Phishing Εθνική Τράπεζα-κλωνοποίηση κάρτας

[Yupi]

Γεια σας. Αν και έχουν γραφτεί πολλά για απάτες μέσω phishing, ανοίγω ένα καινούργιο θέμα διότι αυτό που έπαθε μία γνωστή μου δεν έχει ξανασυζητηθεί και θα ήθελα την γνώμη όσων είναι γνώστες της κατάστασης.

Πριν λίγες μέρες λοιπόν, μια φίλη μου έλαβε ένα mail δήθεν από την Εθνική Τράπεζα, στην οποία διατηρεί λογαριασμό και κάρτα αναλήψεων, που την ενημέρωνε ότι έπρεπε να δώσει τα στοιχεία της κάρτας της για να της την ανανεώσουν. Δυστυχώς, αυτή δε γνώριζε ότι δεν έπρεπε να απαντήσει, οπότε έδωσε τον αριθμό της κάρτας της και το PIN και κατέληξε να της αδειάσουν τον τραπεζικό λογαριασμό. Όταν έμαθε τι είχε πάθει, πήγε στην τράπεζα και ζήτησε να την ενημερώσουν αναλυτικά. Από εκεί έμαθε ότι κάποιοι είχαν κάνει αναλήψεις από ΑΤΜ σε περιοχή που η ίδια δεν έχει πάει ποτέ, και ο διευθυντής του υποκαταστήματος τής είπε ότι αυτό που έγινε είναι αποκλειστικά δική της ευθύνη και γι' αυτό δεν πρόκειται να αποζημιωθεί από την τράπεζα.

Δεν διαφωνώ, ούτε εγώ ούτε αυτή, ως προς το σκέλος ότι ήταν μεγάλη βλακεία να δώσει τα στοιχεία της κάρτας της. Το ερώτημα μου όμως είναι άλλο. Μπορεί κάποιος να κλωνοποιήσει μία κάρτα Εθνοcash γνωρίζοντας μόνο τα στοιχεία που αναγράφονται πάνω σε αυτήν και το PIN; Απ' όσο γνωρίζω, κάθε κάρτα διαθέτει κρυμμένα χαρακτηριστικά ασφάλειας, τα οποία περιέχονται μέσα στην μαγνητική ταινία και δεν φαίνονται "με το μάτι", τα οποία, όπως καταλαβαίνετε, η κοπέλα δεν έδωσε σε κάποιον τρίτο διότι δεν ήξερε καν την ύπαρξη τους.

Κατά αυτή τη λογική, νομίζω είναι αδύνατο να καταφέρω να κλωνοποιήσω μία κάρτα ενός τρίτου και να πάω να κάνω ανάληψη από ΑΤΜ απλώς και μόνο επειδή έτυχε να δω το νούμερο της και έμαθα και το PIN της. Η γνώση του αριθμού της κάρτας είναι χρήσιμη μόνο σε περίπτωση που θα ήθελα να κάνω ηλεκτρονικές συναλλαγές, όπως αγορές μέσω ίντερνετ, αλλά αυτό δεν ισχύει στην περίπτωση της Εθνοcash. Εξάλλου, είχα την εντύπωση ότι όλες αυτές οι επιθέσεις phishing καταλήγουν είτε σε αγορές από ίντερνετ είτε (αν πρόκειται για e-banking) σε εμβάσματα από το λογαριασμό του θύματος προς τον λογαριασμό του δράστη. Ποτέ δεν είχα ακούσει για phishing με τελικό αποτέλεσμα την αντιγραφή μιας κάρτας.

Λέγοντας όλα αυτά θέλω να πω, είναι μήπως σφάλμα και της τράπεζας που απέτυχε να παράσχει το απαιτούμενο επίπεδο ασφάλειας στην κάρτα ενός πελάτη της; Δεν έπρεπε η κάρτα να έχει αόρατα στοιχεία επάνω της για να διασφαλίζουν την γνησιότητα της; Ξέρει κάποιος να μου πει τι ισχύει σε αυτό το θέμα;

[DSLaManiaC]

Εδωσε το πιν.
Λυπαμαι χασατε.

[Yupi]

Εδωσε το πιν.
Λυπαμαι χασατε.

