un blog de Radu Dumitru

asus s5507

►► Black Friday la: Fashion DaysFinestorePC GarageevoMAGAltexFlancoVodafoneOrangeSevensins ◄◄

asus s5507

M-am trezit cu cardul bancar blocat

6 Sep 2021  ·

TEHNOLOGIE  ·

25 comentarii

Am aflat astăzi la un POS că mi-a fost blocat cardul bancar și că, de altfel, comerciantul ar fi trebuit să mi-l rețină. Ce-i drept, am văzut după aceea că primisem SMS că a fost blocat cardul, dar nu îl citisem, la volan fiind.

This is a really weird story. Pe 14 august am găsit un SMS în telefon, de la Banca Transilvania, despre o tranzacție blocată pentru că este frauduloasă. Suma: 5 USD.

Nu mi-am bătut prea tare capul. Am crezut, de fapt, că e vreun abonament online pe la vreun serviciu și voi afla eu la ce-a fost când îmi vor scrie cei de acolo un email automat de genul “bă, dă-ne banii!”

Pe 6 septembrie a fost blocat definitiv cardul. A dispărut și din Internet Banking, nu poți afla nimic despre el. Am sunat în call center și mi s-a spus că de la tranzacția aia mi se trage. Cică a fost o tranzacție la un medic din Illinois, SUA. Eu am zis “păi dacă-mi fura cineva datele cardului, trăgea 5 dolari?”. Call center-ul mi-a zis “cel mai probabil este un algoritm de brute force care generează numere de carduri bancare și la încearcă pe terminale nesecurizate până ce vreunul dintre ele face click”.

Eu sunasem mai cu o falcă în cer și una în pământ, nervos că mi se blochează cardul fără alte informații, eu fiind sigur că l-am ținut în siguranță și deci nu e nimic grav la mijloc. Domnișoara de la call center însă a fost politicoasă și m-a informat bine și m-am dezumflat. Un card nou va fi generat la agenția din cartier în 3-5 zile lucrătoare, iar până atunci noroc că am carduri la 3 bănci.

Multe urări de bine hackerilor de carduri. Îl aveam pe acest băgat la o mulțime de abonamente și servicii online, acum va trebui să-l înlocuiesc peste tot.

asus s5507

    25 comentarii

  1. Nasol, bine că te-au notificat și l-au blocat imediat că altfel …

      (Citează)

  2. Aiurea…nici nu stiam ca e posbil sa faci brute force la asa ceva…interesanta treaba cu terminale nesecurizate.

      (Citează)

    • La fel de masca am ramas si eu in Tel Aviv, acolo dai cardu comerciantului, si cu metoda swipe, trage ce suma vrea el de pe card, fara pin fara nimic.

        (Citează)

    • @ Daniel, pai nu-ti da bon? vezi acolo cat a luat, nu are cum sa bage alta tranzactie, ca-l observi (doar daca pleaca cu cardul in spate sau pe undeva).

        (Citează)

  3. Mai bine ii blestemi pe aia cu terminale nesecurizate.
    De ce or mai exista si sunt acceptate nu pot sa inteleg.

      (Citează)

  4. Pățit și eu cu BCR.
    Dar nu l-au blocat de la BCR, ci de la mastercard direct. In 2 zile mi-a venit cardul acasă.

      (Citează)

  5. Nu cred ca sunt terminale nesecurizate ci mai mult siteuri cu plata online ce nu cer autentificare 3D Secure. Practic, hackerii au un pool de zeci de mii de siteuri din astea unde incearca plati pe sume mici ca sa vada daca au nimerit un card valid sau nu. Si apoi alea ce merg, le folosesc pe alte siteuri online ce n-au 3D Secure pentru chestii mai serioase.

    Daca ar fi cu POS-uri nesecurizate, adica din alea cu banda magnetica ca pe vremuri, cheile de pe chipul cardului fiind imposibil de clonat remote, ar trebui ala sa mearga cu vreo zeci de carduri dupa el din cabinet in cabinet si sa le verifice pe toate. Cred ca la al 4-le pos l-ar aresta cineva :)

    Oricum, interesanta ideea asta de brute force attack la modul asta. Eu zic ca mecanismul anti frauda a facut ce trebuia sa faca.

