Jak bezpiecznie korzystać z karty płatniczej?

PIN do karty – numer ściśle tajny

Numer PIN (ang. Personal Identification Number) - osobisty numer identyfikacyjny, stanowi podstawowe zabezpieczenie karty płatniczej. Umożliwia przeprowadzanie transakcji w sklepach i wypłatę środków z bankomatów, a jednocześnie - chroni nasze oszczędności. Złodziej, który ukradnie nam kartę, ale nie zna PIN-u, nie będzie mógł w łatwy sposób ogołocić naszego konta. Chyba że... sami ułatwimy mu to zdanie i zlekceważymy podstawowe zasady bezpieczeństwa.

Choć może się wydawać, że czterocyfrowy PIN jest łatwy do złamania, to jednak zdaniem specjalistów dobrze spełnia swoją funkcję ochronną - istnieje 10 tys. różnych kombinacji takich kodów, teoretycznie więc złodzieje powinni mieć problemy z jego rozszyfrowaniem.

Niestety, część użytkowników kart bankowych ustanawia na tyle proste hasła, że złodziej po kilku próbach może je bez trudu złamać. Analitycy z Data Genetics przeanalizowali listę 3,4 mln PIN-ów stosowanych do zabezpieczenia karty i stwierdzili, które z nich są najprostsze do odgadnięcia. Okazało się, że najpopularniejszym hasłem jest ciąg „1234” - takiej kombinacji używa aż 10,71 proc. wszystkich klientów banków. Na drugim miejscu znalazł się kod 1111 z 6,02 proc., na trzecim 0000 - 1,88 proc.

Zdaniem specjalistów, równie często stosowane są kombinacje związane z datą urodzin, zaczynające się od „19”, końcówki numerów telefonu oraz układy cyfr tworzące ciągi na klawiaturze terminala (np. „2580”, „7878” ).

Oczywiście, złodzieje świetnie orientują się w tych nawykach, a w dobie Facebooka i rozbudowanych baz danych ustalenie takich informacji jak numer komórki lub data urodzenia jest wyjątkowo prostym zadaniem.

Niedopuszczalne jest także zapisywanie kodu PIN gdziekolwiek, np. w telefonie czy na kartce papieru trzymanej w portfelu. Tymczasem wyniki badań potwierdzają, że wielu Polaków stosuje tę metodę, a nawet zapisuje PIN flamastrem na karcie (!).

Zadbaj o bezpieczeństwo kodu PIN

Jeżeli nie chcesz, aby Twój PIN stał się własnością złodziei, przestrzegaj czterech podstawowych zasad:

1. Unikaj prostej kombinacji cyfr kodu PIN (jeżeli nie potrafisz samodzielnie wymyślić nietypowego kodu, możesz skorzystać z generatora haseł, który przygotuje Ci losowy zestaw znaków).
2. Naucz się swojego PIN-u na pamięć - nigdy nie zapisuj go na kartce trzymanej razem z kartą płatniczą w portfelu.
3. Regularnie zmieniaj kod do karty – sprawdź, w jaki sposób najłatwiej możesz to uczynić i ile wynosi opłata za tę operację. W niektórych bankach nowy PIN można ustalić za pośrednictwem bankowości elektronicznej lub odwiedzając placówkę banku, w innych – wyłącznie w bankomacie. Jak zmienić PIN opisujemy w tym artykule.
4. Nie udostępniaj PIN-u nikomu – nawet najbliższej rodzinie. Pamiętaj, że ujawnienie hasła osobie trzeciej stanowi złamanie umowy zawartej z bankiem. Jeżeli doszło do kradzieży pieniędzy z konta, a bank ustali, że niepowołana osoba poznała PIN w wyniku Twojego „rażącego niedbalstwa”, stracisz prawo do jakiegokolwiek odszkodowania.

Uważaj na próby wyłudzenia kodu PIN

Niekiedy oszuści stosują bardziej wyrafinowane metody, umożliwiające im zdobycie PIN-u (kolejnym krokiem jest najczęściej fizyczna kradzież karty i wypłata środków z bankomatu lub zakupy na koszt właściciela).

Oto typowe przykłady wyłudzeń: przestępcy dzwonią do wybranej osoby, podszywając się pod pracownika banku lub wysyłają maila z prośbą o zalogowanie się na fałszywej stronie banku lub organizacji kartowej i podanie tam danych wrażliwych karty. Niekiedy również włamują się do komputera ofiary i instalują w nim złośliwe oprogramowanie, które uruchamia się podczas logowania do systemu bankowości elektronicznej i wyświetla komendy proszące o podanie PIN-u karty i hasła do konta. W takiej sytuacji istnieje wręcz pewność, że jest to próba wyłudzenia danych – należy natychmiast przerwać wykonywaną operację i poinformować bank o zaistniałym zdarzeniu.

