se pravimo pametni pa insistiramo na nekom ritualnom presecanju kartice a to sto niko ne uzme potvrdu da je karticu vratio - to nema veze :)))

I sutra ako se desi neka zloupotreba pa dodje do suda potvrda je jedino sto je bitno.

Ne pravim se ja nista pametan, ona je karticu bacila u korpu...korpu posle istresu u kontejner, gde ide dalje, i cemu moze da posluz,i i ko ce da snozi mogucu odgovornost, ja necu ni da razmisljam, da je prazna ja ne bih ni brinuo

-Na moje negodovanje izvadila je iz korpe, zasekla uzduzno po polovini, i vratila karticu, i protiv tog dovoljno transparentnog metoda stvarno nemam nista.

Inace, dobio sam potvrdu da sam preuzeo novu karticu i karticu, a potvrdu o vracenoj kartici mi niko nikad do sada nije ni nudio, niti znam kako izgleda a namenjao sam se kartica.

Za mene je ovo prilicno neprofesionalno postupanje.

Kartica ne moze da bude ni puna ni prazna. Ona moze samo da bude vezana za racun. Onog momenta kada se aktivira nova tada stara vise nije vezana za racun i autorizacija ne moze da prodje sta god da se pokusa.

Postavio si pitanje ko ce snosi mogucu odgovornost. Ti neces da snosis odgovornost jer imas kod sebe potvrdu da si karticu vratio.



Uzduzno? Znaci magnetna pista je ostala neostecena? :)))

Ti izgleda nisi procitao ono sto sam napisao u prethodnoj poruci. To sto je kartica presecena ne znaci nista ako u sistemu nije zatvorena i ako ti nisi dobio potvrdu da si karticu vratio.

Sve ja to znam ali lepo rekoh gore:



Da, upravo tako kako si opisao i potvrdu nisam dobio, ali nisam je dobijao ni do sad ni u drugim bankama, u ostalom banke ne daju potvrdu ni da si zatvorio racun a ne da je zatvorena kartica.
Jedno je sta bi trebalo, a drugo je stanje na terenu.

Mislim, ti imas neke veze sa bankama, to valjda znas?

Da mozda ne preterujete? :) Onog trenutka kad ste predali karticu radniku u banci, morali bi da blokiraju staru, isekli je ili ne, pred vama ili u nekoj mracnoj prostoriji, i pokrenu proceduru aktivacije nove (sto traje 24h).


Inace, trenutno nema update-a sa moje strane. Prijavio sam stvar policiji, a sam proces prijavljivanja je takav da izgubite volju... Isao sam prvo kod mene na Čukaricu i pokušao da prijavim. Dežurni policajac ne zna o čemu se radi, zove drugog. Taj me upućuje na '29. novembar' (tj sada Despota Stefana). Kaže ako je zloupotreba bila na internetu, mora da ide službi za visokotehnološki kriminal. Da su pare skinute sa automata, moglo bi kod njih. U Despota Stefana, pitam dole kod koga da idem, oni me šalju kod nekih inspektora, a onda oni kažu nije kod njih već u SIV-u se nalazi služba za visokotehnološki kriminal. Sreća pa je inspektorka bila prilično ljubazna, okrenula je par brojeva telefona, i ispalo je da zbog sve češćih prijava, ipak postoji novo odeljenje za te poslove i u Despota Stefana. Sama procedura je bzvz. Predaje se prijava protiv NN lica u pisarnicu, oni overe vaš i njihov primerak i to je to. Niko me nije kontaktirao već nedelju dana...


Meanwhile, koleginica preko vikenda pokuša da kupi kartu za JAT, online. Transakcija 2x ne uspe, a na kartici blokirana suma za 2 karte :D Zove banku, kažu prošla transakcija, oni ne vide nikakav problem. Zove JAT, oni kažu nisu zaduženi za online prodaju, upućuju je na firmu koja to radi i kažu dešava se to. Zove tu firmu, oni kažu ne vide nikakve transakcije i karte uopšte nisu kupljene. U pitanju opet Intesa... Posle maltretiranja u banci, 4-5 poziva banci, konačno su joj rekli da će pare biti odblokirane..

Sve je to lijepo, ali zar ne bi bilo još ljepše i logičnije da taj broj nije odštampan već tajan kao PIN kod?

A ako ne mogu da kopiraju chip (ako je to sigurno tako?) sta ako kopiraju magnetnu traku a dodju i do PIN-a?
Pretpostavljam da u prodavnicama mogu da koriste , ali na bankomatima ?


