Aparat POS (Point Of Sale)

Eh, valabil titlu, nu? din păcate, nu am spus “cum să furi”, ci “cum se fură”. E o diferenţă.

Cardul bancar (fie el de debit sau de credit) este din ce în ce mai utilizat în ziua de azi. Fiind portofelul electronic al majorităţii, tentaţia e mare: fraudele cu carduri bancare s-au înmulţit ca număr şi ca valoare, iar pericolul pândeşte la fiecare colţ, tovarăşi. Fraudarea unui card bancar se poate face în 2 feluri mari şi late: achiziţionarea de bunuri sau servicii cu un card bancar clonat, sau extragerea directă de fonduri. Trebuie notat că (din păcate) la noi predomină cardurile de debit (chiar şi cardurile de debit cu overdraft sunt tot carduri de debit, în esenţă), care nu beneficiază de atâtea măsuri de protecţie precum cardurile de credit. În USA, de exemplu, o înşelătorie la plata cu credit card-ul (de exemplu ai plătit online produsul X, şi nu-l primeşti, sau primeşti altceva) poate fi reclamată la banca emitentă a cardului, şi clientul îşi primeşte banii înapoi – este treaba băncii să se descurce cu furnizorul (procesul se numeşte chargeback). Eh, chestia asta nu există la cardurile de debit; pe de altă parte, la cardurile de credit se plăteşte dobândă, la cele de debit nu. Un card de debit îţi permite să cheltui doar bani pe care îi ai, un card de credit îţi permite să cheltui bani pe care nu-i ai.

Mai departe. Cardul bancar este o amărâtă bucată de plastic, ce conţine câteva elemente foarte importante: numele deţinătorului, numărul de card, data expirării şi codul de verificare (denumit şi CVV). Primele 3 se regăsesc pe faţa cardului, CVV-ul constă în ultimele 3 cifre inscripţionate pe spatele cardului. Toate aceste date (cu excepţia CVV-ului) sunt vizibile în clar, şi stocate criptat pe banda magnetică a cardului pentru a putea fi citite de POS-uri (Point Of Sale). Motivul existenţei CVV-ului este un nivel suplimentar în siguranţa tranzacţiei: teoretic, neavând CVV-ul, tranzacţia nu poate fi completată; CVV-ul este un fel de dovadă a existenţei şi prezenţei cardului la desfăşurarea tranzacţiei.

Cele 2 mari companii emiţătoare de carduri bancare sunt, după cum ştiţi probabil, Visa şi Mastercard. Toate cardurile Mastercard sunt carduri embosate (au informaţiile de pe faţă scrise în relief), pe când Visa oferă şi Visa Electron (un fel de Visa limitat, dacă vreţi). Motivul pentru care literele sunt scrise în relief stă în istorie, pe când POS-urile electronice nu existau, şi informaţia de pe card era preluată mecanic prin plasarea cardului într-un dispozitiv care presa literele pe o hârtie tip indigo (cam ca atunci când frecaţi cu creionul o coală de hârtie plasată peste o monedă). În prezent, majoritatea POS-urilor sunt electronice: cardul este introdus în dispozitiv, şi acesta comunică (de obicei prin intermediul unei linii telefonice) cu “centrala” pentru a transmite datele citite de pe card. Eh, şi o să întrebaţi de codul PIN. Codul PIN este aplicat doar cardurilor de debit, ca principală măsură de protecţie (ţineţi minte că un card de debit nu te protejează în cazul tranzacţiilor dubioase, aşa cum o face un card de credit). Eh, de-aici vine şi problema.

Să luăm un card de debit obişnuit, emis de Visa. Mergem la magazin, cumpărăm ceva şi plătim. Cardul este trecut prin POS, se introduce suma de plată, şi … depinde.