Το θέμα που παρουσιάζω δεν έχει να κάνει με το ότι έδωσε το PIN. Ρωτάω πώς είναι δυνατόν μόνο με τη γνώση του αριθμού της κάρτας, της ημερομηνίας λήξεως και του ονοματεπώνυμου να φτιαχτεί μία ολόιδια κάρτα. Το PIN χρειάζεται μόνο στην τελική φάση, όταν είσαι μπροστά στο ATM. Εδώ πχ για να κάνεις συναλλαγή από το ίντερνετ χρειάζεται οπωσδήποτε το CVV2 ως πρόσφατο βαθμό ασφάλειας για να ελέγξουν αν πρόκειται για την αυθεντική κάρτα, και συζητάμε τώρα ότι αντιγράφεις ολόκληρη κάρτα χωρίς να χρειάζεται κανένα επιπλέον στοιχείο;

[graal]

Το θέμα που παρουσιάζω δεν έχει να κάνει με το ότι έδωσε το PIN. Ρωτάω πώς είναι δυνατόν μόνο με τη γνώση του αριθμού της κάρτας, της ημερομηνίας λήξεως και του ονοματεπώνυμου να φτιαχτεί μία ολόιδια κάρτα. Το PIN χρειάζεται μόνο στην τελική φάση, όταν είσαι μπροστά στο ATM. Εδώ πχ για να κάνεις συναλλαγή από το ίντερνετ χρειάζεται οπωσδήποτε το CVV2 ως πρόσφατο βαθμό ασφάλειας για να ελέγξουν αν πρόκειται για την αυθεντική κάρτα, και συζητάμε τώρα ότι αντιγράφεις ολόκληρη κάρτα χωρίς να χρειάζεται κανένα επιπλέον στοιχείο;

Ελα ντεε...

[sdikr]

Το θέμα που παρουσιάζω δεν έχει να κάνει με το ότι έδωσε το PIN. Ρωτάω πώς είναι δυνατόν μόνο με τη γνώση του αριθμού της κάρτας, της ημερομηνίας λήξεως και του ονοματεπώνυμου να φτιαχτεί μία ολόιδια κάρτα. Το PIN χρειάζεται μόνο στην τελική φάση, όταν είσαι μπροστά στο ATM. Εδώ πχ για να κάνεις συναλλαγή από το ίντερνετ χρειάζεται οπωσδήποτε το CVV2 ως πρόσφατο βαθμό ασφάλειας για να ελέγξουν αν πρόκειται για την αυθεντική κάρτα, και συζητάμε τώρα ότι αντιγράφεις ολόκληρη κάρτα χωρίς να χρειάζεται κανένα επιπλέον στοιχείο;

το cvv2 δεν το είχανε, εκτός φυσικά αν το έδωσε
Στην μαγνητική ταινία δεν υπάρχει κάποια προστασία, για αυτό και βγάλανε τα τσιπακια

[npats]

Συμβουλεύθηκε κανένα δικηγόρο που να ασχολείται με τέτοια θέματα;

[dfourt]

Ε προφανώς θα υπάρχει τρόπος οι απατεώνες να κλωνοποιήσουν την κάρτα, απλά και μόνο γνωρίζοντας τον αριθμό της.

Είτε δεν θα υπάρχει κωδικοποίηση στην μαγνητική ταινία, είτε η όποια κωδικοποίηση θα έχει ήδη σπάσει.
Για αυτό άλλωστε βάζουν τα τσιπάκια τώρα και αντικαθιστούν τις παλιές κάρτες,για να προσθέσουν άλλο ένα επίπεδο ασφαλείας.
Αυτό βέβαια δεν σημαίνει κάτι, μπορεί σύντομα να βρεθεί τρόπος να κλωνοποιούνται και οι κάρτες με τσιπάκια.

Τώρα από εκεί και πέρα, όσον αφορά στις ευθύνες, λογική μου φαίνεται η απάντηση της τράπεζας.Αν εσύ παρατάς το κλειδί του αυτοκινήτου σου όπου να'ναι και σου κλέψουν το αυτοκίνητο, θα φταίει ο κατασκευαστής που δεν έχει βάλει αναγνώριση προσώπου, ώστε το αυτοκίνητο να μην ξεκινά αν δεν δει εσένα?

[Yupi]

το cvv2 δεν το είχανε, εκτός φυσικά αν το έδωσε
Στην μαγνητική ταινία δεν υπάρχει κάποια προστασία, για αυτό και βγάλανε τα τσιπακια

Αυτό που είπα για το CVV2 το είπα ως παράδειγμα για το επιπλέον επίπεδο ασφάλειας που απαιτείται στις αγορές μέσω ίντερνετ και το οποίο, παραδόξως, φαίνεται να μην υπάρχει καν σε επίπεδο ανάληψης μετρητών από ΑΤΜ.

