Jedná se o phishing?

.

  • *****
  • 546
    • Zobrazit profil
Re:Jedná se o phishing?
« Odpověď #30 kdy: 31. 01. 2021, 12:11:13 »
Samotné číslo karty rozhodně NESTAČÍ k tomu, aby si obchodník něco strhl. K tomu je potřeba ještě znát platnost karty a CRC, a to při distanční platbě kdekoliv s kartami MC a Visa, jenž jsou vydané v ČR. A v nejbližší době stejně přejdou banky k tomu, že u obchodníků bez podpory 3D Secure nepůjde kartou platit vůbec.
3D secure je nesmysl, protože nejde vynutit ani ze strany majetele karty a bohužel v naprosté většině případů ani ze strany majitele eshopu. Jinými slovy, stačí si na vaši kartu koupit něco mimo EU a 3D secure je k ničemu. Tedy někdo si na váš účet objecná něco z Aliexpresu a máte prostě smůlu.
Z toho plyne že bankovní asociace i banky jsou neskuteční hlupí, naprosto jim schází logické myšlení.
Raději budou lustrovat obchodníky než aby vymysleli neprůstřelné technické řešení. Opakuji, že kliknout na něco co přijde v emailu je mnohem více rizikové než spléci adresu tak, abych se dostal na stránky podvodníka. Tento druh podvodu se prostě moc nedělá.
Vynutit 3D Secure je zcela triviální, protože prostě obchodník bez této ochrany si u vydavatele karty ani neškrtne. A jelikož jsou vydavatelé v našich končinách v podstatě jenom 2, MC a Visa, tak to nebude žádný velký problém. Ali se tomu rychle přizpůsobí, stejně jako se tomu přizpůsobil PayPal, eBay, Amazon a další. A netřeba vymýšlet nějaká další a další řešení, když 3D Secure splňuje zabezpečení jak má a úplně stačí, aby to každý obchodník používal.
Kliknout na něco v emailu neznamená, že tím přijdu o peníze. Tato pitomost se sice traduje, že ano, ale ve skutečnosti se samotným kliknutím nestane vůbec nic.
To je zajímavý kolik se najde vždy hlasitých chytrolínů co vědí všechno. Provozuji VoIP operátora Odorik.cz a tak vím, že získat banku, nebo jinou platební bránu, která dovede zablokovat platby které nedovede ověřit přes 3D secure je hrozný problém. Karty vydavatele karet, kteří nejsou z EU nemají zabezpečení 3D secure povinné. A existuje stále obrovské množství karet jejichž banka 3D secure neumí. A pro obchodníky je to docela problém, když někdo zaplatí takovou cizí kartou. V očích bank a karetní asociace za to totiž může ten obchodník a ne jejich vlastní hloupost, že to nechtějí na žádost obchodníka zablokovat.

A obráceně. Pokud máte platební kartu vydanou v EU, umí sice 3D secure, ale většina obchodníků co nejsou v EU ověřování přes 3D secure nepodporuje. Tedy pokud si někdo opíše číslo vaší karty a kód z druhé strany, může stále platit ve většině eshopů světa. A vy takové internetové platby bez 3D secure nemáte možnost zablokovat, protože banky jsou neskutečně hloupé a arogantní. Mám ověřeno, že technicky to možné je.

A evropská unie místo aby se zaměřila na poslední slabinu - donutila banky možnost vynutit 3D secure, tak vymýšlí způsob jak zkomplikovat 3D secure ještě dalším způsobem -  přidáním zbytečného epinu a podobně.

Na černém trhu není problém koupit čísla cizích platebních karet s nefunkčním 3D secure, ale problém pro podvodníky je jak tyto čísla karet převést ve velkém na hotovost. A to je ten důvod proč se mohou karetní asociace chovat tak nezodpovědně a přitom se tvářit že je vše v pořádku.
Jeden ze způsobů jak převést kradená čísla karet na hotovost je si koupit kredit a pak je provolat na drahé čísla, kde z příchozích hovorů dostanou provizi. Proto musí být telekomunikační operátoři ve střehu a jediné dokonalé řešení je vynutit 3D secure u všech plateb, což je ale u hloupých bank problém.
Jestli nějaký obchodník neumí (nechce) 3D Secure a podporuje i platby bez tohoto ověření, tak je pak na něm, aby se případně vypořádal s tím, když mu někdo zaplatí kradenou kartou a bude se následně s bankou dohadovat. Každý normální obchodník v ČR ale podporu 3D Secure má.