Pamiętaj! Banki i organizacje kartowe NIGDY nie proszą o podanie PIN-u za pośrednictwem e-maila, infolinii czy serwisów bankowości internetowej. Jeżeli po zalogowaniu się do systemu bankowości elektronicznej nie wykonujemy żadnej transakcji, a system żąda od nas wprowadzenia hasła lub podania PIN-u – ewidentnie mamy do czynienia z oszustwem.

Jak bezpiecznie płacić kartą przez internet?

Na karcie znajdują się trzy kluczowe informacje, które pozwalają na dokonanie transakcji w sieci: numer karty, data ważności i kod CVV2 lub CVC2. Oszust, który zna te informacje, może płacić naszą kartą w internecie i na nasz koszt kupować rozmaite produkty. To dlatego kod CVV2/ CVC2 jest dla złodziei równie atrakcyjny, co hasło PIN do naszej karty. Aby go zdobyć, cyberprzestępcy tworzą np. strony nieistniejących sklepów, infekują komputer właściciela karty złośliwym wirusem, który umożliwia przechwycenie kodu lub proszą o jego podanie, wcielając się w rolę pracownika banku.

Warto w tym miejscu dodać, że ujawnienie kodu CVV2/ CVC2 może mieć równie fatalne skutki, jak wyłudzenie PIN-u, o czym najlepiej świadczy historia pewnego lekkomyślnego Anglika. Pan ten zwierzył się swoim znajomym na Facebooku, iż zamierza w najbliższym czasie kupić samochód. Złodzieje, chętnie obserwujący profile zamożnych osób, błyskawicznie wykorzystali tę informację – za pomocą dość skomplikowanego oszustwa ustalili dane karty, przelali pieniądze na konto salonu samochodowego i oddalili się nowym mercedesem w nieznanym kierunku.

5 zasad przeprowadzania bezpiecznych transakcji kartą przez internet

1. Jeżeli chętnie korzystasz z płatności internetowych, powinieneś zachować szczególną ostrożność podczas przekazywania poufnych danych karty. Podawanie takich informacji powinno mieć miejsce tylko i wyłącznie na stronach szyfrowanych. Przypomnijmy, że adres bezpiecznej strony rozpoczyna się od https:// (zamiast http://), a w oknie przeglądarki widoczna jest ikona zamkniętej kłódki. Aby zweryfikować tożsamość serwisu internetowego, warto również przejrzeć informacje o certyfikacie, który dostępny jest po kliknięciu na ikonę kłódki w przeglądarce internetowej (więcej informacji, jak odróżnić autentyczną stronę banku od fałszywej, znajdziesz w tym artykule).
2. Ufaj tylko znanym i sprawdzonym sklepom i popularnym systemom płatności (np. Przelewy24, PayU, eCard).
3. Sprawdź, czy Twój bank oferuje dodatkową formę zabezpieczenia transakcji internetowej – przykładem takiej usługi jest np. 3D-Secure, proponowana przez coraz większą liczbę instytucji finansowych. Polega ona na dwustopniowej weryfikacji właściciela karty: podczas płacenia za towar wprowadzamy wrażliwe dane karty (numer, datę jej ważności, kod CVV2 lub CVC2) i otrzymany z banku dodatkowy kod autoryzacyjny (z karty kodów, tokena lub SMSa). Najczęściej włączenie usługi 3D-Secure jest całkowicie bezpłatne, dlatego warto skorzystać z tego rozwiązania.
4. Karta wirtualna – niektóre banki mają w swojej ofercie karty płatnicze przeznaczone wyłącznie do transakcji e-commerce oraz transakcji MOTO. Taka wirtualna karta nie posiada fizycznej formy plastiku, przypomina raczej elektroniczną portmonetkę, którą można zasilić dowolną kwotą tuż przed transakcją oraz opróżnić po dokonaniu zakupu. Udostępnienie danych koniecznych do dokonania transakcji bezgotówkowej na odległość (pełny numer karty, data ważności, kod CVV2 lub CVC2) następuje w momencie aktywacji usługi. Wirtualną kartą można płacić wyłącznie w sklepie internetowym oraz opłacić zamówienie złożone przez telefon. Niestety, wydanie takiej karty najczęściej się wiąże z dodatkowymi kosztami – np. w mBanku zapłacimy za nią 25 zł, w ING – 20 zł (dla posiadaczy studenckiego konta Direct 18-26 lat jest jednak bezpłatna).
5. Jeżeli nasz bank nie oferuje kart wirtualnych, możemy postąpić w następujący sposób:
   • po pierwsze, zamówić dodatkową kartę przedpłaconą (w fizycznej formie) i używać jej tylko do zakupów w sieci. Na taką kartę przelewamy środki bezpośrednio przed zakupami online - w takiej wysokości, w jakiej będą nam potrzebne;
   • po drugie - ustawić limit transakcji internetowych na poziomie 0 i zwiększać go jedynie tuż przed zakupami. Po dokonaniu płatności ponownie wpisać wartość 0.

