Διαδικτυακή κλοπή από πιστωτική κάρτα

[Γιώργος Κυριακαράκος]

Έγινε και αυτό, που δεν περίμενα ποτέ να γίνει.

Χθες βράδυ κάποιοι έκαναν πάρτυ με την κάρτα, το σύστημα έκοψε όλες τις προσπάθειες (γιατί δεν είχαν προφανώς 2-factor authentication).
Όμως μια συναλλαγή έγινε με τη μορφή "πάγιας εντολής" και πέρασε χωρίς κάποιο παραπάνω έλεγχο (!).
Με πήραν τηλέφωνο από την τράπεζα, έκανα τα απαραίτητα και περιμένω.
Η χρέωση είναι από κατάστημα κατασκευής όπλων στις ΗΠΑ...Επειδή είναι ΗΠΑ ελπίζω ότι κάτι ίσως να μπορεί να γίνει.

Main

www.area419.com

Είναι και περίπου 1300 δολάρια.

Σε επίμονες ερωτήσεις μου είπαν ότι δεν υπάρχει τρόπος να προστατευτείς από πάγιες εντολές που περνάνε στην κάρτα σου.

Επίσης τα 2 ασφαλιστήρια συμβόλαια που έχω, νομίζω ότι δεν καλύπτουν κάτι επειδή δεν κλάπηκε ή δεν έχασα την φυσική κάρτα.

Ίσως ήρθε η ώρα να ψάξω να βρω κάποιο ασφαλιστήριο για τέτοιου είδους κλοπές...

Επίσης έψαξα και υπάρχει νομική τρύπα ώστε οι συνδρομές/πάγιες εντολές να μην απαιτούν 2-factor authentication.

2018_4048 Applicability of Strong Customer Authentication (SCA) to existing recurring payments solutions | European Banking Authority

www.eba.europa.eu

Επικοινώνησα μετά την τράπεζα και με το κατάστημα με mail. Αν δεν έχουν στείλει κάτι ίσως βοηθήσει αν ακυρώσουν αυτοί τη συναλλαγή.

Ελπίζω να βοηθήσει ότι μιλάμε για πιστωτική και όχι χρεωστική κάρτα...

 

[ΟΙΚΟΝΟΜΟΥ ΤΑΣΟΣ]

Γι αυτό ΠΑΝΤΑ μικρά όρια στην πιστωτική. Οταν μου είχαν βγάλει την πιστωτική λέω στην υπάλληλο "για τσέκαρε το κουτάκι" ότι δεν θέλω αύξηση ορίου.....Α μάλιστα μου λέει.
Επίτηδες το αφήνουν ανοικτό για να σε γλυκαίνουν και να ψωνίζεις αβέρτα. Οσο είσαι ενήμερος και πληρώνεις κανονικά, σου κάνουν "δώρο" αύξηση ορίου.
Ενδιαφέρον τρύπα αυτό με την πάγια εντολή.

Σε όλες τις τράπεζες ισχύει αυτό για την πάγια εντολή;

 

[Γιώργος Κυριακαράκος]

Με λίγο ψάξιμο και cross-check:

Το Νομικό "Δίχτυ Ασφαλείας" (Η Βάση)​

Bάσει του Νόμου 4537/2018 (ενσωμάτωση της Ευρωπαϊκής Οδηγίας PSD2):

• Περιορισμένη Ευθύνη: Η ευθύνη σας για μη εγκεκριμένες συναλλαγές πριν την ενημέρωση της τράπεζας περιορίζεται στα 50€. Το υπόλοιπο ποσό οφείλει να το επιστρέψει η τράπεζα.
• Μηδενική Ευθύνη: Μετά την ενημέρωση της τράπεζας (το τηλεφώνημα), δεν φέρετε καμία ευθύνη.
• Προϋπόθεση: Να μην υπάρχει δόλος ή "βαριά αμέλεια" από πλευράς σας.

Αποδόμηση της "Βαριάς Αμέλειας"​

Το κρισιμότερο σημείο τριβής με το τραπεζικό ίδρυμα είναι η έννοια της "βαριάς αμέλειας" (gross negligence). Βάσει του Ν. 4537/2018 (που ενσωμάτωσε την οδηγία PSD2), το βάρος της απόδειξης (burden of proof) για την ύπαρξη δόλου ή βαριάς αμέλειας φέρει αποκλειστικά η τράπεζα, και όχι στον πελάτη της τράπεζας.