Z pohledu zákazníka je to pak naprosto jednoduché - platit kartou pouze tam, kde 3D Secure je. Případně na platby bez 3D Secure - pokud má tedy někdo potřebu platit v obchodech, kde to podporováno není - používat jinou platební kartu, u které se v bance povolí platba a po provedené transakci se platby přes internet zablokují.


Re:Jedná se o phishing?
« Odpověď #31 kdy: 31. 01. 2021, 12:12:19 »
Kdo nedoporučuje klikat na odkazy v emailu? Asi nějaký jouda, co je zmagořený "radami" někde na Novinkách, ne? :D Je to stejné jako klikat na odkazy na webu nebo třeba v pdf dokumentech. Nebo když emailem dorazí vyúčtování od mobilního operátora a přímo v tom emailu je odkaz na webovou stránku, kde lze to vyúčtování zobrazit. Naprosto běžná věc. Pokud by tomu tak nebylo, pak emailová komunikace ztratí z velké části smysl a může sloužit akorát k zasílání nic neříkajících sdělení :P
Ale nezobecňujte to. Klikat na odkazy v emailu můžete, pokud poté nezadáváte přihlašovací údaje (hlavně tam kde jsou peníze) nebo číslo karty.

.

  • *****
  • 546
    • Zobrazit profil
Re:Jedná se o phishing?
« Odpověď #32 kdy: 31. 01. 2021, 12:13:46 »
Ne, NESTAČÍ, protože platba se bez dalších údajů, tj. platnost a CRC, neověří. A je irelevantní tady vypisovat co je jinde na světě, protože se bavíme o platbách kartami vydanými v ČR a zde už v nejbližší době bude nutné i 3D Secure, tj. soustavně omílaný argument o tom, jak se kdesi na Ali dá platit jenom údaji z karty samotné, padne. Natož tvrzení, že stačí jenom číslo karty - skutečně bych rád viděl obchod, kde lze takto zaplatit :D
Vaše představa, že kartami vydanými v ČR lze platit pouze v ČR v internetových obchodech, je pozoruhodná, nicméně neodpovídá realitě. Kartami lze platit i mimo internet a dokonce i mimo ČR.
Bylo by dobré se naučit číst a ne hned zbrkle reagovat :P Jinak znovu - u kterého obchodníka lze zaplatit pouhým zadáním čísla karty bez toho, že se musí zadávat i platnost karty a CRC?

.

  • *****
  • 546
    • Zobrazit profil
Re:Jedná se o phishing?
« Odpověď #33 kdy: 31. 01. 2021, 12:20:01 »
Defaultní správce hesel v Google chrome se chová nebezpečně. Protože veškerá uložená hesla ukáže každému, kdo si na chvilku sedne k vašemu počítači. Pokud se do vašeho počítače dostane trojský kůň nebo vir, okamžitě může poslat všechny uložená hesla bez toho, aby čekal až je zadáte. Proto ukládání hesel nemají banky rády. Výhoda, že na podvodné stránce budete muset heslo zadat znovu a ručně je nic moc.
A když nechám otevřené dveře do baráku nebo u auta, tak je taky dost pravděpodobné, že tam někdo ukradne na co zrovna natrefí. Stejně, jako když svůj klíč budu půjčovat všem co znám nebo mít zámek, který se dá otevřít šperhákem. Holt základní zásady bezpečnosti se musí dodržovat všude, internet nevyjímaje.

Re:Jedná se o phishing?
« Odpověď #34 kdy: 31. 01. 2021, 12:20:39 »
[Jestli nějaký obchodník neumí (nechce) 3D Secure a podporuje i platby bez tohoto ověření, tak je pak na něm, aby se případně vypořádal s tím, když mu někdo zaplatí kradenou kartou a bude se následně s bankou dohadovat. Každý normální obchodník v ČR ale podporu 3D Secure má.

