3 kwietnia 2017

Jak wypłacić bez PIN-u pieniądze z karty, która nie posiada funkcji płatności zbliżeniowych? Case study

Jak wypłacić bez PIN-u pieniądze z karty, która nie posiada funkcji płatności zbliżeniowych? Case study

Pamiętacie słynny „plastikowy” horror we Wrocku? Kilka lat temu złodzieje zauważyli lukę w zabezpieczeniach kart zbliżeniowych i poużywali sobie na całego, czyszcząc karty okradzionych pechowców. Czyścili je na kwoty wielotysięczne, choć wcale nie znali PIN-ów do klientowskich kart. Sekret tkwił w tym, że transakcje poniżej 50 zł, dokonywane kartami przez zbliżenia, nie wymagają PIN-u. J

eśli dodać do tego tryb offline (terminal nie łączy się z bankiem i nie sprawda salda konta) oraz domyślne ustawienie licznika dozwolonych transakcji przez zbliżenia na 9999 dziennie… pasztet gotowy. Po awanturze, którą „tymi ręcami” wywołałem :-), zabezpieczenia kart zostały poprawione (m.in. liczniki nie pozwalają już na nie ograniczoną liczbę transakcji zbliżeniowych). Wciąż jednak są klienci, którzy kart zbliżeniowych nie uznają i ochoczo korzystają z możliwości wyłączenia takiego trybu działania „plastików”, którą to opcję banki mają obowiązek udostępniać.

Zobacz również:

Kłopot w tym, że z drugiej strony wciąż są miejsca, które… pozwalają kraść pieniądze nawet wtedy, gdy złodziej nie zna PIN-u do naszej karty, a jednocześnie karta ta nie działa na zbliżenia. Te miejsca to biletomaty we wrocławskiej komunikacji miejskiej. Właśnie w nich owe kilka lat temu często wykonywano seryjnie transakcje zbliżeniowe bez PIN, wykorzystując wspomnianą lukę w zabezpieczeniu kart zbliżeniowych.

Automat jest do tego bezpieczniejszym miejscem, niż sklep, w którym sprzedawca może się łatwo zorientować, że jeden klient dokonuje transakcji seryjnie, celowo dzieląc je na kwoty poniżej 50 zł. Poza tym bilety lub kody na doładowania, które można kupić w niektórych biletomatach, to bardziej chodliwy „towar”, niż towar ze spożywczego :-). Zarządzająca biletomatami Mennica Polska poprawiła standardy bezpieczeństwa, ograniczając możliwości kupowania biletów i doładowań o dużej wartości w jednym biletomacie i z użyciem jednej karty.

A jak poprawiła? Nie dość, że wartość pojedynczej transakcji nie może przekroczyć 50 zł, to jeszcze w ciągu jednej godziny w jednym biletomacie można daną kartą dokonać tylko dwóch transakcji o łącznej wartości 60 zł. To zmniejszyło ryzyko złodziejskich transakcji cudzymi kartami, ale… jak łatwo się zorientować, tak całkiem go nie zniosło. Bo w biletomatach wciąż można kupować bilety płacąc nie tylko zbliżeniowo, ale i wkładając „plastik” do terminala płatniczego.

W tym drugim trybie (który pozwala korzystać z maszymy również kartom nie posiadającym możliwości płacenia przez zbliżenie) biletomat nie żąda PIN-u, sprawdza jedynie czy nie przekroczono jednorazowej i godzinowej kwoty dozwolonej transakcji. To wynika ze względów bezpieczeństwa – jeśli już w tak zatłoczonym miejscu pozwala się na dokonywanie transakcji stykowych, to nie byłoby dobrze, gdyby trzeba było podawać PIN i tym samym zdradzać go współpasażerom autobusu lub tramwaju.

I właśnie ofiarą tej „bezPIN-owości” padła ostatnio jedna z moich czytelniczek, pani Grażyna. Musiała mieć wyjątkowego pecha, ale faktem jest, że straciła 450 zł (mam nadzieję, że bank pomoże jej je odzyskać). W jaki sposób? Cóż, na początku listopada, jadąc tramwajem w wielkim tłoku w godzinach szczytu (ok. godz. 17.00) ukradziono pani Grażynie z zamkniętej torby portfel. Nota bene niedawno opowiadałem Wam o tym jak działają tacy złodzieje i co zrobić, żeby się przed nimi obronić – zapraszam do ponownego obejrzenia tego wideoporadnika.