PIN Pad (dispozitiv pentru introducerea PIN-ului)

Cazul 1: tranzacţie online, cu PIN. Tranzacţia este autentificată pe bază de PIN. După introducerea sumei ce trebuie plătită, ni se cere codul PIN, pe care îl tastăm pe o mică tastatură numerică numită PIN pad. Codul tastat este criptat cu un algoritm oarecare, şi e comparat cu valoarea criptată stocată pe banda magnetică. Dacă se potrivesc, succes: este deschisă o conexiune cu centrala băncii, sunt comunicate informaţiile despre plătitor, suma ce trebuie debitată din contul persoanei, şi se aşteaptă răspunsul de la centrala băncii (poate nu avem destui bani în cont? atunci, erorare). Dacă avem bani în cont, atunci totul e în regulă şi se tipăresc cele 2 chitanţe. O chitanţă e semnată de posesorul cardului şi rămâne la magazin, semnătura fiind acceptul de plată. Să numim acest tip de tranzacţie a fi “o tranzacţie online”.

Cazul 2: tranzacţie offline, fără PIN. Eh, ăsta e cazul mai delicat; când o tranzacţie nu necesită cod PIN, se numeşte a fi “o tranzacţie offline”. În esenţă, cardul de debit este procesat ca un card de credit: sunt memorate informaţiile de pe card şi suma de plată, acestea urmând a fi transmise ulterior la bancă pentru procesare. Acesta este şi motivul pentru care tranzacţiile desfăşurate fără PIN apar în extrasul de cont abia după 2-3 zile de la efectuarea tranzacţiei. Procesul se desfăşoară exact ca prelucrarea unei tranzacţii cu un card de credit, doar că banii implicaţi în tranzacţie există în contul bancar (nu sunt bani “împrumutaţi” de bancă, precum în cazul unui card de credit real). În cazul inexistenţei unui POS electronic, aici intră în acţiune literele embosate de pe card şi informaţiile sunt transferate mecanic pe hârtie (ca un cec, să zicem); la noi, 99.9999% din POS-uri sunt electronice, deci nu ne interesează asta. Cardul nostru de debit emis în România se va comporta ca un card de credit atunci când suntem în afara ţării, din motive tehnice (imposibilitatea de a comunica în timp real cu banca din ţara emitentă este unul din aceste motive).

Aparat de inscripţionare a cardurilor clonate

Bun, şi în cazul ăsta, cum se poate fura de pe carduri până la urmă? În 2 moduri, care corespund celor 2 cazuri de mai sus.

Cazul 1: card clonat şi PIN Hoţul are PIN-ul, şi poate extrage direct bani de la ATM cu un card clonat (varianta preferată, deoarece este eliminată interacţiunea cu magazinul şi necesitatea vânzării bunurilor achiziţionate).
Cazul 2: card clonat utilizat ca un card de credit Hoţul are informaţiile de pe card, şi nu are nevoie de PIN, putând plăti cu cardul clonat la magazin, urmând a vinde produsele cumpărate pentru bani lichizi.

Să tratăm cele 2 cazuri pe rând.

Cazul 1: hoţul clonează cardul şi are PIN-ul. O pereche “card clonat + PIN” este foarte valoroasă, deoarece se pot obţine direct banii de la ATM, şi nu există facilitatea de “chargeback” în cazul tranzacţiilor efectuate cu un card de credit. Practic, un card clonat şi PIN-ul său ar putea foarte bine să fie privite exact ca un portofel plin cu bani: când este furat, banii s-au cam dus.

Clonarea cardului este relativ facilă: procedeul se cheamă skimming. Cardul care se doreşte a fi clonat este trecut printr-un dispozitiv (numit “pisicuţă” la noi) care citeşte datele de pe banda magnetică şi le memorează. Cu datele copiate de pe banda magnetică a cardului şi un inscriptor de carduri “blank” se poate obţine o copie perfectă a cardului clonat (din punct de vedere al datelor stocate). De obicei, datele sunt copiate chiar prin intermediul angajaţilor de la magazine: dăm cardul pentru plată, şi într-un moment de neatenţie cardul este trecut repede prin dispozitivul de copiere, operaţiunea durând nici 2 secunde. Varianta 2: montarea pe fanta bancomatelor a dispozitivului de copiere (acesta e motivul pentru care au apărut “gulerele” alea verzi din plastic transparent de ceva vreme, la bancomate). Şi bum, avem cardul clonat.