Z pohledu zákazníka je to pak naprosto jednoduché - platit kartou pouze tam, kde 3D Secure je. Případně na platby bez 3D Secure - pokud má tedy někdo potřebu platit v obchodech, kde to podporováno není - používat jinou platební kartu, u které se v bance povolí platba a po provedené transakci se platby přes internet zablokují.
V EU je 3D secure povinná. Mimo EU je 3D secure naopak neobvyklá navíc se s jistotou  nedozvím předem, jestli bude 3D secure použita. A i pokud bych se takovým místům úplně vyhnul (což nejde), klidně tam mojí  kartou může platit ten podvodník.  A to je ten hlavní problém. Pokud si toho nevšimnu do týdne nebo čtrnácti dní, mám prostě smůlu. Pokud si toho všimnu, ani pak nemám jisté, že peníze dostanu zpět, protože české banky jsou prostě hloupé a pomalé a nemají ponětí o reálném nebezpečí na internetu.
Ano řešením si je platby povolovat jen na chvíli, nebo mít kartu na jiném než hlavním účtu, kde je nízká částka. Ale to naprostá většina lidí nedělá. Úplně nejlepší je funkce České spořitelny, která generuje jednorázové platební karty vždy jen na jedno použití v mobilní aplikaci.
« Poslední změna: 31. 01. 2021, 12:25:26 od xsouku04 »


Re:Jedná se o phishing?
« Odpověď #35 kdy: 31. 01. 2021, 12:22:10 »
Defaultní správce hesel v Google chrome se chová nebezpečně. Protože veškerá uložená hesla ukáže každému, kdo si na chvilku sedne k vašemu počítači. Pokud se do vašeho počítače dostane trojský kůň nebo vir, okamžitě může poslat všechny uložená hesla bez toho, aby čekal až je zadáte. Proto ukládání hesel nemají banky rády. Výhoda, že na podvodné stránce budete muset heslo zadat znovu a ručně je nic moc.
A když nechám otevřené dveře do baráku nebo u auta, tak je taky dost pravděpodobné, že tam někdo ukradne na co zrovna natrefí. Stejně, jako když svůj klíč budu půjčovat všem co znám nebo mít zámek, který se dá otevřít šperhákem. Holt základní zásady bezpečnosti se musí dodržovat všude, internet nevyjímaje.
V tomto případě ale nechává dveře otevřené Google a lidí co si otevřené dveře sami zazdí je málo. Banky a všichni ostatní to musí brát jako fakt.

Re:Jedná se o phishing?
« Odpověď #36 kdy: 31. 01. 2021, 12:24:02 »
Bylo by dobré se naučit číst a ne hned zbrkle reagovat :P Jinak znovu - u kterého obchodníka lze zaplatit pouhým zadáním čísla karty bez toho, že se musí zadávat i platnost karty a CRC?
Číslem platební karty myslím i všechny ty další potřebné věci k platbě, protože ty se zadávají vždy také včetně podvodných stránek.

Re:Jedná se o phishing?
« Odpověď #37 kdy: 31. 01. 2021, 13:01:21 »
Bylo by dobré se naučit číst a ne hned zbrkle reagovat :P
Fajn, tak to zkuste. Zjistíte, že se tu bavíme o možném zneužití platební karty. Kartu nemusíte zneužít jenom u obchodníka, můžete ji zneužít v hotelu, v půjčovně aut, na benzinové pumpě… Takže vaše otázka na obchodníka je bezpředmětná, že?

Jinak to, že číslo karty je tajný údaj, můžete odvodit i z toho, že se nikde nezobrazuje celé – pokud není účelem použít to číslo k placení. Když máte přehled uložených karet (ve správci hesel, na Google Pay, u obchodníka), vždy se zobrazují jen poslední čtyři číslice. Když vám přijde e-mail s výpisem, jsou tam jen poslední čtyři číslice – abyste se dostal k úplným údajům, musíte se nějak dál prokázat. Když přijde PIN poštou, jsou tam jen poslední čtyři číslice čísla karty. Když potvrzujete platbu přes 3D secure, zase jsou tam jen ty čtyři číslice.

Re:Jedná se o phishing?
« Odpověď #38 kdy: 31. 01. 2021, 13:04:44 »
Ale nezobecňujte to. Klikat na odkazy v emailu můžete, pokud poté nezadáváte přihlašovací údaje (hlavně tam kde jsou peníze) nebo číslo karty.
Prosím vás, hlavně tyhle nesmysly nikomu neraďte.

Ne, opravdu nikdy nezadávejte přihlašovací údaje nebo číslo karty do stránky, u které jste si neověřil, že je to ta správná stránka. Bez ohledu na to, jak jste se na tu stránku dostal.

