un blog de Radu Dumitru
un blog de Radu Dumitru
►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄
Am aflat astăzi la un POS că mi-a fost blocat cardul bancar și că, de altfel, comerciantul ar fi trebuit să mi-l rețină. Ce-i drept, am văzut după aceea că primisem SMS că a fost blocat cardul, dar nu îl citisem, la volan fiind.
This is a really weird story. Pe 14 august am găsit un SMS în telefon, de la Banca Transilvania, despre o tranzacție blocată pentru că este frauduloasă. Suma: 5 USD.
Nu mi-am bătut prea tare capul. Am crezut, de fapt, că e vreun abonament online pe la vreun serviciu și voi afla eu la ce-a fost când îmi vor scrie cei de acolo un email automat de genul “bă, dă-ne banii!”
Pe 6 septembrie a fost blocat definitiv cardul. A dispărut și din Internet Banking, nu poți afla nimic despre el. Am sunat în call center și mi s-a spus că de la tranzacția aia mi se trage. Cică a fost o tranzacție la un medic din Illinois, SUA. Eu am zis “păi dacă-mi fura cineva datele cardului, trăgea 5 dolari?”. Call center-ul mi-a zis “cel mai probabil este un algoritm de brute force care generează numere de carduri bancare și la încearcă pe terminale nesecurizate până ce vreunul dintre ele face click”.
Eu sunasem mai cu o falcă în cer și una în pământ, nervos că mi se blochează cardul fără alte informații, eu fiind sigur că l-am ținut în siguranță și deci nu e nimic grav la mijloc. Domnișoara de la call center însă a fost politicoasă și m-a informat bine și m-am dezumflat. Un card nou va fi generat la agenția din cartier în 3-5 zile lucrătoare, iar până atunci noroc că am carduri la 3 bănci.
Multe urări de bine hackerilor de carduri. Îl aveam pe acest băgat la o mulțime de abonamente și servicii online, acum va trebui să-l înlocuiesc peste tot.
Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.
Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri
Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.
Îți place blogul meu?
Apasă acest buton înainte de a cumpăra de la eMAG
și vei susține acest site.
Magazine recomandate:
Flanco devine primul Smart Discounter electro-IT din Romania (și ce înseamnă asta)
Oferte bune de la Revoluția Prețurilor de la eMAG
Articole interesante de citit astăzi – 14 aprilie 2024
Iranienii au lansat un atac aerian care doar îi face să pară neputincioși
iPhone 16 probabil va introduce un buton dedicat de fotografiere și îmi place ideea aceastaCopyright © 2006 - 2021 nwradu blog.
Reproducerea textelor și a imaginilor ce-mi aparțin este posibilă numai în sistem "creative commons Attribution Non-Commercially Share-alike 3.0 CC BY-NC-SA".
Termene și condiții | Politica de confidențialitate | Politica de cookies
25 comentarii
06/09/2021 la 4:54 PM
Nasol, bine că te-au notificat și l-au blocat imediat că altfel …
ionică(Citează)
06/09/2021 la 5:01 PM
Aiurea…nici nu stiam ca e posbil sa faci brute force la asa ceva…interesanta treaba cu terminale nesecurizate.
Robert(Citează)
07/09/2021 la 9:25 AM
La fel de masca am ramas si eu in Tel Aviv, acolo dai cardu comerciantului, si cu metoda swipe, trage ce suma vrea el de pe card, fara pin fara nimic.
Daniel(Citează)
07/09/2021 la 6:08 PM
@ Daniel, pai nu-ti da bon? vezi acolo cat a luat, nu are cum sa bage alta tranzactie, ca-l observi (doar daca pleaca cu cardul in spate sau pe undeva).
Kopa_Kopan(Citează)
06/09/2021 la 5:02 PM
Mai bine ii blestemi pe aia cu terminale nesecurizate.
De ce or mai exista si sunt acceptate nu pot sa inteleg.
Pyro(Citează)
06/09/2021 la 5:04 PM
Pățit și eu cu BCR.
Dar nu l-au blocat de la BCR, ci de la mastercard direct. In 2 zile mi-a venit cardul acasă.
Ionut M(Citează)
06/09/2021 la 5:09 PM
Nu cred ca sunt terminale nesecurizate ci mai mult siteuri cu plata online ce nu cer autentificare 3D Secure. Practic, hackerii au un pool de zeci de mii de siteuri din astea unde incearca plati pe sume mici ca sa vada daca au nimerit un card valid sau nu. Si apoi alea ce merg, le folosesc pe alte siteuri online ce n-au 3D Secure pentru chestii mai serioase.