Iată cum arată o pisicuţă de bancomat (mai multe poze se găsesc la sursă, aici):

Aparat de clonat carduri pentru instalare în ATM - exterior

Aparat de clonat carduri pentru instalare în ATM - interior

Dar cum obţin PIN-ul? Păi, se zice că (aproape la fel de de) uşor. Varianta 1, pentru dispozitivele de clonare instalate pe bancomate: se montează o cameră mică de luat vederi în colţul de sus al bancomatului, îndreptată fix spre tastatura pe care introduceţi PIN-ul. Varianta 2, pentru cele instalate în magazine: se obţine acces la calculatorul din magazin pe care e instalat software-ul care procesează plăţile, şi se interceptează PIN-ul în momentul în care-l tastaţi pe PIN pad. Teoretic, comerciantul nu are voie să păstreze PIN-ul tastat nici măcar în formă criptată; practic, odată ce se obţine acces fizic la calculatorul sau în reţeaua unde lucrează software-ul de procesare (şi implicit acces la cheile de criptare), e prea târziu. Varianta 3, cea mai rar întâlnită (dar şi cea mai distructivă): obţinerea accesului la baza de date a băncii (de obicei prin intermediul unui angajat corupt), şi copierea perechilor de date + PIN direct din sistemul băncii. Se bănuieşte că fraudarea cardurilor Millenium de la Bancpost din mai 2008 a fost efectuată astfel.

Skimmer portabil

Ca exemplu de păţanie: cardul bancar adevărat era în Dubai, tranzacţiile dubioase au apărut în Moscova şi USA (mişto Internetul ăsta, nu?) S-a sunat la banca românească pentru a reclama frauda. Banca românească a cerut o fotografie a cardului bancar cu un colţ tăiat, împreună cu un ziar recent (pentru a verifica faptul că posesorul cardului este cu adevărat acolo unde spune că este şi a verifica data reclamaţiei, presupun). Cardul a fost blocat, şi urmează ca banca să investigheze problema pentru a returna banii posesorului păgubit. Ah, şi pentru că este o bancă românească pe care eu o “simpatizez” mult de tot, aflaţi că se preia un COMISION DE RECUPERARE de 10 EUR – culmea nesimţirii, nu? culmea nesimţirii pentru că nu e normal, şi pentru că acel card tocmai fusese schimbat în urma altei fraude similare, şi nu fusese folosit DELOC până în momentul apariţiei tranzacţiilor frauduloase, ceea ce mă duce cu gândul la faptul că informaţiile de pe card au plecat din interiorul băncii. Da, de voi vorbesc, băi BRD!

Alt tip de pisicuţă, instalată pe fanta bancomatului

Bun, şi ce putem face pentru a ne proteja în cazul ăsta? Păi:

• aveţi grijă de card şi de PIN. Nu scrieţi PIN-ul pe hârtie, sau direct pe card!
• la bancomat, evitaţi bancomatele suspecte şi inspectaţi vizual fanta de introducere a cardului. Dacă arată dubios, prezintă urme de forţare sau demontare … căutaţi alt bancomat. Eventual unul situat într-o incintă închisă, cu acces restricţionat (gen Office-urile de la ING).
• când tastaţi PIN-ul la bancomat, acoperiţi mâna cu care tastaţi cu cealaltă mână. Valabil şi la plata cu cardul la POS.
• când plătiţi la POS şi vi se spune că tranzacţia a fost refuzată, cereţi chitanţa tipărită de POS cu motivul refuzului (conexiune imposibilă, insuficiente fonduri, etc). Nu acceptaţi trecerea cardului prin POS fără a primi o chitanţă pentru fiecare trecere, indiferent de rezultatul operaţiunii!
• nu pierdeţi cardul din vedere când plătiţi la POS. Nu permiteţi vânzătorului să plece cu cardul în altă cameră, să-l treacă pe sub tejghea, sau alte manevre similare.
• nu introduceţi PIN-ul în nici o pagină de web (vezi recentele cazuri de phishing care ţintesc Raiffeisen Bank); tranzacţiile web folosesc cel mult CVV-ul, în nici un caz PIN-ul cardului.
• folosiţi serviciul de online banking, şi verificaţi periodic extrasul de cont, urmărind apariţia tranzacţiilor suspecte. Dacă observaţi ceva dubios, sunaţi la bancă imediat.