      (Citează)

    • Cam frizeaza absurdul. Din cate stiu nici un site nu are voie sa ceara bani prin procesator pana nu nimereste seria, data expirare, pin. Daca un hacker iti nimereste toate astea brute force style ai un ghinion cumplit. Sau mai acceptabil, nu e brute force.

        (Citează)

    • Baltha Zerus:
      Cam frizeaza absurdul. Din cate stiu nici un site nu are voie sa ceara bani prin procesator pana nu nimereste seria, data expirare, pin. Daca un hacker iti nimereste toate astea brute force style ai un ghinion cumplit. Sau mai acceptabil, nu e brute force.

      Pai cred ca de aia se cheama brute force attack. Ai de nimerit seria si data de expirare. Probabil nici codul CCV nu il cere. E drept ca toate cardurile europene vin by default cu tranzactiile pe internet fara CCV blocate.

      Nu ma ocup cu asa ceva deci greu de spus cum functioneaza :)

        (Citează)

    • Scuze, cvv nu pin.

        (Citează)

    • Pentru online folosesc un card virtual (multumesc Revolut si mai nou si ING) iar pentru plati fizice am bagat in telefon cam toate cardurile dar si aici am pus cardul Curve inaintea celorlalte (go back in time e o functie tare interesanta). Practic folosesc cardul fizic doar la bancomat sau daca dau de un POS incapatanat si tanti insista ca nu merge cu telefonul (nu s-a intamplat inca).

        (Citează)

  6. Cum adica brute force bre ? Sa iti ghiceasca Numarul, data de expirare si CSV-ul ? Cam care sunt sansele ? Matematic probabil tind spre 0

      (Citează)

    • Si eu am fix nelamurirea asta.
      Radu, ne poti explica mai bine? Poate chiar in vreun articol separat?

        (Citează)

    • Pai asta e problema, ca tind spre zero. 0.2% din 7 miliarde inseamna 14 milioane de oameni cu bani furati. Nu mai e asa putin. Pe langa alte fraude practicate de “cunoscatori”.

        (Citează)

    • Robert, mai taie din ele, abia daca ajung pe la 3 miliarde. Cate din astea au si ceva bani pe ele, aia e si mai interesant.

        (Citează)

    • @Anda, de fapt trebuie sa mai adauge ceva la numarul ala. In 2019 numarul total de carduri (de debit, de credit sau preplatite) era aproape de 23 de miliarde.

        (Citează)

    • L!nuX:
      Cum adica brute force bre ? Sa iti ghiceasca Numarul, data de expirare si CSV-ul ? Cam care sunt sansele ? Matematic probabil tind spre 0

      Voi omiteti un lucru, nu trebuie sa ghiceasca toate cifrele. Din cele 6 cifre, prima este intotdeauna aceeasi in functie de tipul cardului. 4,5,6 sunt cele intalnite pentru cardurile bancare.

      Urmatoarele 5 sunt identificatorul pentru tipul cardului (Mastercard /Visa/Etc, Visa are 4 si Mastercard are 5) si identificatorul bancii.

      Urmatoarele 7 cifre sunt practic numarul contului tau bancar.

      Ultima cifra este doar de verificare. Cardurile de credit folosesc acelasi algoritm ca CNPu romanesc. Algoritmul Luhn.

      Practic, tot ce au hackerii de facut e sa gaseasca identificatorul unei banci, de ex BCR si apoi sa faca brute force attack doar pe ultimele 7 cifre.

        (Citează)

  7. Iulian: Pai cred ca de aia se cheama brute force attack. Ai de nimerit seria si data de expirare. Probabil nici codul CCV nu il cere. E drept ca toate cardurile europene vin by default cu tranzactiile pe internet fara CCV blocate.

    Nu ma ocup cu asa ceva deci greu de spus cum functioneaza :)

    Exista generatoare de cod ccv, in baza numarului cardului.
    De acum vreo 20 ani exista, si nu am vrut sa-l iau pt ca eram ok doar cu ce oferea thepiratebay

      (Citează)

    • Legende, cvv-ul nu are nici o legatura cu numarul cardului.

      Exista generatoare online care iti genereaza un cod genuine al unui card, o data expirare, cvv, nu exista nici un generator la care sa ii dai seria cardului tau si sa iti dea cvv-ul sau dat expirarii corect.

        (Citează)

  8. Cu un calculator cuantic e mai usor, probabil fac chinezii teste. Sau rusii, sau extraterestrii, e saracie in galaxia asta.