Κατά τα άλλα, όχι, οι δράστες δεν είχαν το CVV2, δεν το ζητούσε η φόρμα του site-μαϊμού, εξάλλου και να το ζητούσε, η κοπέλα δεν ήξερε τι είναι αυτό και δε θα το έδινε.

........Auto merged post: Yupi πρόσθεσε 1 λεπτά και 47 δευτερόλεπτα αργότερα ........

Συμβουλεύθηκε κανένα δικηγόρο που να ασχολείται με τέτοια θέματα;

Όχι ακόμα, επειδή το έμαθε την Παρασκευή το μεσημέρι και δεν πρόλαβε. Θα πάει όμως. Ξέρετε αν βοηθάει σε αυτή την περίπτωση ο Συνήγορος του Καταναλωτή ή κάποια άλλη υπηρεσία;

........Auto merged post: Yupi πρόσθεσε 9 λεπτά και 23 δευτερόλεπτα αργότερα ........

Ε προφανώς θα υπάρχει τρόπος οι απατεώνες να κλωνοποιήσουν την κάρτα, απλά και μόνο γνωρίζοντας τον αριθμό της.

Το τι είναι προφανές τελικά δεν το γνωρίζω, γι' αυτό και έφτιαξα αυτό το νήμα, για να ενημερωθώ από κάποιον που έχει ουσιαστική γνώση του τι ισχύει σε θέματα ασφάλειας τραπεζικών λογαριασμών. Με αυτή τη λογική πάντως, αν κάποιος κακόβουλος δει και σημειώσει τον αριθμό της κάρτας που έχεις για να κάνεις αναλήψεις από την τράπεζα, μαζί με ημερομηνία λήξης και ονοματεπώνυμο, θα μπορεί να φτιάξει 100 αντίγραφα της κάρτας σου και να παίρνει σβάρνα τα ΑΤΜ όλων των τραπεζών και να δοκιμάζει PIN (3 κάθε φορά νομίζω) μέχρι να βρει το σωστό και να τον ξαφρίσει. Τόσο απλό είναι λοιπόν; Κι αν ναι, γιατί η μεγαλύτερη ελληνική τράπεζα περιμένει τόσα χρόνια για να βάλει στις κάρτες της chip, εκεί που μικρότερες έχουν κάνει την μετάβαση πολύ νωρίτερα;

........Auto merged post: Yupi πρόσθεσε 6 λεπτά και 20 δευτερόλεπτα αργότερα ........

Τώρα από εκεί και πέρα, όσον αφορά στις ευθύνες, λογική μου φαίνεται η απάντηση της τράπεζας.Αν εσύ παρατάς το κλειδί του αυτοκινήτου σου όπου να'ναι και σου κλέψουν το αυτοκίνητο, θα φταίει ο κατασκευαστής που δεν έχει βάλει αναγνώριση προσώπου, ώστε το αυτοκίνητο να μην ξεκινά αν δεν δει εσένα?

Αν μου κλέψουν το αυτοκίνητο εξαιτίας του ότι μου πήραν το αυθεντικό κλειδί, τότε οκ, έχω αποκλειστική ευθύνη. Αν όμως μου το κλέψουν επειδή παράτησα κάπου το κλειδί, ο δράστης το πήρε και έκανε αντικλείδι, τότε δεν έχω μόνο εγώ ευθύνη που παρατάω τα κλειδιά όπου να 'ναι, αλλά και ο κατασκευαστής επειδή μου υποσχέθηκε ότι το όχημα έχει immobilizer και συνεπώς τα απλά αντικλείδια δεν θα έπρεπε να δουλεύουν. Νομίζω ότι η τελευταία περίπτωση είναι αυτή που ταιριάζει στο θέμα μας.

[npats]

Όχι ακόμα, επειδή το έμαθε την Παρασκευή το μεσημέρι και δεν πρόλαβε. Θα πάει όμως. Ξέρετε αν βοηθάει σε αυτή την περίπτωση ο Συνήγορος του Καταναλωτή ή κάποια άλλη υπηρεσία;
..

Ίσως ο Τραπεζικός μεσολαβητής .
Λεπτομέρειες και link στο παρακάτω άρθρο του βήματος :
http://www.tovima.gr/relatedarticles...le/?aid=131748

[tsioy]

Κατά τα άλλα, όχι, οι δράστες δεν είχαν το CVV2, δεν το ζητούσε η φόρμα του site-μαϊμού, εξάλλου και να το ζητούσε, η κοπέλα δεν ήξερε τι είναι αυτό και δε θα το έδινε..