Jak bezpiecznie korzystać z karty w sklepach w Polsce i za granicą?

O zasadach bezpieczeństwa powinniśmy pamiętać także wtedy, gdy płacimy kartą w sklepach, punktach usługowych i lokalach gastronomicznych. W takich miejscach ani na chwile nie traćmy karty z pola widzenia i zwracajmy uwagę na nietypowe zachowanie sprzedawców (w ostatnim czasie popularną metodą kradzieży kodu CVV2/ CVC2 stało się np. fotografowanie za pomocą telefonu komórkowego upuszczonej pozornie przypadkowo karty). Jeżeli terminal płatniczy znajduje się w niewidocznym miejscu, np. pod ladą lub poza zasięgiem naszego wzroku – dla pewności zrezygnujmy z zakupów w takim sklepie.

W przypadku awarii elektronicznych terminali do akceptacji kart płatniczych możemy otrzymać do wypełnienia pokwitowanie in blanco z imprintera (ręcznego powielacza, zwanego popularnie żelazkiem) stosowanego do akceptacji kart wypukłych. Obecnie to urządzenie jest wykorzystywane wyjątkowo rzadko (w sytuacji, gdy zawiedzie terminal płatniczy POS), jednak niektóre sklepy wciąż nim dysponują. Jeżeli znajdziemy się w takiej sytuacji, dopilnujmy, aby wszystkie czyste pola blankietu zostały przekreślone w sposób uniemożliwiający późniejsze dopisanie dodatkowych opłat.

Uważajmy zwłaszcza podczas zagranicznych wojaży – w niektórych krajach śródziemnomorskich obsługa sklepu lub restauracji wykorzystuje tę stosunkowo mało znaną formę płatności do oszukiwania turystów (do takich incydentów dochodziło m.in. w Grecji, Maroku i Chorwacji).

Identycznie postępujmy z wydrukiem z terminala w punkcie gastronomicznym - w miejscu przeznaczonym na podanie wysokości napiwku wpiszmy wybraną kwotę lub wyraźnie przekreślmy puste pole.

Jak bezpiecznie wypłacać środki z bankomatów?

Także wypłacając pieniądze z bankomatu, nieświadomie możemy paść ofiarą oszustwa. Urządzenia te mogą być bowiem wykorzystane do skimmingu – przestępstwa polegającego na nielegalnym kopiowaniu zawartości pasków magnetycznych kart płatniczych i przechwytywaniu numerów PIN (za pomocą zainstalowanej w obudowie bankomatu kamerki), a następnie wykorzystaniu spreparowanych kart do przeprowadzenia transakcji bankomatowych, najczęściej poza granicami naszego kraju. Ponieważ elektroniczne systemy bankowe nie odróżniają skopiowanej karty od karty oryginalnej, a na dodatek złodzieje wypłacając pieniądze będą się posługiwali prawidłowym PIN-em, wszystkie operacje wykonane przy pomocy „fałszywki” obciążą nasz rachunek.

Zanim więc skorzystamy z urządzenia, przyjrzyjmy się elementom bankomatu najczęściej wykorzystywanym przez oszustów. Są to:

• otwór czytnika kart – w otworze może być umieszczony miniaturowy skaner kopiujący zawartość paska magnetycznego karty wkładanej do bankomatu;
• pogrubiona i wystająca ponad powierzchnię blatu bankomatu klawiatura – w rzeczywistości może być to specjalna nakładka umożliwiająca przechwycenie i zarejestrowanie wprowadzanych przez klientów numerów PIN;
• górna ścianka bankomatu – w której np. w fałszywym panelu (z logotypami organizacji płatniczych) może być zainstalowana kamera rejestrująca wprowadzane przez klientów numery PIN.

Jeżeli któryś z tych elementów zwróci naszą uwagę, wypłaćmy gotówkę w innym bankomacie i poinformujmy właściciela maszyny o naszych podejrzeniach.