    L!nuX:
    Cum adica brute force bre ? Sa iti ghiceasca Numarul, data de expirare si CSV-ul ? Cam care sunt sansele ? Matematic probabil tind spre 0

      (Citează)

  9. Story time:
    1. Am contul de salariu la BRD.

    2. Platesc lunar la Recorder o donatie prin PayPal (configurata ca regular payment) unde cardul BRD este cel folosit.

    3. In ultimele luni, dupa fiecare tranzactie la inceput de luna, primesc SMS pentru a confirma ca plata este una valida, la care trebuie sa raspund in primele 10 minute cu mesaje gen “DA FO” sau “NU FO” – ultimele 2 caractere sunt random.

    4. In ultimele 2 luni, desi raspundeam cu SMS-ul necesar pentru confirmarea tranzactiei, eram mereu notificat ca mi-a fost blocat cardul si trebuia sa sun la BRD pentru a fi deblocat.

    5. Problema: Aparent, pt ca sunt pe Orange si raspund prin SMS la un numar de telefon cu 4 cifre (e.g.”1234″), BRD nu reuseste sa proceseze corect content-ul SMS-ului meu si il interpreteaza ca fiind un mesaj negativ -> blocarea cardului.

    6. Ce ma surprinde este faptul ca ei stiu de 2 luni de problema asta (confirmat de dna de la customer support) si inca nu i-au dat de cap – poate erau programatorii in vacanta.

    Am mutat plata din Paypal prin cardul Revolut, fck this shit.

      (Citează)

  10. Tot la BT am și eu contul principal. Acum vreo 5 ani mi-au blocat o plată prin PayPal /AliExpress/Amazon (nu-mi aduc aminte unde) pe motiv de fraudă. M-au sunat să confirm plata. E foarte bine că BT a reacționat. Acum îmi vine în minte cardul virtual. Poate BT introduce așa ceva la fel ca Revolut și ING. Am putea avea un card virtual pe care să-l folosim și asupra căruia am avea control rapid.

      (Citează)

    • Probabil Amazon, sunt unii din putinii care nu cer/trimit cvv la procesator, asa ca la inceput bancile blocau tranzactiile de la ei.

        (Citează)

  11. Soluția mea la chestii de genul:
    Card virtual de la revolut, eventual daca plătești pe ceva site dubios, cel de unica folosință.
    Tot cardul virtual băgat în GPay și plata cu mobilul la magazine, etc.
    Eu scot cardul metalic doar in cazuri extreme, că am pățit deja sa fie pus pe un cont de PayPal din Australia și să fie încercată o plată de 900 USD pentru o factura la energie electrică.

      (Citează)

  12. Ma surprinde faptul ca majoritatea cititorilor propun o “solutie” la o “problema” care nu este a utilizatorului, ci a bancii.

    Detaliez scenariul lui Radu cat mai simplist: imi fac un card la BT, pun 1000 EUR in contul asociat lui si nu-l folosesc niciodata, pe niciun site si la niciun terminal POS. In ziua X ma trezesc ca imi sunt “retrasi” 5 EUR de pe cont. Acum sper ca are sens pentru toata lumea ideea de “brute force attack”.

    Mai pun “la bataie” si faptul ca iti poti activa toate setarile de securitate pe care vrei tu sa ti le activezi. Undeva, insa, in sistemul bancar al bancii tale este o hiba, pe care cineva o poate exploata la un moment dat. De ce inca se poate plati online la multi jucatori mari de pe piata fara numele de pe card (dar sa zicem ca ala e mai putin relevant), fara CVV (totusi asta e “pin-ul pentru tranzactiile online”) sau chiar fara cod 3D secure sau two-factor.

    Hint: si la aplicatiile cu two-factor exista un mecanism prin care te poti loga cand uiti acel two-factor sau nu-l mai poti folosi.

      (Citează)

    Alătură-te discuției, lasă un mesaj

    E-mail-ul nu va fi publicat. Fără înjurături și cuvinte grele, că vorbim prietenește aici. Gândiți-vă de două ori înainte de a publica. Nu o luați pe arătură doar pentru că aveți un monitor în față și nu o persoană reală.

    Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt ok.


    Prin trimiterea comentariului acceptați politica de confidențialitate a site-ului.



    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.

sus