Aν είχε ακόμη τη παλιά κάρτα (η ανανέωσή τους ξεκίνησε Οκτώβριο-Νοέμβριο και συνεχίζεται ακόμα..), δεν θα είχε καν cvv2.

'Οπως και να έχει, στοιχεία της κάρτας δεν δίνουμε ποτέ.
Το αν είναι δυνατό να "κλωνοποιηθεί" η κάρτα (η παλιά τουλάχιστον) με τον αριθμό της και το pin μόνο, δυστυχώς η φίλη σου το έμαθε με το άσχημο τρόπο..

[dfourt]

Αν μου κλέψουν το αυτοκίνητο εξαιτίας του ότι μου πήραν το αυθεντικό κλειδί, τότε οκ, έχω αποκλειστική ευθύνη. Αν όμως μου το κλέψουν επειδή παράτησα κάπου το κλειδί, ο δράστης το πήρε και έκανε αντικλείδι, τότε δεν έχω μόνο εγώ ευθύνη που παρατάω τα κλειδιά όπου να 'ναι, αλλά και ο κατασκευαστής επειδή μου υποσχέθηκε ότι το όχημα έχει immobilizer και συνεπώς τα απλά αντικλείδια δεν θα έπρεπε να δουλεύουν. Νομίζω ότι η τελευταία περίπτωση είναι αυτή που ταιριάζει στο θέμα μας.

Ε το αυθεντικό κλειδί (PIN) σου έκλεψαν...Τους το έδωσες και τους έκανες και τη διευκόλυνση να τους πεις και σε ποιο αυτοκίνητο(κάρτα) αντιστοιχεί για να μην ψάχνονται.
Τέλος πάντων, δεν έχει νόημα να συνεχιστεί η κουβέντα αυτή νομίζω.
Μακάρι να βγάλετε άκρη, αλλά πολύ αμφιβάλω καθώς το pin θεωρείται συνήθως ισάξιο με υπογραφή.

Όσον αφορά στο θέμα ασφαλείας που θέτεις, με τις πιστωτικές κάρτες είναι ακόμα χειρότερα.
Δίνεις στον υπάλληλο ενός μαγαζιού την κάρτα σου για να αγοράσεις κάτι.Αυτός απομνημονεύει το CVV, έχει και τον αριθμό της κάρτας από την απόδειξη και κάνει αγορές στο internet!

Επικοινώνησε και με τη Δίωξη ηλεκτρονικού εγκλήματος, μήπως και καταφέρουν να βρουν στοιχεία του spam και πιάσουν τους απατεώνες.

[ariadgr]

Με αυτή τη λογική πάντως, αν κάποιος κακόβουλος δει και σημειώσει τον αριθμό της κάρτας που έχεις για να κάνεις αναλήψεις από την τράπεζα, μαζί με ημερομηνία λήξης και ονοματεπώνυμο, θα μπορεί να φτιάξει 100 αντίγραφα της κάρτας σου και να παίρνει σβάρνα τα ΑΤΜ όλων των τραπεζών και να δοκιμάζει PIN (3 κάθε φορά νομίζω) μέχρι να βρει το σωστό και να τον ξαφρίσει. Τόσο απλό είναι λοιπόν; .

Μα τι λες;
Στην 3η προσπάθεια ο αριθμός κάρτας θα είχε μπλοκαριστεί από το σύστημα.

[npats]

Τώρα ονομάζεται: Μεσολαβητής Τραπεζικών και Επενδυτικών Υπηρεσιών
www.bank-invest-omb.gr

[Yupi]

Μα τι λες;
Στην 3η προσπάθεια ο αριθμός κάρτας θα είχε μπλοκαριστεί από το σύστημα.

OK, σ' αυτό έχεις δίκιο.

........Auto merged post: Yupi πρόσθεσε 1 λεπτά και 39 δευτερόλεπτα αργότερα ........

Τώρα ονομάζεται: Μεσολαβητής Τραπεζικών και Επενδυτικών Υπηρεσιών
www.bank-invest-omb.gr

Σ' ευχαριστώ πολύ.

[ariadgr]

Ο λόγος που δεν θα κερδίσει τίποτα είναι απλούστατος: Παραλαμβάνοντας την κάρτα ανάληψης έχει υπογράψει η φίλη σου ότι δεν θα αποκαλύψει το pin ποτέ και σε κανέναν, και ότι δεν θα τς ζητηθεί ποτέ και με κανένα τρόπο από την τράπεζα.