Για να θεμελιώσετε τη θέση σας και να προλάβετε τυχόν άρνηση αποζημίωσης, πρέπει να εστιάσετε στα εξής επιχειρήματα:

• Απουσία Ισχυρής Ταυτοποίησης (SCA): Εάν η συναλλαγή πέρασε χωρίς έγκριση μέσω Push Notification ή SMS OTP (κάτι σύνηθες σε sites των ΗΠΑ που δεν ακολουθούν πάντα τα αυστηρά πρότυπα της ΕΕ), η τράπεζα είναι νομικά εκτεθειμένη. Η μη απαίτηση SCA από τον πάροχο υπηρεσιών πληρωμών μετακυλίει την ευθύνη σχεδόν αυτόματα στην τράπεζα/έμπορο.
• Το Προφίλ της Συναλλαγής: Η "βαριά αμέλεια" συνήθως αφορά την παραχώρηση κωδικών σε τρίτους. Στην περίπτωσή σας, πρόκειται για αγορά εξειδικευμένου εξοπλισμού (firearms accessories) σε ξένο νόμισμα και σε γεωγραφική τοποθεσία (Ohio, USA) που δεν συνάδει με το σύνηθες μοτίβο συναλλαγών σας (Ελλάδα/Ευρώπη). Τα συστήματα Anti-Fraud της τράπεζας όφειλαν να χτυπήσουν "κόκκινο" (anomaly detection failure).
• Άμεση Αντίδραση: Η ταχύτητα με την οποία δηλώσατε την απάτη (notification timing) αποτελεί ισχυρό τεκμήριο επιμέλειας.

 

[Th.ARvan]

Οι παγιες εντολες δεν αφορουν συγκεκριμενες συναλλαγες; Πως λειτουργει;

 

[pontios]

Για να υπάρχει πάγια εντολή, απαιτείται αποδοχή είτε ηλεκτρονικά, είτε εγγράφως της εντολής. Εάν δεν υπάρχει τέτοιο ιστορικό, από μέρους σου, τότε δεν υπάρχει περίπτωση, ούτε μία στο εκατομμύριο να μην σου επιστρέψουν τα λεφτά. Μπορεί να απαιτήσει καιρό και προσπάθεια, αλλά θα γίνει. Και εάν έχεις και έξοδα λόγω αυτού, θα υποχρεωθούνε να καταβάλουν και αυτά.

 

[Γιώργος Κυριακαράκος]

Οι παγιες εντολες δεν αφορουν συγκεκριμενες συναλλαγες; Πως λειτουργει;

Στις ΗΠΑ οι κάρτες περνάνε εύκολα αέρα σε συναλλαγές. Όμως εμείς ζούμε στην ΕΕ που έχει συγκεκριμένη νομοθεσία. Υπάρχει το νομικό παράθυρο για τις συναλλαγές παγίων εντολών μόνο που δεν απαιτείται κανονιστικά η τράπεζα να ζητήσει 2 factor authentication.
Από εκεί και πέρα υπάρχει το ελληνικό κανονιστικό πλαίσιο που είπα πιο πάνω. Θα πρέπει η τράπεζα να αποδείξει "βαριά αμέλεια" από μέρους μου για να μου ζητήσει οτιδήποτε άνω των 50 ευρώ.

Για να υπάρχει πάγια εντολή, απαιτείται αποδοχή είτε ηλεκτρονικά, είτε εγγράφως της εντολής. Εάν δεν υπάρχει τέτοιο ιστορικό, από μέρους σου, τότε δεν υπάρχει περίπτωση, ούτε μία στο εκατομμύριο να μην σου επιστρέψουν τα λεφτά. Μπορεί να απαιτήσει καιρό και προσπάθεια, αλλά θα γίνει. Και εάν έχεις και έξοδα λόγω αυτού, θα υποχρεωθούνε να καταβάλουν και αυτά.

Αυτά μου είπαν πάνω κάτω και τα ChatGPT/Gemini. Απλά μου είπαν να το πάω βήμα βήμα...
- Αυτό που έκανα στην τράπεζα
- Ενημέρωση του τελικού καταστήματος γιατί φαίνεται νόμιμο και αξιόπιστο
- Μύνηση αν η τράπεζα δεν άρει τη συναλλαγή.

