Tyle słyszy się o różnych atakach socjotechnicznych, np. phishingu. Często mówi się o tym, przytaczając historie ludzi, którzy stracili oszczędności całego życia. Co jakiś czas dochodzą do nas informacje, że hakerzy mniej lub bardziej skutecznie wykradli dane jakiejś instytucji. To wszystko działa na nasze emocje i wyobraźnię. Jednocześnie coraz więcej płatności realizujemy online. Nic więc dziwnego, że zaczynamy zastanawiać się, jak chronić swoje dane i czujemy się niepewnie, wpisując, np. dane karty. W poniższym artykule przyjrzymy się bliżej płatnościom „plastikiem” w Internecie. Zastanowimy się, czy podawanie numeru karty jest bezpieczne.
Płacąc kartą w sieci, musimy podać nie tylko jej numer, ale pełny zestaw danych, tj.:
Jak widać, sam numer karty nie wystarczy, by zapłacić za zakupy online. Powiemy więcej – powinniśmy nabrać podejrzeń, jeśli sprzedawca prosi tylko o tę informację. Właśnie to może być próba wyłudzenia danych. Ale jak to? Im więcej danych podamy, tym lepiej?
Przecież na każdym kroku jesteśmy przestrzegani, by: chronić swoją kartę i PIN; nie udostępniać jej osobom trzecim; zastrzec ją, jeśli mamy podejrzenie, że trafiła w niepowołane ręce itd. Dlaczego banki z jednej strony tyle mówią o ochronie kart, a z drugiej nie widzą problemu, by zdradzić wszystkie jej dane sprzedawcy?
Nie ma co się dziwić, że niektórzy mają mętlik w głowie i – na wszelki wypadek – unikają płacenia kartą w sieci. Jednak, gdy wykupujemy subskrypcje na różnego typu platformach (np. Netflix, Spotify, Storytel, YouTube Premium), nie zawsze da się wybrać inną metodę płatności, niż karta płatnicza. Czy rzeczywiście jest się czego obawiać? Nie ma tu jednoznacznej odpowiedzi.
Transakcje kartą online są zabezpieczane (o czym piszemy w dalszej części artykułu). Sporo jednak zależy od tego:
Aby to zweryfikować, trzeba mieć świadomość:
Pamiętajmy, że nie tylko nam – użytkownikom kart płatniczych – zależy na tym, aby transakcje przy użyciu „plastików” były bezpieczne. Leży to także w interesie banków i usługodawców. Dlatego każda ze stron stosuje (a przynajmniej powinna) szereg różnego rodzaju zabezpieczeń.
To, w jaki sposób zbudowana jest karta płatnicza, ma znaczenie nie tylko podczas zakupów stacjonarnych. Obecnie niemal wszystkie „plastiki” są przystosowane także do płatności w sieci. A skoro bank daje klientom taką możliwość, musi równocześnie zadbać o bezpieczeństwo tego typu operacji. I robi to jeszcze zanim „plastik” znajdzie się w naszych rękach. Jak? Przypisując do karty unikalny numer i kod CVV/CVC.
W 16-cyfrowym numerze karty zaszyfrowane są różne informacje, m.in. o wystawcy karty i rachunku klienta. Szczególnie istotna jest ostatnia cyfra, zwana kontrolną. Oblicza się ją za pomocą specjalnego algorytmu. Jak sama nazwa wskazuje, kontroluje, czy numer karty został poprawnie wprowadzony. Wystarczy więc zmienić jedną cyferkę, a algorytm wykryje błąd i płatność nie przejdzie.
Kod CVC lub CVV służy do zabezpieczania transakcji kartą w sieci. Mimo że składa się tylko z 3 cyfr (czasem z 4), także niesie ze sobą szereg informacji. Jest tworzony przez algorytm na podstawie numeru karty i daty ważności.
Jak widać, ani numeru karty, ani kodu CVV/CVC nie da się zastąpić przypadkowym ciągiem cyfr. To spore utrudnienie dla cyberprzestępców, którzy, licząc na łut szczęścia, próbowaliby różnych kombinacji.
Jak wspomnieliśmy na wstępie, płatność kartą online jest możliwa, tylko jeśli podamy wszystkie dane „plastiku”. Należy przyznać, że jest to nieco uciążliwe. Nie raz pewnie zastanawialiśmy się, po co aż tyle informacji. Powody są dwa. Po pierwsze – by ułatwić identyfikację klienta, a po drugie – by zyskać pewność, że rzeczywiście jest on w posiadaniu karty. Zatem jest to kolejne zabezpieczenie.
Nawet jeśli, jakim trafem cyberprzestępca odgadł lub w inny sposób poznał nasz numer karty, ta informacja nie wystarczy, by zapłacić kartą w sieci. Musiałby być w posiadaniu także pozostałych danych, żeby się pod nas podszyć.
Mimo wszystko powyżej opisane zabezpieczenia nie spełnią swojej funkcji, jeśli oszust znajdzie się w posiadaniu fizycznej karty lub przechwyci jej dane. Dlatego, zgodnie z unijną dyrektywą PSD2, wprowadzono także dodatkową ochronę transakcji kartą w Internecie, czyli silne uwierzytelnianie oraz standard 3D Secure.