Daca ar fi cu POS-uri nesecurizate, adica din alea cu banda magnetica ca pe vremuri, cheile de pe chipul cardului fiind imposibil de clonat remote, ar trebui ala sa mearga cu vreo zeci de carduri dupa el din cabinet in cabinet si sa le verifice pe toate. Cred ca la al 4-le pos l-ar aresta cineva :)
Oricum, interesanta ideea asta de brute force attack la modul asta. Eu zic ca mecanismul anti frauda a facut ce trebuia sa faca.
Iulian(Citează)
06/09/2021 la 5:34 PM
Cam frizeaza absurdul. Din cate stiu nici un site nu are voie sa ceara bani prin procesator pana nu nimereste seria, data expirare, pin. Daca un hacker iti nimereste toate astea brute force style ai un ghinion cumplit. Sau mai acceptabil, nu e brute force.
Baltha Zerus(Citează)
06/09/2021 la 6:07 PM
Pai cred ca de aia se cheama brute force attack. Ai de nimerit seria si data de expirare. Probabil nici codul CCV nu il cere. E drept ca toate cardurile europene vin by default cu tranzactiile pe internet fara CCV blocate.
Nu ma ocup cu asa ceva deci greu de spus cum functioneaza :)
Iulian(Citează)
06/09/2021 la 9:52 PM
Scuze, cvv nu pin.
Baltha Zerus(Citează)
07/09/2021 la 12:03 PM
Pentru online folosesc un card virtual (multumesc Revolut si mai nou si ING) iar pentru plati fizice am bagat in telefon cam toate cardurile dar si aici am pus cardul Curve inaintea celorlalte (go back in time e o functie tare interesanta). Practic folosesc cardul fizic doar la bancomat sau daca dau de un POS incapatanat si tanti insista ca nu merge cu telefonul (nu s-a intamplat inca).
Un om(Citează)
06/09/2021 la 6:12 PM
Cum adica brute force bre ? Sa iti ghiceasca Numarul, data de expirare si CSV-ul ? Cam care sunt sansele ? Matematic probabil tind spre 0
L!nuX(Citează)
06/09/2021 la 6:28 PM
Si eu am fix nelamurirea asta.
Radu, ne poti explica mai bine? Poate chiar in vreun articol separat?
Florin(Citează)
06/09/2021 la 6:33 PM
Pai asta e problema, ca tind spre zero. 0.2% din 7 miliarde inseamna 14 milioane de oameni cu bani furati. Nu mai e asa putin. Pe langa alte fraude practicate de “cunoscatori”.
Robert(Citează)
07/09/2021 la 8:18 AM
Robert, mai taie din ele, abia daca ajung pe la 3 miliarde. Cate din astea au si ceva bani pe ele, aia e si mai interesant.
Anda(Citează)
07/09/2021 la 9:11 AM
@Anda, de fapt trebuie sa mai adauge ceva la numarul ala. In 2019 numarul total de carduri (de debit, de credit sau preplatite) era aproape de 23 de miliarde.
Andrei G(Citează)
07/09/2021 la 2:00 PM
Voi omiteti un lucru, nu trebuie sa ghiceasca toate cifrele. Din cele 6 cifre, prima este intotdeauna aceeasi in functie de tipul cardului. 4,5,6 sunt cele intalnite pentru cardurile bancare.
Urmatoarele 5 sunt identificatorul pentru tipul cardului (Mastercard /Visa/Etc, Visa are 4 si Mastercard are 5) si identificatorul bancii.
Urmatoarele 7 cifre sunt practic numarul contului tau bancar.
Ultima cifra este doar de verificare. Cardurile de credit folosesc acelasi algoritm ca CNPu romanesc. Algoritmul Luhn.
Practic, tot ce au hackerii de facut e sa gaseasca identificatorul unei banci, de ex BCR si apoi sa faca brute force attack doar pe ultimele 7 cifre.
lrpx(Citează)
06/09/2021 la 6:47 PM
Exista generatoare de cod ccv, in baza numarului cardului.
De acum vreo 20 ani exista, si nu am vrut sa-l iau pt ca eram ok doar cu ce oferea thepiratebay
Valentin(Citează)
06/09/2021 la 9:59 PM
Legende, cvv-ul nu are nici o legatura cu numarul cardului.
