Na nas se je obrnil bralec, ki je trdil, da so mu nepridipravi s pomočjo številke njegove bančne kartice zlorabili kartico. Do številke naj bi prišli tako, da so iz smeti odvzeli njegov odvržen račun nakupa, kjer je bila gor v celoti napisana številka bančne kartice.
Obrnili smo se na trgovske ponudnike Lild, Hofer, Tuš, Spar in Mercator, kjer so nam zatrdili, da se številka bančne kartice nikoli ne izpiše na računu nakupa, saj je to protizakonito. Na računu so običajno vidne samo zadnje štiri številke, ostale pa so zakrite z znaki.
Ali je takšna zloraba možna?
Da bi izvedeli več o tem, ali je možno zlorabiti kartico samo s številko bančne kartice, smo se obrnili na višjo svetovalko za področje informacijske varnosti Alenko Glas, ki je strokovnjakinja tudi na področju preprečevanja zlorabe plačilnih kartic.
"Samo zlorabo se da tako opraviti, ampak ne v urejenih državah," je začela Alenka Glas. "Predvsem na evropskem trgu, v Kanadi in ZDA so te zadeve nemogoče. To je zato, ker te države spoštujejo in uveljavljajo varnostni standard na področju plačilnih kartic PCI-DSS."
PCI-DSS je kratica za Payment Card Industry – Data Security Standard. PCI-DSS je varnostni standard mednarodnih plačilnih sistemov, ki ščiti uporabnike kartičnega poslovanja.
"Kjer je trg nereguliran, lahko pride do zlorabe bančne kartice predvsem na internetu," je opozorila. "Obstaja možnost, da se zgodi spletna transakcija brez avtorizacije, torej brez spletnega preverjanja veljavnosti in stanja. To je možno tudi, kadar avtorizacija ni potrebna za majhne zneske. V teh primerih, ki so zelo redki, je sama številka kartice dovolj."
Opozorila je tudi, da je bilo včasih takšnih prevar zelo veliko. Vendar so mednarodne korporacije plačilnih kartic sprejele standard PCI-DSS, kar je precej omejilo tovrstne prevare.
"Pri omenjenem primeru se niso preverjali varnostni elementi," je razložila. "Morda ni bila izvršena avtorizacija oziroma spletno preverjanje varnostnih elementov. Druga možnost pa je, da je pri avtorizaciji prišlo do pomanjkanja nekaterih varnostnih elementov. V razvitih državah kot je to Slovenija je teh elementov veliko."
Prvi varnostni elementi so tisti, ki jih ima PCI-DSS. Pri tem se avtorizira CVC, datum veljavnosti ter ime in priimek imetnika. Banke pa so uvedle še dodatni varnostni element. To je dvofaktorska avtentikacija, kjer imetnik preko drugega kanala dobi potrditev, da je on opravil transakcijo. Prvo se transakcija preveri pri banki, nato banka preveri še imetnika računa.
"Na redkih prodajnih mestih obstaja možnost ročnega vnosa, torej predavtorizacije oziroma rezervacije. Tam običajno vtipkaš številko kartice, nato pa ti rezervirajo določen znesek, ki ga lahko kasneje tudi trgajo z vašega računa. Tam morate ročno vnesti številko kartice, s čimer bi lahko potencialno opravili zlorabo," je povedala Alenka Glas. "Transakcija bi šla skozi, saj nihče ne more točno vedeti, kdaj je vložena legitimna transakcija, in kdaj ne. Pri takšnih primerih seveda obstaja možnost, da se transakcijo zavrne. Stroške nato nosi trgovec," je še dodala.
"V Sloveniji do takšnih primerov ne bi smelo priti," je še pomirila.
Prav tako smo se obrnili na Novo ljubljansko banko, kjer so nam tudi zagotovili, da primerov zlorab kartic, ki bi bili opravljeni s številko kartice, doslej niso zabeležili.
Opozarjajo pa na velik porast prevar z naslova phisinga, kjer posamezniki zaupajo vse svoje kartične in osebne podatke tretji osebi po telefonu ali e-pošti. Na te primere zlorab banke prav tako ves čas opozarjajo. Več o tovrstnih primerih zlorab in prevar si lahko preberete tukaj.
pri naših bankah je vse možno. a ma čist vse. še vedno je na hrbtni strani prostor za podpis, ki, …
Posle jebanja nema kajanja! Drugič pa ne meč celih računov v v smeti, klošar zabit!