Zarówno silne uwierzytelnianie, jak i 3D Secure to nic innego jak podwójna weryfikacja tożsamości klienta. By płatność się powiodła, nie wystarczy wpisać wszystkich danych karty. Transakcję trzeba dodatkowo potwierdzić w aplikacji mobilnej banku lub kodem SMS.
Zatem, nawet jeśli oszust poda wszystkie dane karty, to bez naszej autoryzacji (np. kodem SMS) i tak nie uzyska dostępu do naszych pieniędzy.
Warto wiedzieć!
W ramach tych zabezpieczeń konieczne może być podanie także PIN-u do karty (tak jest, np. w Santander Bank Polska). Pamiętajmy jednak, że zawsze będzie on wymagany razem z dodatkowym potwierdzeniem, np. kodem 3D Secure otrzymanym SMS-em.
Dbałość o bezpieczeństwo transakcji online oraz o nasze dane leży także w interesie sprzedawców działających w sieci. Jeśli firma zlekceważy tę kwestię i dojdzie do wycieku, czy kradzieży danych, odczuje przykre konsekwencje swoich zaniedbań – zaczynając od wizerunkowych po finansowe i prawne. W efekcie może nawet zniknąć z rynku.
Jak widać, stawka jest całkiem spora, więc właściciele sklepów internetowych wdrażają różnego rodzaju protokoły bezpieczeństwa i technologie szyfrowania danych. Chodzi, m.in. o tak podstawowe działania jak certyfikatu SSL (zapewnia szyfrowanie danych przesyłanych między przeglądarką a serwerem, dzięki czemu nawet jeśli zostaną one przechwycone, to nie da się ich odczytać), czy standard 3D Secure.
W tym miejscu warto także dodać, że wspomniany wcześniej kod CVV/CVC ma charakter poufny i również musi być odpowiednio chroniony. Sklepy online nie mogą go zapisywać i przechowywać w swoich bazach. Jest sprawdzany wyłącznie podczas realizacji transakcji. Zatem potencjalny haker, który włamie się do sklepu, i tak nie uzyska kompletu danych karty, a co za tym idzie, nie podszyje się pod inną osobę.
Niestety, nie każdy sprzedawca jest uczciwy. A strona, która wygląda jak strona naszego ulubionego sklepu, może być sfałszowana. Dlatego zawsze warto zachować czujność. Co powinno wzbudzić nasze podejrzenia?
Takim sygnałem alarmowym może być, np. prośba o podanie tylko wybranych danych karty (np. jej numeru). Wiemy już, że bank nie sfinalizuje transakcji bez kompletu danych. Możemy więc mieć pewność, że jest to próba wyłudzenia danych.
Pamiętajmy także, że ani pracownik banku, ani pracownik sklepu nie zadzwoni i nie poprosi nas o numer karty, a już na pewno nie o kod CVV/CVV, czy PIN karty. Takie informacje podajemy podczas zakupów w formatce płatności, a nie telefonicznie, czy mailowo. Każde odstępstwo od reguły może oznaczać, że mamy do czynienia z oszustem.
Zastanawiająca powinna być również sytuacja, kiedy sklep umożliwia wyłącznie płatności kartą, ale nie korzysta z usługi 3D Secure.
Wprowadzone zabezpieczenia znacząco zmniejszają ryzyko oszustw i wyłudzeń, jednak nie eliminują go w 100%. Warto więc wyrobić w sobie nawyki, które mogą pokrzyżować plany potencjalnego oszusta. Poniżej prezentujemy przydatne wskazówki.
Pomimo wszystkich argumentów wymienionych we wcześniejszych akapitach, cześć klientów ma dalej obiekcje przy wpisywaniu danych swojej karty płatniczej. Tu rozwiązaniem są karty prepaid, w tym jednorazowe karty płatnicze. To rozwiązanie jest dość mocno wspierane przez fintechy np. Revoluta. Jednak Banki z porównywarki kont osobistych również wprowadziły takie rozwiązania – m.in. mBank, Millennium, PKO BP czy ING. Wiecej na ten temat przeczytacie w dedykowanym artykule o kartach przedpłaconych (prepaid).
Nie musimy obawiać się wprowadzania numeru karty. Płatności „plastikiem” w sieci są tak samo bezpieczne, jak realizacja przelewów. A, m.in. z uwagi na chargeback, niektórzy uważają, że jest to najbezpieczniejsza metoda płatności.
Jeśli mimo wszystko płatności kartą w sieci wydają Wam się ryzykowne, możecie, np. ustawić zerowe limity dla płatności internetowych i korzystać z innych metod płatności.
Pamiętajmy jednak, że podczas zakupów online – bez względu na to jak za nie płacimy – zawsze powinniśmy kierować się zasadą ograniczonego zaufania. Nawet najlepsze zabezpieczenia zawiodą, jeśli sami będziemy działać lekkomyślnie.
Tak, podawanie numeru karty jest bezpieczne, pod warunkiem że strona jest odpowiednio zabezpieczona (posiada, m.in. certyfikat SSL), a sklep wdrożył usługę 3D Secure.
Jeśli podejrzewamy, że właśnie przekazaliśmy dane karty cyberprzestępcom, należy jak najszybciej poinformować o tym bank i zablokować kartę. Sprawę warto także zgłosić na policję.