Exista generatoare online care iti genereaza un cod genuine al unui card, o data expirare, cvv, nu exista nici un generator la care sa ii dai seria cardului tau si sa iti dea cvv-ul sau dat expirarii corect.
Baltha Zerus(Citează)
07/09/2021 la 7:54 AM
Cu un calculator cuantic e mai usor, probabil fac chinezii teste. Sau rusii, sau extraterestrii, e saracie in galaxia asta.
Red(Citează)
07/09/2021 la 9:44 AM
Story time:
1. Am contul de salariu la BRD.
2. Platesc lunar la Recorder o donatie prin PayPal (configurata ca regular payment) unde cardul BRD este cel folosit.
3. In ultimele luni, dupa fiecare tranzactie la inceput de luna, primesc SMS pentru a confirma ca plata este una valida, la care trebuie sa raspund in primele 10 minute cu mesaje gen “DA FO” sau “NU FO” – ultimele 2 caractere sunt random.
4. In ultimele 2 luni, desi raspundeam cu SMS-ul necesar pentru confirmarea tranzactiei, eram mereu notificat ca mi-a fost blocat cardul si trebuia sa sun la BRD pentru a fi deblocat.
5. Problema: Aparent, pt ca sunt pe Orange si raspund prin SMS la un numar de telefon cu 4 cifre (e.g.”1234″), BRD nu reuseste sa proceseze corect content-ul SMS-ului meu si il interpreteaza ca fiind un mesaj negativ -> blocarea cardului.
6. Ce ma surprinde este faptul ca ei stiu de 2 luni de problema asta (confirmat de dna de la customer support) si inca nu i-au dat de cap – poate erau programatorii in vacanta.
Am mutat plata din Paypal prin cardul Revolut, fck this shit.
SGT(Citează)
07/09/2021 la 10:32 AM
Tot la BT am și eu contul principal. Acum vreo 5 ani mi-au blocat o plată prin PayPal /AliExpress/Amazon (nu-mi aduc aminte unde) pe motiv de fraudă. M-au sunat să confirm plata. E foarte bine că BT a reacționat. Acum îmi vine în minte cardul virtual. Poate BT introduce așa ceva la fel ca Revolut și ING. Am putea avea un card virtual pe care să-l folosim și asupra căruia am avea control rapid.
Mihai(Citează)
07/09/2021 la 1:04 PM
Probabil Amazon, sunt unii din putinii care nu cer/trimit cvv la procesator, asa ca la inceput bancile blocau tranzactiile de la ei.
Baltha Zerus(Citează)
07/09/2021 la 1:46 PM
Soluția mea la chestii de genul:
Card virtual de la revolut, eventual daca plătești pe ceva site dubios, cel de unica folosință.
Tot cardul virtual băgat în GPay și plata cu mobilul la magazine, etc.
Eu scot cardul metalic doar in cazuri extreme, că am pățit deja sa fie pus pe un cont de PayPal din Australia și să fie încercată o plată de 900 USD pentru o factura la energie electrică.
Mack(Citează)
13/09/2021 la 1:24 AM
Ma surprinde faptul ca majoritatea cititorilor propun o “solutie” la o “problema” care nu este a utilizatorului, ci a bancii.
Detaliez scenariul lui Radu cat mai simplist: imi fac un card la BT, pun 1000 EUR in contul asociat lui si nu-l folosesc niciodata, pe niciun site si la niciun terminal POS. In ziua X ma trezesc ca imi sunt “retrasi” 5 EUR de pe cont. Acum sper ca are sens pentru toata lumea ideea de “brute force attack”.
Mai pun “la bataie” si faptul ca iti poti activa toate setarile de securitate pe care vrei tu sa ti le activezi. Undeva, insa, in sistemul bancar al bancii tale este o hiba, pe care cineva o poate exploata la un moment dat. De ce inca se poate plati online la multi jucatori mari de pe piata fara numele de pe card (dar sa zicem ca ala e mai putin relevant), fara CVV (totusi asta e “pin-ul pentru tranzactiile online”) sau chiar fara cod 3D secure sau two-factor.
Hint: si la aplicatiile cu two-factor exista un mecanism prin care te poti loga cand uiti acel two-factor sau nu-l mai poti folosi.
Berilac(Citează)