Bibliografie:

1. 300.000 de euro fraudă la Bancpost, EVZ.ro
2. Did PIN thieves grab hacking’s Holy Grail?, MSNBC.com
3. Debit Transactions, PayMeNow.com
4. Debit cards, Credit cards, Credit card hijacking, Wikipedia.org
5. Card skimming, scamwatch.gov.au
6. Skimapparaat, Paul Wiegmans
7. Card-skimming gang targets train stations, Telegraph.co.uk
8. Your Say: Cash machine fraud, BBC
9. How thief duplicates your credit or debit card, Tea Poci
10. ATM, Debit Card and Credit Card Skimmer images, www.insideIDtheft.info

Citeste restul: VAXXi.NET - cum se fură de pe carduri

De curând, din diverse motive, s-a înmulţit spam-ul de la bănci. Nu e tehnic spam, pentru că le-am dat datele de contact voluntar. Practic însă, este. Conversaţia decurge aproape invariabil după următorul tipar:

Bună ziua, aş putea să vorbesc cu dl. VAXXi ? (de parcă la telefonul meu mobil ar răspunde secretara)

Da, eu sunt, spuneţi.

Domnule VAXXi, sunt de la banca XYZCRPOSTBank, îmi puteţi acorda câteva minute ?

Da, vă ascult.

Domnule VAXXi (de fiecare dată mi se adresează cu numele complet, punând prenumele înainte de nume, precum în cazul personalităţilor), vă mulţumesc pentru timpul acordat. Dorim să vă informăm despre … şi aici intervine noul produs pe care TREBUIE NEAPÄ‚RAT SÄ‚ ÎL AM, ESTE FOARTE AVANTAJOS PENTRU MINE, şi care este întotdeauna un credit sau o linie de credit cu nu ştiu ce avantaje.

Moment în care vine răspunsul din partea mea: mulţumesc, nu vreau, nu am avut, nu îmi trebuie şi nu intenţionez să am aşa ceva.

Ä‚ia mai timizi se opresc şi îmi mulţumesc pentru timpul acordat, la revedere, bla bla. Ä‚ia biciuiţi mai tare din spate de şefi insistă, încercând să-mi reia motivele pentru care m-aş simţi atât de bine luând creditul lor, încât fluturaşi roz vor da târcoale blânde frunţii mele în fiecare dimineaţă în care mă trezesc. Ä‚ia care insistă şi după al doilea refuz primesc răspunsul detaliat, în care le povestesc părerea mea despre politicile lor de dobânzi şi comisioane excesive. După asta renunţă toţi, probabil se lămuresc că n-au ce discuta cu căposul ăsta care nu vrea card de credit, fir-ar naţia lui să fie!

Pentru cine nu ştie deja, un card de credit sau o linie de credit instant (overdraft) este moartea portofelului. Uşurinţa şi rapiditatea acordării sunt contracarate de dobânzi uriaşe (în comparaţie cu cele de la credite, care şi-aşa sunt deja uriaşe). Practic, sunt cireşele perfect coapte care constituie o parte importantă din venitul băncii. Tentaţia e mare, dar ponoasele trase cu aşa ceva sunt şi mai mari. Sunt cea mai mare capcană întinsă de bancă spre client.

Citeste restul: VAXXi.NET - Bănci, credite şi tonul vocii

Primul of se trage de la BRD-GSG, banca rosu-negru. Rosu de la culoarea ochilor cand afli ultima boacana facuta de ei, negru de la culoarea vanatailor pe care le merita. Pentru-a invata sa va feriti de ei, atunci cand sunteti in cautarea unei banci, iata cateva patanii traite pe propria piele.

