Arhiva pentru March 25th, 2008
Securitatea cardurilor bancare

Raspandirea cardurilor bancare s-a marit mult in ultimii ani in Romania, iar odata cu aceasta si fraudele asociate cardurilor bancare. De aceea m-am gandit sa scriu un mic articol despre cateva practici de folosire a cardurilor prin care putem reduce riscul ca cineva sa aiba acces neautorizat la banii aflati pe card.

Cardurile bancare (de debit sau de credit) pot fi folosite in diverse moduri. Cel mai raspandit mod de folosire in Romania este retragerea de numerar de la bancomat (ATM). Majoritatea romanilor folosesc cardurile doar pentru acest lucru, in special pentru a isi ridica salariile (asa se explica si cozile de la bancomate din zilele de salariu). “Riscurile” efectuarii unei astfel de operatii nu trebuie neglijate. Una dintre cele mai raspandite metode de frauda este clonarea cardului bancar. Cardurile bancare au o banda magnetica unde este stocata informatia despre cardul respectiv. Din pacate, un dispozitiv pentru citirea benzii magnetice este destul de usor de realizat si este la indemana raufacatorilor. O metoda folosita pentru clonarea cardurilor in momentul cand un client incearca sa ridice bani de la bancomat este instalarea unor dispozitive pentru citit carduri pe bancomatul original (exista si cazuri cand se poate pune o “fata” noua bancomatului, cu tot cu cititor de card si tastatura). Au existat cazuri cand chiar bancomatul in sine era cu totul un fals (nu stiu la noi in tara, dar in strainatate a fost un caz cand hotii au amplasat un bancomat fals intr-un centru comercial, evident ca neincastrat in perete, ci pur si simplu ca si un automat de sucuri). De aceea, daca aveti orice dubii asupra unui bancomat este preferabil sa evitati sa introduceti cardul in el. Folositi bancomate pe care le cunoasteti de multa vreme, iar daca observati schimbari este mai bine sa il evitati o perioada pentru a va asigura ca schimbarile au fost facute de banca si nu de niste “binevoitori”. Cele mai recomandate sunt bancomatele aflate in holul bancilor sau a institutiilor sau in alte incaperi care sunt relativ pazite sau supravegheate video (insa acestea sa fie incastrate in perete). O alta practica buna este sa va asigurati ca nimeni nu e suficient de aproape de dumneavoastra incat sa vada PIN-ul pe care il tastati (evident ca este important si modul in care tastati PIN-ul - daca o faceti rar si cu un singur deget mai mult ca sigur ca o persoana de langa dumneavoastra isi va da seama ce PIN ati tastat). Daca vi se pare ca cineva sta si urmareste ce tastati puteti sa ii acoperiti aria de vizibilitate intorcandu-va cu spatele spre el (un pic in lateral daca e nevoie) sau folosind ambele maini pentru a micsora vizibilitatea. Nu uitati sa ridicati cardul, chitanta si mai ales banii. In mod normal bancomatul va trage inapoi cardul si banii daca nu au fost ridicati, insa e mai bine sa nu se ajunga la situatia asta.

Daca operatiunea dureaza mai mult, aveti rabdare si asteptati pana primiti mesajul ca tranzactia a fost finalizata (sau ca a esuat). Exista cazuri cand cardul este restituit dar inca bancomatul are in memorie ultimul card introdus si poate inca procesa comenzi noi pana cand confirma finalizarea (de exemplu da eroare initial si cere reintroducerea sumei). Daca se intampla sa nu va dea banii dar ei sa fie luati de pe card contactati cat mai repede banca (in principiu ii veti recupera pentru ca ei stiu cati bani trebuie sa fie in bancomat si pot verifica istoricul tranzactiilor). Oricum, pentru orice eventualitate, trebuie sa aveti numarul bancii notat in agenda sau telefon pentru a putea suna cat mai rapid in cazul in care pierdeti cardul, va este furat sau se blocheaza in bancomat (exista numere speciale de contact, care pot fi apelate si noaptea sau in weekend - intrebati la banca dumneavoastra). Daca nu aveti numarul incercati sa il aflati de la informatii, pentru ca este important sa puteti bloca cardul in momentul constatarii disparitiei lui decat sa ramaneti fara bani si sa incercati apoi sa ii recuperati.

Un alt mod de a folosi cardul devine tot mai raspandit si in Romania: plata la comercianti (cu ajutorul POS-urilor). Si aici regulile sunt asemanatoare: nu platiti la un comerciant care nu va confera incredere (magazine mici, necunoscute). Dupa ce ii dati cardul vanzatorului nu il pierdeti din vedere. Un vanzator rau intentionat ar putea sa treaca cardul prin doua aparate, cel real si inca unul cu ajutorul caruia sa copieze cardul. O metoda des intalnita este introducerea cardului intr-un cititor de card fantoma, dupa care vi se cere introducerea PIN-ului iar tranzactia da eroare (in acest moment aparatul fantoma a copiat datele de pe card si a aflat si PIN-ul). Apoi, vi se returneaza cardul sau se introduce din nou intr-un aparat real (cu justificarea “Stati sa vedem pe cititorul acesta”) si se cere din nou introducerea PIN-ului iar tranzactia reuseste. Este normal ca in unele cazuri tranzactiile sa esueze si ca unii comercianti sa aiba mai multe cititoare de carduri (POS-uri) de obicei la mai multe banci, insa trebuie sa fiti foarte atent si sa cereti chitanta si pentru tranzactia esuata. Personal prefer sa platesc cu cardul doar la magazinele aflate in centre comerciale cunoscute.