6 zasad bezpiecznego korzystania z bankomatu

1. Staraj się korzystać zawsze z tych samych urządzeń – zdecydowanie łatwiej będzie Ci dostrzec różnicę w ich wyglądzie.
2. Zawsze zakrywaj dłonią wpisywany PIN. W ten sposób utrudnisz pracę złodziejom i masz szansę ustrzec się przez kradzieżą.
3. Unikaj wypłat z bankomatów znajdujących się w słabo oświetlonych i mało uczęszczanych miejscach.
4. W przypadku zablokowania się karty w bankomacie nie przyjmuj pomocy od obcych osób, nawet jeżeli podają się za pracowników banku. Natychmiast zgłoś telefonicznie fakt zablokowania karty do banku.
5. Zawsze proś o wydruk potwierdzenia wypłaty. Ułatwi on ewentualną reklamację.
6. Wszystkie papierowe potwierdzenia transakcji w terminalach lub potwierdzenia wypłaty gotówki/informacje o saldzie w bankomatach, szczególnie te o nieudanej transakcji, dokładnie niszcz lub przechowuj w bezpiecznym miejscu. Choć na pokwitowaniach tych widnieją tylko cząstkowe informacje, mogą być one dla złodzieja cennym łupem (np. mogą mu ułatwić zrekonstruowanie pełnych danych podczas rozmowy telefonicznej, w trakcie której oszust podszywa się pod pracownika banku).

A co z kartami chipowymi? Czy są bezpieczne?

Aby lepiej chronić właścicieli kart płatniczych, banki wprowadziły karty chipowe, które zamiast paska magnetycznego są wyposażone w mikroprocesor kontrolujący proces dostępu do danych. Przechowywane na karcie informacje są dodatkowo szyfrowane, co znakomicie utrudnia złodziejom zadanie. Kolejnym poziomem zabezpieczenia jest PIN, którym właściciel karty musi potwierdzić wypłatę środków.

Warto jednak wiedzieć, że znaczna część kart chipowych posiada także pasek magnetyczny umożliwiający pobranie gotówki z bankomatów działających w oparciu o starsze systemy transakcyjne. I właśnie te karty płatnicze nie są do końca bezpieczne. Wystarczy, że złodzieje skopiują pasek magnetyczny, sklonują kartę, a następnie sprzedadzą ją w „podziemnym internecie”, abyśmy popadli w niemałe kłopoty. Podrobione karty mogą zostać wykorzystane do wypłaty gotówki w krajach, w których funkcjonują bankomaty starszej generacji. Należy podkreślić, że nie są to, niestety, rzadkie sytuacje – wielu klientów polskich banków ze zdumieniem stwierdziło, że ktoś wypłacał pieniądze z ich konta np. w Singapurze lub na Jamajce.

Zabezpiecz swoją kartę zbliżeniową

Rosnącą popularność kart zbliżeniowych nietrudno wytłumaczyć - można nimi szybko i wygodnie płacić za jednorazowe zakupy do wartości 50 zł bez wpisywania PIN-u (jest to więc świetne rozwiązanie dla osób, które mają kłopoty z zapamiętaniem bardziej skomplikowanego ciągu liczbowego). Ponadto takiej karty nigdy nie tracimy z oczu, a mówiąc dokładniej – nigdy nie wypuszczamy z ręki. Wydawać by się więc mogło, że bezpieczeństwo transakcji przeprowadzanych za pomocą technologii zbliżeniowej jest znacznie większe niż w przypadku tradycyjnej karty.

Czy karty zbliżeniowe są podatne na atak hakerski?

Jednak wraz z upowszechnieniem tej formy płatności pojawiły się informacje o atakach hakerskich na właścicieli kart zbliżeniowych. Okazało się, że złodzieje za pomocą specjalnych czytników są w stanie odczytać i sklonować z karty wszystkie dane potrzebne do przeprowadzenia fałszywej transakcji (łącznie z jednorazowym kodem CVV). Ataki były przeprowadzane w miejscach publicznych, np. zatłoczonych tramwajach, a ofiara o niczym nie miała pojęcia (opis takich sytuacji znajdziesz tutaj). Inną ze stosowanych przez złodziei metod był tzw. atak przekaźnikowy. Polegał on na tym, że jedna osoba za pomocą czytnika skanowała portfel posiadacza karty, przesyłała dane do drugiej osoby, która w tym samym momencie przeprowadzała transakcję.

Jednak zdaniem KNF takie ataki - choć w warunkach laboratoryjnych możliwe - w praktyce są niewykonalne (np. komunikacja między urządzeniami musiałaby się zamknąć w 500 milisekundach). Ponadto technologia używana w kartach bezstykowych działa na odległość maksymalnie kilku centymetrów, tak więc ścianki portfela czy grube ubranie powinny uniemożliwić transfer danych.