1. Ordinul de plata. Am avut de facut un ordin de plata. Nici o problema. Te duci la ghiseu, completezi frumos hartiuta, dai la tanti, dai banu’, si toata lumea e fericita. Gresit. Toata lumea e fericita daca “calculatorul” (toata lumea, cand vrea sa isi acopere greseala, da vina “pe calculator”, bietu’ de el) n-ar fi dublat ordinul de plata, asa incat s-a platit de 2 ori suma care trebuia. Cu acelasi OP, acelasi numar de inregistrare. Scandal, tambalau, anuleaza unul din ele, primeste-ti inapoi banii. Evident, si-au luat comision la transferul banilor.
2. Cardul. Am facut un VISA la ei, tocma’ in ideea de a face plati online. VISA-VISA, nu Taifun, Maestro, si alte inventii romanesti. Mers bine vreo 3 luni, platit alea alea, VAXXi happy. Pana cand intr-o zi, Transaction denied. Hmm. Contactam banca, discutia se desfasoara cam la modul asta:
   • - Buna ziua, am un card VISA, cu care am facut niste plati la comercianti, prin Internet, si acum nu mai functioneaza. Ce se intampla ?
   • - clicka clicka clicka … Pai, cardurile acestea nu pot fi folosite la plati online prin Internet.
   • - Cum asa, ca de 3 luni il folosesc, si a mers ok ?
   • - Nu, nu se poate, cardurile acestea nu au putut fi niciodata folosite la tranzactii online, estimam ca din a doua jumatate a anului sa oferim aceasta facilitate clientilor nostri.
   • - Dar, chiar nu intelegeti ca A MERS ? A MERS, si acum NU MAI MERGE.
   • - Nu, ne pare rau.

   Idioti. Dupa aia am aflat ce se intamplase de fapt.

3. Carrefour. M-a mancat undeva sa-mi fac acel celebru card Carrefour. Citit pliant, conditiile nemaipomenite, cedez ispitei prezentate sub forma de gadget-electronic-foarte-scump-must-have-must-have, ma inscriu. Dai niste bani (putintei), in fiecare luna, rata scade pe parcurs in functie de cat mai ai de plata, etc. Totul bine si frumos, merge aproape 10 luni, trebuia sa scada rata. Nu scade. Nici luna asta, nici luna urmatoare… si in luna a 3-a vine rata mai mare. Printr-o notificare prin SMS. SMS primit la ora 01:47 AM (2 noaptea), pe data de 25, care-mi spunea ca am termen scadent 15. Sunam la serviciul cu clientii, unde dupa 3-4 clicka clicka clicka de vreo 2 minute fiecare, de parca-mi cauta dosarul la CNSAS, aflu ca de fapt rata se recalculeaza doar daca mai faci cumparaturi cu cardul de minim 50 RON. “Bun, si ce-i cu SMS-ul ala de notificare ?” intreb. “Aa, o greseala a sistemului nostru, ne scuzati.” Tot calculatorul, saracu’.
4. Contul. Am un cont deschis de vreo 6 luni, tot la BRD (o sa-l inchid, o sa-l inchid). Vine o scrisoare in cutie. Nestampilata, datata 22.06.2007, nesemnata. In ea, o foaie de hartie. La fel, fara nici o stampila sau numar de identificare. Bla bla bla, in urma unei erori a sistemului nostru, am uitat sa va incasam un comision in aceste luni, binevoiti dvs. sa aveti in cont suma de X RON pana la data de 06.07.2007 ca sa va luam banu’. Scrisoarea ajunsese in cutie pe 05.07.2007. Tot calculatoru’ e vinovat.
5. Online. Au un e-banking de toata jena. Vrei sa faci o plata in contul cuiva ? Desigur, completati dvs. o cerere scrisa, depuneti la sucursala unde aveti contul, si in cateva zile o sa aveti optiunea in BRD-Net. Vreti sa accesati cumva serviciul noaptea ? Nu se poate, de pe la 11 PM pana pe la rasaritul soarelui nu merge, ca facem actualizari de sistem (in fiecare noapte, toata noaptea ?!?). Securitate ? ah, un user si-o parola, nu digipass, nu token … jenant.

Mai gasiti altele aici, aici, aici, aici.

Citeste restul: VAXXi.NET - BRD GSG loveste din nou