Trebuie sa stiti ca exista carduri si cititoare de card care nu au nevoie de PIN pentru a procesa o tranzactie (de obicei cardurile care au seria scrisa in relief pot fi procesate si fara PIN, dar depinde si de tipul de cititor de card). La restaurant de obicei veti da cardul chelnerului (la multe restaurante nu e nevoie de PIN), insa acesta poate in timpul respectiv sa faca orice cu cardul dumneavoastra. Poate sa il treaca printr-un aparat de clonat carduri, poate sa-si noteze datele de pe card pentru a le folosi la plati pe internet, etc. Daca restaurantul sau chelnerul nu vi se par de incredere si totusi vreti sa platiti cu cardul puteti merge chiar dumneavoastra cu cardul pana la cititor pentru a plati, in cazul in care restaurantul nu are un cititor de card portabil.

O alta metoda de plata cu cardul, mai putin raspandita in Romania, este plata online, adica pe internet. Platile pe internet sunt considerate cel mai “riscante” pentru ca datele de card pot fi interceptate cel mai usor de persoane neautorizate. Daca insa respectati cateva reguli riscul se poate reduce spre zero. In primul rand nu faceti plati pe site-uri pe care nu le cunoasteti si care nu au un istoric al existentei de macar cativa ani. Cu cat firma din spatele site-ului este mai cunoscuta cu atat isi permite sa aiba un site mai bine securizat si probabilitatea ca datele dumneavoastra sa fie interceptate de cineva sunt mai mici. Deasemenea, daca cunoasteti bine site-ul, eliminati si riscul de a avea de a face cu un site fantoma, adica un site creat special pentru a va atrage atentia cu preturi mici dar a caror proprietari pot disparea cu tot cu informatiile despre cardul dumneavoastra. Interesati-va inainte despre securitatea site-ului (multe site-uri au un fel de “sigiliu”, adica un logo al procesatorului de carduri, pe care daca apasati va aparea o pagina prin care procesatorul de carduri va poate confirma ca site-ul este un vanzator autorizat). O tranzactie securizata se face prin protocolul SSL, adica pagina unde trebuie sa introduceti datele de card are prefixul https in loc de obisnuitul http, ceea ce confirma ca datele sunt transmise criptat. Daca puteti face tranzactia prin intermediari (PayPal, Google Checkout, Moneybookers) este preferabil sa o faceti pentru ca asa veti introduce datele de card intr-un singur site bine securizat si ei vor face platile pentru dumneavoastra. Aveti insa grija la site-urile “false” care imita site-uri ale unor companii cunoscute (Paypal este frecvent atacat prin metode phishing, adica site-uri care seamana cu paypal dar nu sunt reale - tot ce trebuie sa faceti e sa verificati adresa site-ului). Mai nou si bancile romanesti sunt atacate prin emailuri “false” prin care vi se cer date de acces la internet banking sau numere de card de credit. Aceste emailuri au sigla bancii insa cand dati click pentru a intra pe site-ul bancii va vor duce pe un site fantoma (puteti verifica acest lucru verificand adresa site-ului). Trebuie sa stiti ca banca dumneavoastra nu va va contacta niciodata pentru a va cere PIN-ul sau numarul de card (pentru ca ei stiu deja numarul de card, deci nu au de ce sa il ceara pe email).

Chiar daca la noi nu se prea fac tranzactii prin telefon, in alte tari numerele de card pot fi date si prin telefon. In cazul in care cineva va suna pentru a confirma astfel de date in urma unor tranzactii facute altfel (pe internet de exemplu), nu divulgati astfel de date prin telefon. Eventual cereti un numar de contact si verificati inainte ca este un numar oficial al companiei respective. Un telefon fara fir poate fi interceptat foarte simplu de catre un scanner radio destul de accesibil (nu vorbim despre GSM, ci despre telefoane in retele fixe de telefonie de tip cordless, adica fara fir). Chiar si telefoanele mobile pot fi interceptate insa tehnologia necesara este mult mai scumpa. In general este bine sa evitati sa dati astfel de informatii prin telefon daca nu sunteti sigur cine e la celalalt capat al telefonului.

Pastrati chitantele si verificati cand vine extrasul lunar ca nu exista si alte tranzactii de care nu stiti si ca valoarea tranzactiilor este cea pe care o aveti scrisa pe chitanta (la unele POS-uri suma este introdusa manual de vanzator si acesta poate gresi la introducerea sumei, altele isi iau suma automat de pe casa de marcat). O practica recomandata este si semnarea cardului pe spate, astfel incat acceptatorul de card sa poata verifica ca semnatura de pe chitanta este identica cu cea de pe card (desi la noi in tara nu am intalnit inca pe nimeni sa verifice acest lucru, dar in strainatate mi s-a intamplat).

In ultima vreme au aparut si carduri cu cip, care teoretic au securitate imbunatatita (date stocate criptat), insa din cauza faptului ca reteaua bancara nu este pregatita pentru cardurile cu cip acestea au si banda magnetica ceea ce le face la fel de vulnerabile ca si orice alt card (deci un card care are si cip dar si banda magnetica are securitatea la fel de slaba ca si un card care are doar banda magnetica). Daca cardul cu cip nu are banda magnetica atunci intradevar el are o securitate mai buna dar nu il veti putea folosi decat in locurile unde exista cititoare sau bancomate pentru astfel de carduri (si se pare ca si acestea au reusit sa fie clonate deja, dar cazurile sunt mult mai rare).

Daca respectati aceste reguli, posibilitatea de a fi fraudat va fi mult redusa, iar in cazul in care acest lucru se va intampla oricum veti putea de obicei recupera banii de la banca, insa va trebui sa raportati cat mai repede frauda iar recuperarea va dura probabil cateva saptamani.