Ověření toho, že je to ta správná stránka (ideálně z HTTPS certifikátu), úplně stačí. Je tedy úplně jedno, jak jste se na tu stránku dostal, zda odkazem z webu, e-mailu, z vyhledávače nebo jakkoli jinak. Důležitá je ta kontrola, na ničem jiném ohledně adresy nezáleží.

.

  • *****
  • 546
    • Zobrazit profil
Re:Jedná se o phishing?
« Odpověď #39 kdy: 31. 01. 2021, 13:19:37 »
Bylo by dobré se naučit číst a ne hned zbrkle reagovat :P
Fajn, tak to zkuste. Zjistíte, že se tu bavíme o možném zneužití platební karty. Kartu nemusíte zneužít jenom u obchodníka, můžete ji zneužít v hotelu, v půjčovně aut, na benzinové pumpě… Takže vaše otázka na obchodníka je bezpředmětná, že?

Jinak to, že číslo karty je tajný údaj, můžete odvodit i z toho, že se nikde nezobrazuje celé – pokud není účelem použít to číslo k placení. Když máte přehled uložených karet (ve správci hesel, na Google Pay, u obchodníka), vždy se zobrazují jen poslední čtyři číslice. Když vám přijde e-mail s výpisem, jsou tam jen poslední čtyři číslice – abyste se dostal k úplným údajům, musíte se nějak dál prokázat. Když přijde PIN poštou, jsou tam jen poslední čtyři číslice čísla karty. Když potvrzujete platbu přes 3D secure, zase jsou tam jen ty čtyři číslice.
Zkus to sám, místní trole. A už konečně sem dej odkaz na obchodníka, kterému stačí k platbě jenom číslo karty bez dalších údajů. Než ten odkaz zde bude, tak seš pouhý Tlučhuba :P

.

  • *****
  • 546
    • Zobrazit profil
Re:Jedná se o phishing?
« Odpověď #40 kdy: 31. 01. 2021, 13:21:50 »
A už vidím, jak v hotelu nebo na benzínové pumpě dám obchodníkovi číslo karty a on provede platbu. To snad bude hotelo-pumpa Jirsák, jinde to totiž nejde ani omylem :D

Re:Jedná se o phishing?
« Odpověď #41 kdy: 31. 01. 2021, 13:29:44 »
Zkus to sám, místní trole. A už konečně sem dej odkaz na obchodníka, kterému stačí k platbě jenom číslo karty bez dalších údajů. Než ten odkaz zde bude, tak seš pouhý Tlučhuba :P
Já jsem někde psal, že pouhé číslo karty stačí k platbě u obchodníka? Nepsal. Takže kdo je tu tlučhuba už víme…

.

  • *****
  • 546
    • Zobrazit profil
Re:Jedná se o phishing?
« Odpověď #42 kdy: 31. 01. 2021, 14:17:33 »
Ty už ve svém trolingu ani nevíš, co píšeš :D A jestli máš potíže s pamětí, tak zkus něco v lékárně, třeba to pomůže :P


Re:Jedná se o phishing?
« Odpověď #43 kdy: 31. 01. 2021, 15:17:33 »
Ty už ve svém trolingu ani nevíš, co píšeš :D A jestli máš potíže s pamětí, tak zkus něco v lékárně, třeba to pomůže :P



OK, nepřesně o obchodníkovi jsem psal už já. Nicméně že půjde o internetový obchod, na který jde dát odkaz, jste z toho udělal až vy. Nebo jste odkazem myslel i „benzínová pumpa na Highway 183, 3,5 km za Milllerem, Nebraska, USA“?

Pak mám pro vás ještě hádanku. Tvrdil jste, že pro platbu u obchodníka je nutná zadat vždy číslo karty, měsíc expirace a CRC. Předpokládám tedy, že jste myslel CVV/CVC… Teď k té hádance. Amazon.com znáte? Je to docela velký obchodník, mohl byste ho znát. Když se tam (u přihlášeného uživatele) zadávají údaje o platební kartě – kam přesně tam to CVV/CVC mám napsat?

A ještě jedna hádanka. Pokud je podle vás naprosto bezpečné komukoli sdělovat číslo karty, proč už jste sem dávno číslo své karty nenapsal? Čeho se bojíte?

Re:Jedná se o phishing?
« Odpověď #44 kdy: 31. 01. 2021, 16:06:35 »

OT: Jak jsi nastavil tmavé pozadí na webu forum.root.cz? V nastavení profilu sice vidím nastavení vzhledu, ale tmavé pozadí tam není.