Czytaj też: Przełom w sprawie kradzieży pieniędzy z naszych kont i kart? Ale wyrok!

Czytaj też: To wyjątkowo perwersyjny wirus. Kradnie wtedy, gdy się nie spodziewasz

Kłopot w tym, że moja czytelniczka zorientowała się, że padła ofiarą kradzieży, dopiero o godz. 20.00, czyli po ponad trzech godzinach od wyjęcia jej karty z torebki. Wydawało jej się, że maksymalne straty nie mogą być duże, bo w portfelu miała dowód osobisty (natychmiast go zastrzegła, by nie paść ofiarą kradzieży tożsamości) oraz dwie karty płatnicze:

„Jedna to była karta zbliżeniowa. Na jej koncie było niewiele pieniędzy, ok 50 zł, ale od razu sprawdziłam, że kwota została ściągnięta przez złodzieja w całości. Druga karta była kredytówką wydaną jeszcze w 2014 r. Nie była to karta zbliżeniowa, tylko taka, która do każdej transakcji wymaga PIN-u. Było na niej 400 zł. Ona też została wyczyszczona do zera! Odbyło się podawania PIN-u, dzięki „wspaniałomyślnej” firmie Mennica, która na takie transakcje pozwoliła. Jak można udostępnić płatność bez PIN do nieograniczonej liczby transakcji? Wiadomo, że okazja czyni złodzieja”

– pisze czytelniczka. Jak wspomniałem wyżej, nie jest tak, że w biletomatach można wyczyścić kartę na dowolną kwotę. Są limity, które pozwalają zrealizować tylko 60-złotowe transakcje w ciągu godziny w jednym biletomacie. Ale… przecież nic nie stoi na przeszkodzie, żeby często się przesiadać z jednego tramwaju do drugiego i ów 60-złotowy limit wykorzystywać w coraz to nowych biletomatach (nie połączonych, jak sądzę, w jedną sieć identyfikującą podejrzanie częste zakupy). W tym momencie barierą stają się już tylko ograniczenia zapisane na skradzionej karcie (nie wiem jak klientka miała zdefiniowane limity dzienne transakcji kartą, ale najwyraźniej do momentu zastrzeżenia karty nie zdążyły one „pęknąć”).

Mleko się rozlało, klient został okradziony z pieniędzy. Czas na wnioski. Po pierwsze mam nadzieję, że operator biletomatów we współpracy z Bankiem Millennium pokryje klientce straty, bo wygoda wygodą, ale… jeśli Mennica – zapewne w dobrych intencjach, dla rozszerzenia możliwości bezgotówkowych zakupów biletów – umożliwia wykonywanie transakcji bez PIN kartami stykowymi, to w przypadku fraudu powinna brać na klatę konsekwencje. Zwłaszcza, że tych fraudów chyba nie ma wiele (gdyby było, to zapewne funkcjonalność biletomatów zostałaby ograniczona). No i chyba nie można powiedzieć, by te teransakcje zostały prawidłowo, zgodnie z regulaminem działania karty płatniczej, zautoryzowane… Po drugie: proponuję wszystkim posiadaczom kart płatniczych – a zwłaszcza mieszkańcom Wrocławia – zajrzeć w limity dzienne swoich kart i zmniejszyć je do poziomów, które będą z jednej strony wygodne, a z drugiej bezpieczne. Jak widać, nawet mając kartę bez możliwości płacenia bezPIN-owego czasem taka transakcja może być dokonana. Stąd korekta limitów transakcyjnych zawsze się przyda. Po trzecie pewien postulat ma też okradziony klient:

„Wystarczyłoby wprowadzić pewne ograniczenie w działaniu biletomatów, polegające na tym, że kupujemy w środkach komunikacji miejskiej tylko już skasowane bilety. Natomiast bilety zapasowe, na później, można byłoby sobie kupić w automatach, które są na przystankach”

– to nie jest zły pomysł. Oczywiście – czego czytelnik nie dodał – jednocześnie należałoby wyłączyć możliwość stykowego kupowania biletów bez podwania PIN-u, zaś w autobusach i tramwajach – w ogóle możliwość płacenia inaczej, niż zbliżeniowo (żeby klientom nie przychodziło do głosy wbijać PIN do karty w zatłoczonym pojeździe)

Możliwość komentowania została wyłączona.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!