Τα χρήματα επειδή είναι σε πιστωτική δεν έχουν φύγει από κάποιο λογαριασμό μου αλλά με ενημέρωσαν πως μέχρι να "σβηστεί" η χρέωση θα περάσει ως ωφειλή στη νέα κάρτα που θα εκδοθεί.

 

[Γιώργος Κυριακαράκος]

Τελικά μάλλον το έσωσα μόνος μου.

Πήρα απάντηση από το κατάστημα.

Hello,
Thanks for reaching out. We were able to locate that order and get it canceled.

Οπότε μάλλον τέλος καλό, όλα καλά.

Πάντως η τράπεζα δεν πρότεινε καν να κάνω επικοινωνία με το κατάστημα.

 

[Γιώργος Κυριακαράκος]

Το επόμενο βήμα είναι νέα ασφάλεια που να καλύπτει και αυτές τις περιπτώσεις.
Μάλλον με βλέπω για το οικογενειακό της Εθνικής. Ο Συγκριτικός πίνακας από το ChatGPT.

Προϊόν (κανάλι διάθεσης)	Δομή / “πακέτα vs ευελιξία”	Ενδεικτικό ετήσιο ασφάλιστρο	Μη εξουσιοδοτημένες online πληρωμές / online fraud	Προβληματικές online αγορές	Ψηφιακή ταυτότητα & νομική κάλυψη	Τεχνική υποστήριξη / λοιπά	Απαλλαγή
My Cyber Protection (Eurolife μέσω Eurobank)	Ενιαίο προϊόν (όχι πολλαπλά πακέτα στην παρουσίαση). (Eurobank)	30€/έτος. (Eurobank)	Αναφέρεται κάλυψη έως 2.000€/έτος για online πληρωμές χωρίς έγκριση από λογαριασμό/κάρτα/ψηφιακό πορτοφόλι. (Eurobank)	Στη συνοπτική παρουσίαση αναφέρεται χρηματική αποζημίωση έως 2.000€/έτος για αμφισβητούμενες online αγορές. (Eurolife FFH)	Νομική κάλυψη αναφέρεται έως 500€/έτος σε περίπτωση κλοπής ψηφιακής ταυτότητας. (Eurolife FFH)	Προβάλλεται υποστήριξη για online συναλλαγές, αγορές και identity theft. (Eurolife FFH)	Δεν φαίνεται καθαρά στη βασική σελίδα· επιβεβαιώνεται στους όρους.
Alpha Cyber Security (Alpha Bank/Generali)	Ενιαίο πρόγραμμα. (Alpha Bank)	35€/έτος. (Alpha Bank)	Έως 2.000€/έτος για online fraud που οδηγεί σε απώλεια χρημάτων από λογαριασμούς ή πιστωτικές/χρεωστικές. (Alpha Bank)	Έως 2.000€/έτος υπό συγκεκριμένες προϋποθέσεις (μη παράδοση, μερική παράδοση, λάθος/ζημιά προϊόντος). (Alpha Bank)	Νομικά έξοδα έως 500€/έτος όταν ενεργοποιείται κάλυψη identity theft. (Alpha Bank)	Περιλαμβάνει και στοιχεία τεχνικής υποστήριξης/ανάκτησης δεδομένων όπως παρουσιάζεται στη σελίδα. (Alpha Bank)	€50 excess για ζημιά online αγοράς. (Alpha Bank)
Full Cyber Protection (Εθνική Ασφαλιστική μέσω ΕΤΕ)	Τρία διακριτά πακέτα: Basic, Advanced, Family. (National Bank of Greece)	€32/€50/€72 ετησίως αντίστοιχα. (National Bank of Greece)	Η σελίδα παρουσιάζει κάλυψη “cyber fraud” εντός των ορίων του κάθε πακέτου. Τα βασικά όρια που προβάλλονται είναι ανά απαίτηση και αθροιστικά υψηλότερα στα ανώτερα πακέτα. (National Bank of Greece)	Περιλαμβάνει “online shopping fraud” σε όλα τα πακέτα, με διαφοροποίηση ορίων/απαλλαγών ανά πακέτο. (National Bank of Greece)	Περιλαμβάνει identity theft σε όλα τα πακέτα· το Family επεκτείνει κάλυψη και σε οικογένεια για επιλεγμένους κινδύνους. (National Bank of Greece)	Η σελίδα αναφέρει επιπλέον καλύψεις που εμφανίζονται στα ανώτερα πακέτα (π.χ. cyber extortion, loss of income) και ειδική επέκταση για παιδιά στο Family. (National Bank of Greece)	€50/€100/€100 ανά δήλωση ζημιάς αντίστοιχα. (National Bank of Greece)
Personal Cyber (Anytime/Interamerican)	Η παρουσίαση παραπέμπει σε ένα “έξυπνο και οικονομικό πρόγραμμα” με συγκεκριμένες βασικές καλύψεις. Δεν προβάλλονται διακριτά tiers στην ίδια σελίδα καλύψεων. (anytime.gr)	Δεν εμφανίζεται ρητά στο σημείο της σελίδας καλύψεων που είναι δημόσια ευανάγνωστο. (anytime.gr)	Κάλυψη για online συναλλαγές χωρίς έγκριση από λογαριασμό/κάρτα/ηλεκτρονικό πορτοφόλι, με όριο που προβάλλεται ως €1.500. (anytime.gr)	Κάλυψη για διαφωνίες/προβλήματα online αγορών με όριο που προβάλλεται ως €1.500. (anytime.gr)	Η σελίδα εστιάζει στις αγορές και πληρωμές· για identity/νομικές πτυχές απαιτείται έλεγχος των αναλυτικών όρων. (anytime.gr)	Προβάλλεται 24/7 υποστήριξη ως γενικό πλεονέκτημα της Anytime. (anytime.gr)	€50 συμμετοχή ανά αγορά ή ανά χρηματική απώλεια. (anytime.gr)

