Czy podawanie numeru karty jest bezpieczne?

Tyle słyszy się o różnych atakach socjotechnicznych, np. phishingu. Często mówi się o tym, przytaczając historie ludzi, którzy stracili oszczędności całego życia. Co jakiś czas dochodzą do nas informacje, że hakerzy mniej lub bardziej skutecznie wykradli dane jakiejś instytucji. To wszystko działa na nasze emocje i wyobraźnię. Jednocześnie coraz więcej płatności realizujemy online. Nic więc dziwnego, że zaczynamy zastanawiać się, jak chronić swoje dane i czujemy się niepewnie, wpisując, np. dane karty. W poniższym artykule przyjrzymy się bliżej płatnościom „plastikiem” w Internecie. Zastanowimy się, czy podawanie numeru karty jest bezpieczne.

Czy podawanie numeru karty jest bezpieczne?

Płacąc kartą w sieci, musimy podać nie tylko jej numer, ale pełny zestaw danych, tj.:

• numer karty;
• datę ważności;
• imię i nazwisko posiadacza;
• kod CVV/CVC.

Jak widać, sam numer karty nie wystarczy, by zapłacić za zakupy online. Powiemy więcej – powinniśmy nabrać podejrzeń, jeśli sprzedawca prosi tylko o tę informację. Właśnie to może być próba wyłudzenia danych. Ale jak to? Im więcej danych podamy, tym lepiej?

Przecież na każdym kroku jesteśmy przestrzegani, by: chronić swoją kartę i PIN; nie udostępniać jej osobom trzecim; zastrzec ją, jeśli mamy podejrzenie, że trafiła w niepowołane ręce itd. Dlaczego banki z jednej strony tyle mówią o ochronie kart, a z drugiej nie widzą problemu, by zdradzić wszystkie jej dane sprzedawcy?

Nie ma co się dziwić, że niektórzy mają mętlik w głowie i – na wszelki wypadek – unikają płacenia kartą w sieci. Jednak, gdy wykupujemy subskrypcje na różnego typu platformach (np. Netflix, Spotify, Storytel, YouTube Premium), nie zawsze da się wybrać inną metodę płatności, niż karta płatnicza. Czy rzeczywiście jest się czego obawiać? Nie ma tu jednoznacznej odpowiedzi.

Transakcje kartą online są zabezpieczane (o czym piszemy w dalszej części artykułu). Sporo jednak zależy od tego:

• czy podmiot, który prosi o dane, jest zaufanym i wiarygodnym usługodawcą;
• czy mamy pewność, że nikt nie podszywa się pod zaufanego i wiarygodnego usługodawcę.

Aby to zweryfikować, trzeba mieć świadomość:

• w jaki sposób cyberprzestępcy mogą wyłudzać nasze dane – odpowiedź znajdziecie, m.in. w artykule Oszustwa internetowe, czyli jak próbują nas okraść?;
• jak o bezpieczeństwo transakcji powinni dbać banki i sprzedawcy – o tym piszemy poniżej.

Bezpieczeństwo kart płatniczych podczas transakcji online

Pamiętajmy, że nie tylko nam – użytkownikom kart płatniczych – zależy na tym, aby transakcje przy użyciu „plastików” były bezpieczne. Leży to także w interesie banków i usługodawców. Dlatego każda ze stron stosuje (a przynajmniej powinna) szereg różnego rodzaju zabezpieczeń.

Budowa karty płatniczej a transakcje online

To, w jaki sposób zbudowana jest karta płatnicza, ma znaczenie nie tylko podczas zakupów stacjonarnych. Obecnie niemal wszystkie „plastiki” są przystosowane także do płatności w sieci. A skoro bank daje klientom taką możliwość, musi równocześnie zadbać o bezpieczeństwo tego typu operacji. I robi to jeszcze zanim „plastik” znajdzie się w naszych rękach. Jak? Przypisując do karty unikalny numer i kod CVV/CVC.