Choć opinie na temat skimmingu kart zbliżeniowych są sprzeczne, nie zaszkodzi ostrożność na wyrost. Zdaniem specjalistów od przesyłu danych, najprostszym sposobem, aby uchronić się przed sklonowaniem danych karty, jest jest noszenie w miejscach publicznych w ochronnym etui, wyposażonym w grube plastikowe kieszonki. Nawet jeśli nie wierzymy w ataki przekaźnikowe i tak warto takie etui kupić – będzie chronić naszą kartę przed zarysowaniem lub zalaniem.

Skutki kradzieży lub zgubienia karty zbliżeniowej

Z o wiele poważniejszymi zagrożeniami wiąże się zgubienie lub kradzież karty zbliżeniowej – teoretycznie osoba, która weszła w posiadanie karty, może przeprowadzić maksymalnie 5 operacji kartą po 50 zł każda (w większości banków standardowy dzienny limit płatności bezstykowych wynosi 250 zł). Jednak - jak stwierdza Wojciech Boczoń, ekspert w dziedzinie bezpieczeństwa finansów osobistych - niekiedy te wartości są znacznie wyższe, o czym przeciętny klient banku może nie wiedzieć (w zeszłym roku z taką sytuacją mieli do czynienia klienci Alior Banku – zobacz tutaj).

W takim przypadku złodziej może bez większych problemów wyczyścić nam konto lub je zdebetować, a my nie tylko stracimy pieniądze, lecz również będziemy musieli zapłacić karne odsetki.

3 podstawowe zasady bezpieczeństwa kart płatniczych

1. Ustaw na karcie indywidualne dzienne limity kwotowe dla transakcji gotówkowych (wypłat z bankomatów) oraz dla płatności bezgotówkowych (płatności dokonywane w punktach handlowo-usługowych i w sieci Internet). W przypadku transakcji internetowych określ limit na poziomie 0 i zwiększaj go tuż przed zakupami. Upewnij się także, jakie limity na transakcje zbliżeniowe są faktycznie stosowane w Twoim banku. Pamiętaj też– jeżeli ta forma płatności budzi Twoje zastrzeżenia – masz pełne prawo z niej zrezygnować, upoważnia Cię do tego rekomendacja wydana w 2013 r. przez Radę ds. Systemu Płatniczego przy NBP. Zgodnie z zaleceniami Rady banki muszą umożliwić klientom wyłączenie funkcji zbliżeniowej na karcie płatniczej, a przede wszystkim poinformować go o takiej możliwości. Jeżeli funkcji zbliżeniowej nie da się wyłączyć, bank musi zapewnić klientowi kartę bez tej funkcjonalności.
2. Regularnie przeglądaj wyciągi i historię transakcji. Szukaj nietypowych operacji, np. serii drobnych transakcji na podobne kwoty, zakupów w sklepach, w których nigdy nie byłeś itp.
3. W przypadku kradzieży lub zgubienia karty bezzwłocznie ją zastrzeż. Postąp tak również wtedy, gdy masz uzasadnione podejrzenia, że PIN bądź dane karty zostały poznane przez osoby trzecie. Jeżeli nie znasz numeru telefonu do banku, możesz skorzystać ze specjalnej infolinii - 828 828 828 - dostępnej przez 24 godziny na dobę, 7 dni w tygodniu, z każdego miejsca na świecie (infolinia jest wspólnym dziełem kilkunastu banków działających w naszym kraju i pomogła już tysiącom Polaków).

Ważne! Zgodnie z polskim prawem z chwilą zgłoszenia utraty karty odpowiedzialność za przeprowadzone nią transakcje ponosi jej wydawca.

Posługuj się kartą rozsądnie i odpowiedzialnie

Bezpieczeństwo kart płatniczych w dużej mierze zależy od nas samych, od naszego rozsądku i przezorności. Nie ułatwiajmy więc złodziejom zadania, dbajmy o dane wrażliwe karty i zachowujmy podstawowe środki ostrożności podczas zakupów w sklepie lub wypłaty środków z bankomatu. Chrońmy środki na koncie ustanawiając dzienne limity transakcji i korzystając z oferowanych przez nas bank zabezpieczeń, typu usługa 3D-Secure lub wirtualna portmonetka. W przypadku kradzieży reagujmy błyskawicznie i natychmiast zastrzeżmy kartę. Pamiętajmy, że jeśli bank udowodni nam złamanie zasad bezpieczeństwa obowiązujących posiadaczy karty – nie mamy co liczyć na zwrot ukradzionych pieniędzy.