 

[pontios]

Επίσης υπάρχουν και 2 άλλες λύσεις. Η πρώτη σίγουρα στην Ελλάδα. Ακυρώνεις την κάρτα και βγάζεις καινούργια, ώστε ο αριθμός που έχει διαρρεύσει να μην ισχύει.
Η 2η, που μας δίνεται η δυνατότητα εδώ στο εξωτερικό τουλάχιστον, είναι να δημιουργήσεις virtual card για χρήση στο ίντερνετ και κάθε φορά να δηλώνεις μόνο το ποσό που θέλεις, το οποίο χρεώνεται στην πιστωτική μετά. Και όταν χρησιμοποιηθεί, είναι άχρηστη, εκτός εάν βάλεις εσύ πάλι πρώτα.

 

[avpap]

εγω παντως διαβαζοντας αυτο το νημα, μπηκα στο e-banking μου και εκλεισα στις πιστωτικες μου καρτες τη δυνατοτητα αγορων απο το εξωτερικο/μεσω ιντερνετ

 

[avpap]

Επίσης υπάρχουν και 2 άλλες λύσεις. Η πρώτη σίγουρα στην Ελλάδα. Ακυρώνεις την κάρτα και βγάζεις καινούργια, ώστε ο αριθμός που έχει διαρρεύσει να μην ισχύει.
Η 2η, που μας δίνεται η δυνατότητα εδώ στο εξωτερικό τουλάχιστον, είναι να δημιουργήσεις virtual card για χρήση στο ίντερνετ και κάθε φορά να δηλώνεις μόνο το ποσό που θέλεις, το οποίο χρεώνεται στην πιστωτική μετά. Και όταν χρησιμοποιηθεί, είναι άχρηστη, εκτός εάν βάλεις εσύ πάλι πρώτα.

το εχει η revolut αυτο αλλα δεν ειναι τοσο ευχρηστο διοτι σε αρκετες περιπτωσεις το σαιτ (νομιμο, στο οποιο θελεις οντως να κανεις συναλλαγη) καταλαβαινει οτι ειναι disposable η καρτα και δεν προχωραει τη συναλλαγη.
Μια καρτα ομως τυπου revolut ή payzy ειναι πολυ χρησιμη για αγορες μεσω ιντερνετ.