Ja sam promenio 5-6 kartica i do sada mi niko nije trazio ni da vratim staru ni da je iseku. Svojerucno sam ih bacao u kantu.
I da ih neko nadje - moze samo da se slika , nema ni PIN ni CVV ni datum

Chip definitivno ne mogu da kopiraju. Ako kopiraju magnetnu traku, pritom dodju i do PIN-a, onda je kljucno na kakvom se terminalu koristi kartica, odnosno da li je terminal (svejedno da li POS terminal u prodavnicama ili bankomat) EMV spreman (znaci, da je predvidjen da "cita" chip). Caka je u tome da magnetna pista sadrzi podatke koji komuniciraju sa terminalom i ukoliko je terminal EMV kompatibilan, magnetna pista ga bukvalno "upucuje" da cita podatke sa chipa. Ukoliko terminal nije EMV kompatibilan, nece ni pokusati da cita chip, vec odmah ide na citanje magnetne piste (takvi su npr. svi terminali u Americi). E sad, banka izdavalac kartice moze da definise parametre tako da se odbije svaki pokusaj transakcije koji zaobilazi citanje chipa.

U praksi, zloupotrebe falsifikovanim karticama uglavnom se desavaju u Americi, jer je nakon skimovanja podataka najlakse koristiti takve kartice tamo gde terminali nisu ni predvidjeni da citaju chip, vec odmah "napadaju" magnetnu pistu.

Imas odgovor nesto ranije u temi http://www.elitesecurity.org/p3342099 (zacrveneo sam bitan deo).

Znaci u principu od banke zavisi da li ce citati samo sa chip-a ili trake.
Ako dozvole da ATM/POS cita sa trake i pored chip-a (npr. chip neispravan ili nepostojeci na kopiranoj/kloniranoj kartici) onda jbg - dzaba su krecili (stavljali chip)

Kartice sa čipom (bar ova moja) nude na bankomatu i opciju da se PIN promeni. Koliko se ja sećam (pošto druge kartice ne koristim već godinama) kartice sa magnetnom trakom nemaju tu opciju. Ili se ne sećam dobro?

Morate razlikovati cip od magneta:

- magnet je samo storage (koji nikako ne sadrzi PIN)
- cip je mikrokontroler + storage

Znaci, prilikom placanja magnetom, ukoliko ne postoji zapis o offline limitu neophodna je online autorizacija. Tom prilikom se PIN proverava kod procesora. Sa druge strane, prilikom koriscenja cipa, PIN je zapisan na samom cipu i kada se korisnik uspesno predstavi svojim PIN-om onda terminal (bilo ATM ili POS) prvo pita cip da li ima offline limit i koliki. Ukoliko nema offline limit onda se ide na online autorizaciju. Nakon sto od procesora dobije potvrdu da transakcija moze da se izvrsi, terminal sa korisnikom zavrsava transakciju (stampa slip, cip zapisuje kod sebe na storage info o poslednjoj transakciji) i salje procesoru info da je transakcija zavrsena. Ukoliko ne dostavi u odredjenom roku (timeout je uglavnom 10-15 sec) info procesoru da je transakcija zavrsena (nema papira, pukla veza i slicno) onda procesor stornira transakciju.

Sve u svemu, ako neko i skine podatke sa magneta to mu ne znaci nista bez pina. A sa cipa ne moze da skine nista jer da bi pristupio storage-u potreban je pin i jos neki podaci.

Sve nase vece banke ne pustaju autorizaciju preko magnetne piste ako je terminal u stanju da procita cip.

@pisac

U pravu si, kartice sa cipom nude opciju promene pina (ako atm to podrzava) jer se pin nalazi na samom cipu.

Jedan nacin zastite debitnih, a i kreditnih kartica pri placanju preko interneta bi mozda bila i sms verifikacija transakcije, znaci da se sa broja telefona povezanog sa karticom salje sms sa odredjenim jednokratnim na neki bankin broj. Mislim da sam to cak i video negde. Nije BAS neka pozebna zastita, i SIM se moze klonirati, "editovati" polje posiljaoca i slicno, ali je definitivno dodatak zastiti transakcija, i uz to, niko sem banke nece imati uvid u broj telefona klijenta. Bila bi to lepa praksa, bar na zahtev korisnika. Ili bar tako nesto da se uvede recimo ako je transakcija veca od odredjenog iznosa, ili se ponovi broj takvih transakcija u odredjenom vremenskom periodu. Nesto slicno kao sto postoji kao opcija na facebook loginu.

Na kom ATM-u kod nas bi ovo moglo da se uradi za nase kartice sa cipom?

To mozes sa raznim SecureCode i slicnim "zastitama" da uradim lakse.
Kao sto za e-banking negde postoji generatori TAN brojeva (fizicki uredjaji) pa se smanjuje mogucnost da samo preko user/pass-a moze neko da ti olesi raucn :)

Informer je sve lepo objasnio, nema više šta da se doda, samo bih podvukao, po meni ključnu rečenicu:

Sve nase vece banke ne pustaju autorizaciju preko magnetne piste ako je terminal u stanju da procita cip.