W 16-cyfrowym numerze karty zaszyfrowane są różne informacje, m.in. o wystawcy karty i rachunku klienta. Szczególnie istotna jest ostatnia cyfra, zwana kontrolną. Oblicza się ją za pomocą specjalnego algorytmu. Jak sama nazwa wskazuje, kontroluje, czy numer karty został poprawnie wprowadzony. Wystarczy więc zmienić jedną cyferkę, a algorytm wykryje błąd i płatność nie przejdzie.

Kod CVC lub CVV służy do zabezpieczania transakcji kartą w sieci. Mimo że składa się tylko z 3 cyfr (czasem z 4), także niesie ze sobą szereg informacji. Jest tworzony przez algorytm na podstawie numeru karty i daty ważności.

Jak widać, ani numeru karty, ani kodu CVV/CVC nie da się zastąpić przypadkowym ciągiem cyfr. To spore utrudnienie dla cyberprzestępców, którzy, licząc na łut szczęścia, próbowaliby różnych kombinacji.

Konieczność podania kompletu danych karty

Jak wspomnieliśmy na wstępie, płatność kartą online jest możliwa, tylko jeśli podamy wszystkie dane „plastiku”. Należy przyznać, że jest to nieco uciążliwe. Nie raz pewnie zastanawialiśmy się, po co aż tyle informacji. Powody są dwa. Po pierwsze – by ułatwić identyfikację klienta, a po drugie – by zyskać pewność, że rzeczywiście jest on w posiadaniu karty. Zatem jest to kolejne zabezpieczenie.

Nawet jeśli, jakim trafem cyberprzestępca odgadł lub w inny sposób poznał nasz numer karty, ta informacja nie wystarczy, by zapłacić kartą w sieci. Musiałby być w posiadaniu także pozostałych danych, żeby się pod nas podszyć.

Silne uwierzytelnianie i 3D Secure

Mimo wszystko powyżej opisane zabezpieczenia nie spełnią swojej funkcji, jeśli oszust znajdzie się w posiadaniu fizycznej karty lub przechwyci jej dane. Dlatego, zgodnie z unijną dyrektywą PSD2, wprowadzono także dodatkową ochronę transakcji kartą w Internecie, czyli silne uwierzytelnianie oraz standard 3D Secure.

Zarówno silne uwierzytelnianie, jak i 3D Secure to nic innego jak podwójna weryfikacja tożsamości klienta. By płatność się powiodła, nie wystarczy wpisać wszystkich danych karty. Transakcję trzeba dodatkowo potwierdzić w aplikacji mobilnej banku lub kodem SMS.

Zatem, nawet jeśli oszust poda wszystkie dane karty, to bez naszej autoryzacji (np. kodem SMS) i tak nie uzyska dostępu do naszych pieniędzy.

Warto wiedzieć!

W ramach tych zabezpieczeń konieczne może być podanie także PIN-u do karty (tak jest, np. w Santander Bank Polska). Pamiętajmy jednak, że zawsze będzie on wymagany razem z dodatkowym potwierdzeniem, np. kodem 3D Secure otrzymanym SMS-em.

Jak o bezpieczeństwo kart płatniczych dbają sprzedawcy?

Dbałość o bezpieczeństwo transakcji online oraz o nasze dane leży także w interesie sprzedawców działających w sieci. Jeśli firma zlekceważy tę kwestię i dojdzie do wycieku, czy kradzieży danych, odczuje przykre konsekwencje swoich zaniedbań – zaczynając od wizerunkowych po finansowe i prawne. W efekcie może nawet zniknąć z rynku.

Jak widać, stawka jest całkiem spora, więc właściciele sklepów internetowych wdrażają różnego rodzaju protokoły bezpieczeństwa i technologie szyfrowania danych. Chodzi, m.in. o tak podstawowe działania jak certyfikatu SSL (zapewnia szyfrowanie danych przesyłanych między przeglądarką a serwerem, dzięki czemu nawet jeśli zostaną one przechwycone, to nie da się ich odczytać), czy standard 3D Secure.