 

[Λάκης]

Δεν μπορω να καταλαβω πώς γινεται να υπαρχει παγια εντολη πληρωμης στο εξωτερικο και μαλιστα σε καταστημα οπλων;

 

[pontios]

Δεν μπορω να καταλαβω πώς γινεται να υπαρχει παγια εντολη πληρωμης στο εξωτερικο και μαλιστα σε καταστημα οπλων;

Μιλάς για Αμερική. Την χώρα που κυβερνάει ο Τραμπ και αγοράζεις όπλο σχεδόν σαν σοκολάτα. Λογικά, είναι χρησιμοποίηση αριθμού κάρτας από κάποια από τα hacks που έχουν γίνει και τις πουλάνε με το κιλό στο dark web.

 

[Tzimisce]

Δεν μπορω να καταλαβω πώς γινεται να υπαρχει παγια εντολη πληρωμης στο εξωτερικο και μαλιστα σε καταστημα οπλων;

Λέγεται carding και είναι απλό.

 

[Γιώργος Κυριακαράκος]

Το πιο πιθανό είναι ότι από κάποιο online κατάστημα πήραν τα στοιχεία μέσω hack. Όμως ταξιδεύω πολύ και κατά καιρούς έχω πληρώσει με την φυσική κάρτα. Είναι τρομερά εύκολο για κάποιον κακόβουλο να δει τα τρία νουμεράκια από πίσω, γιατί αυτό είναι το μόνο που χρειάζεται - το νούμερο μπορεί να το δει αργότερα εύκολα από χρεώσεις. Βέβαια το τελευταίο ταξίδι ήταν τον Οκτώβρη Βιετνάμ, οπότε μάλλον δεν ήταν από εκεί. Αν υπάρχει κάτι το εκμεταλλεύονται άμεσα.
Για να μην μπούμε σε συζήτηση για τρόπους που μόνο με το νούμερο της κάρτας ψάχνουν να βρουν το cvc.

 

[Λάκης]

Λέγεται carding και είναι απλό.

Παγια εντολη για αγορες;

 

[Tzimisce]

Όχι. το να τσιμπήσουν αριθμούς καρτών και να βρουν τρόπους να παρακάμψουν την όποια ασφάλεια της τράπεζας.

 

[ΚΩΣΤΑΣ ΖΑΓΓΟΓΙΑΝΝΗΣ]

Είναι τρομερά εύκολο για κάποιον κακόβουλο να δει τα τρία νουμεράκια από πίσω, γιατί αυτό είναι το μόνο που χρειάζεται - το νούμερο μπορεί να το δει αργότερα εύκολα από χρεώσεις.

Εδώ φαίνεται ένα μεγάλο πλεονέκτημα της πληρωμής με κινητό-η κάρτα δε βγαίνει από το πορτοφόλι και δε μπορεί να υποκλαπεί.

 

[Maestro]

Εδώ φαίνεται ένα μεγάλο πλεονέκτημα της πληρωμής με κινητό-η κάρτα δε βγαίνει από το πορτοφόλι και δε μπορεί να υποκλαπεί.

Βασικά είναι εξωφρενικό το ότι δεν είναι υποχρεωτικό το contactless.

 

[ln()]

Βέβαια το τελευταίο ταξίδι ήταν τον Οκτώβρη Βιετνάμ, οπότε μάλλον δεν ήταν από εκεί. Αν υπάρχει κάτι το εκ
μεταλλεύονται άμεσα.

Πριν χρόνια είχα πάει στην Κίνα τον Αύγουστο. Και τον Οκτώβριο με ειδοποίησε η τράπεζα ότι προσπάθησε να γίνει χρέωση της κάρτας μου από την Κίνα. Και την ακύρωσα.
Αυτό τον Αύγουστο ήμουν στην Γερμανία. Τον Νοέμβριο η τράπεζα μου ακύρωσε την κάρτα (και με άφησε μόνο με όσα μετρητά είχα) στη Ρουμανία, γιατί η κάρτα μου είχε διαρρεύσει. Και έμαθα (χάρη στην εξαιρετική ενημέρωση και επικοινωνία με την Miniatur Wunderland) ότι η υποκλοπή έγινε από το δικό τους σάιτ. Δεν υπήρξε χρέωση της κάρτας τούς δύο μήνες και κάτι από την υποκλοπή μέχρι την ακύρωση.
Οπότε δεν είναι απαραίτητο να την αξιοποιήσουν άμεσα. Ίσα -ισα αν αργήσουν είναι δυσκολότερο να γίνει αντιληπτό που έγινε η υποκλοπή.