W tym miejscu warto także dodać, że wspomniany wcześniej kod CVV/CVC ma charakter poufny i również musi być odpowiednio chroniony. Sklepy online nie mogą go zapisywać i przechowywać w swoich bazach. Jest sprawdzany wyłącznie podczas realizacji transakcji. Zatem potencjalny haker, który włamie się do sklepu, i tak nie uzyska kompletu danych karty, a co za tym idzie, nie podszyje się pod inną osobę.

Kiedy podanie numeru karty jest ryzykowne? Czy podawanie numeru karty jest bezpieczne?

Niestety, nie każdy sprzedawca jest uczciwy. A strona, która wygląda jak strona naszego ulubionego sklepu, może być sfałszowana. Dlatego zawsze warto zachować czujność. Co powinno wzbudzić nasze podejrzenia?

Takim sygnałem alarmowym może być, np. prośba o podanie tylko wybranych danych karty (np. jej numeru). Wiemy już, że bank nie sfinalizuje transakcji bez kompletu danych. Możemy więc mieć pewność, że jest to próba wyłudzenia danych.

Pamiętajmy także, że ani pracownik banku, ani pracownik sklepu nie zadzwoni i nie poprosi nas o numer karty, a już na pewno nie o kod CVV/CVV, czy PIN karty. Takie informacje podajemy podczas zakupów w formatce płatności, a nie telefonicznie, czy mailowo. Każde odstępstwo od reguły może oznaczać, że mamy do czynienia z oszustem.

Zastanawiająca powinna być również sytuacja, kiedy sklep umożliwia wyłącznie płatności kartą, ale nie korzysta z usługi 3D Secure.

Jak bezpiecznie płacić kartą w Internecie?

Wprowadzone zabezpieczenia znacząco zmniejszają ryzyko oszustw i wyłudzeń, jednak nie eliminują go w 100%. Warto więc wyrobić w sobie nawyki, które mogą pokrzyżować plany potencjalnego oszusta. Poniżej prezentujemy przydatne wskazówki.

1. Numer karty i inne dane wprowadzajmy tylko na szyfrowanych stronach, czyli takich zabezpieczonych certyfikatem SSL. Adres takiej strony powinien zaczynać się od https://, a nie http://. Dodatkowo przy adresie strony powinien być symbol zamkniętej kłódki.
2. Kupujmy w sklepach, które akceptują standard 3D Secure.
3. Utrzymujmy możliwie najniższe limity transakcyjne dla płatności online.
4. Nie klikajmy w linki do płatności pochodzące z nieznanych źródeł.
5. Płatności realizujmy tylko na zaufanych urządzeniach.
6. Korzystajmy z programów antywirusowych i regularnie aktualizujmy oprogramowanie.
7. Uważnie czytajmy treść powiadomień i SMS-ów potwierdzających płatność.

Rozwiązanie zwiększające bezpieczeństwo

Pomimo wszystkich argumentów wymienionych we wcześniejszych akapitach, cześć klientów ma dalej obiekcje przy wpisywaniu danych swojej karty płatniczej. Tu rozwiązaniem są karty prepaid, w tym jednorazowe karty płatnicze. To rozwiązanie jest dość mocno wspierane przez fintechy np. Revoluta. Jednak Banki z porównywarki kont osobistych również wprowadziły takie rozwiązania – m.in. mBank, Millennium, PKO BP czy ING. Wiecej na ten temat przeczytacie w dedykowanym artykule o kartach przedpłaconych (prepaid).

Podsumowanie – czy podawanie numeru karty jest bezpieczne?

Nie musimy obawiać się wprowadzania numeru karty. Płatności „plastikiem” w sieci są tak samo bezpieczne, jak realizacja przelewów. A, m.in. z uwagi na chargeback, niektórzy uważają, że jest to najbezpieczniejsza metoda płatności.

Jeśli mimo wszystko płatności kartą w sieci wydają Wam się ryzykowne, możecie, np. ustawić zerowe limity dla płatności internetowych i korzystać z innych metod płatności.

Pamiętajmy jednak, że podczas zakupów online – bez względu na to jak za nie płacimy – zawsze powinniśmy kierować się zasadą ograniczonego zaufania. Nawet najlepsze zabezpieczenia zawiodą, jeśli sami będziemy działać lekkomyślnie.