Dlančnik (PDA)

Poglejte polno različico : Nove bančne zlorabe.


alen123
09.05.2011, 23:00
Slovenske banke je zadel nov val bančnih goljufij. Kot uslužbenka ene od slovenskih bank sem se odločila posvariti ljudi pred novimi zlorabami osebnih računov, ki pa jih banke zaenkrat zanikajo, ker gre za neučinkovitost njihovih lastnih varnostnih sistemov.
Skupini dosedaj še neznanih računalničarjev je uspelo obiti bančne varnostne sisteme, tako da imajo dostop do nakazil z osebnih računov. Že poznane goljufije z bankomati so tokrat nadgradili in sicer gre za prenos zneskov z osebnih računov na zaenkrat še neizledljive off shore račune. Da pa je stvar še lepša, se transakcija zabileži kot dvig gotovine z bankomata. Predivdevnja govorijo da malopridneži nekako pridejo do osebnih varnostnih številk (PIN) bančnih ali kreditnih kartic nakar z vrhunsko narejenim programom opravijo transakcijo z vašega osebnega računa.
V večini primerov gre za zneske in bančne avtomate, ki ste jih dejansko že uporabljali. V sloveniji ali tujini.
Ker pa do sedaj še ni bilo primera kjer bi določen račun ostal popolnoma izpraznjen, pa banke namerno pripisujejo krivdo zlorabi posameznikove bančne kartice, oz. malomarnem upoštevanju varnostnih ukrepov posameznika, ker bi v nasprotnem primeru bili dolžni izplačati mankajoče vsote, saj gre za zlorabo njihovih varnostnih sistemov. Žal pa vsaj za enkrat osatja stvar nedokazljiva in tako celotno breme goljufije spet nosimo posamezniki. Edini način da se vsaj nekoliko uspemo zaščititi je, da čim pogosteje menjamo PIN osebne kartice.

V Sloveniji je bilo že čez 10.000 goljufij, čeprav je dejanska številka verjetno še mnogo večja, zato posvarite prijatelje in znance, da bodo pozorni. Ker nam žal naše lastne banke obračajo hrbte, si lahko poskušamo pomagati le sami med sabo!

Irina
21.05.2011, 23:06
Zanimivo, članka ni nihče komentiral, kakor, da se to nas ne tiče. In vendar je bilo opozorilo dobronamerno in nam bi lahko dalo vsaj misliti.

ebutaljib
22.05.2011, 16:38
V redu, če že hočeš komentar:

Larifari!

Vsemogočni
22.05.2011, 22:23
Zanimivo pa tudi to, da nihče od 10.000 ljudi v Sloveniji ne bere tega foruma zato se ne komentira!

nagy
30.05.2011, 11:19
Pozdravljeni,

preko emaila sem zasledil objavo na forumu...in moram odgovoriti, saj že lep čas nisem slišal za podobno bedarijo. Kvečjemu "vnesite pin v obratni smeri, pa bo prišla policija" se primerja s tem.

Torej, že v sami osnovi - nepridipravi ne morejo zamaskirati dviga gotovine v prenos med računi. Prenos med računi je nova funkcionalnost, ki jo trenutno moj sodelavec razvija in je na tržišču (pri nas) še nisem zasledil.

Da bi to delovalo, bi morali zlobni fantje vdreti v samo središče procesnega centra in raje ne bom začel naštevati, kaj vse bi bilo potrebno spremeniti, da bi to delovalo. Mimogrede "neizsledljivi" računi ne obstajajo, saj imajo vse banke svoje BIC ali pa SWIFT kode, tako da...tudi to je buča.

Gremo dalje, tudi z ukradenim PIN-om stežka uporabiš kartico. Zakaj? Ker ima na magnetni stezi zapisano vrednost, s katero POS terminal prepozna, ali ima kartica čip. Kartic brez čipa pa pri nas mislim da ne izdajajo več.

Če gremo korak dalje, POS terminal se da prepričati, da deluje zgolj z magnetno stezo (to je fallback, nekatere banke ga dovolijo, druge ne), bankomati kartice, ki ima čip, a ne deluje, ne sprejemajo. Skimmane kartice se uporabljajo v državah, kjer varnost ni na zaviljivem nivoju (govorim o upoštevanju PCI standartov in tako dalje).

Torej, ga. bančnica ima bujno domišlijo ali pa ima kdo 5min preveč časa, pa tipka nekaj v tri krasne.

Mimogrede, imam mednarodne izkušnje pri vodenju kartičnih projektov, tudi v Sloveniji in Srbiji sem pustil svoj pečat, nekaj časa sem delal za američane v procesnem centru kot tehnolog in razvijalec ter vodja projektov v terminalskem poslovanju (POS terminali), sedaj pa delam na razvoju bankomatov za slovenskega uvoznika. Samo toliko, da ne bo zgledalo, da nekaj nabijam.

Vsekakor je kartična varnost nekaj, kar je zavito v eno meglo, tudi na internetu žal ni veliko informacij, zato pa nas banke skušajo lupiti in prenašati odgovornost na nas...morda pa je čas, da se to spremeni :)

lp!

PS: menjavanje PIN-a? Dosedaj malopridneži še niso našli načina, da vdrejo v sam čip kartice in poberejo PIN. Seveda, v kartici se hrani zgolj kriptiran off-line PIN, pri nas pa je navada preverjanje preko online PIN-a, a o načinu kriptiranja ne bom izgubljal besed. Kogar zanima, si lahko prebere PCI standarde ter MasterCard in Visa regulacijo, ki jo diktirata. Pa še kak EMV dokument. Pri nas je proti kakšni Ameriki kartični svet mnogo bolj razvit in varen. Nič pa ne varuje pred človeško neumnostjo ali neukostjo, tu se namreč začne prvi korak varnosti.

nagy
30.05.2011, 11:27
Ah, še morda povzetek za vse, ki jih zgornja čreva ne zanimajo:

- izvajanje goljufij v zgoraj opisanem obsegu je praktično nemogoče
- kartična varnost pri nas je visoka, ampak banke nas lupijo zaradi nepoznavanja področja (naslednjič, ko vam na banki rečejo, da nimajo vpogleda...no, mene ne morejo za***avat:)

lp

AlbertIUM
06.06.2011, 22:13
Dragi Nagy,

ali drugače povedano - zaposleni bančnik - le pri kateri banki ? Napisal si toliko hvale o sebi in posredno varnosti bančnega sistema, da verjamem skoraj tudi v to, da "skimminga" v Sloveniji ni. Ali si že slišal za zlorabe bankomatov v Sloveniji ? Dvig denarja brez vtipkanja prave PIN kode s pretentanjem PINa ? Ali imaš odgovor, ker si strokovnjak tudi za bankomate, kako je možno dvigniti iz bankomata denar v petih sekundah in to trikrat zapored - trije dvigi v 15 sekundah ? Ali vas interno v banki obveščajo o aretacijah oseb, ki imajo v svojih avtomobilih tehnološko opremo s katero so v letu 2011 "dvignili" preko bankomatov že več kot 100.000 EUR denarja samo v Sloveniji (to je neuradna številka, prava je seveda veliko večja). Banke molčijo oz komitentom vbijajo v glavo , da so nepazljivo ravnali s PINi oz jih imeli napisane kar na zadnji strani kartic.Ali si slišal za bankomate brez kamer koliko jih je v Sloveniji ? Ali imaš statistiko koliko teh zlorab je bilo izključno na teh bankomatih ? Internet pa ti je tudi španska vasica? Vtipkaj "zloraba bančnih kartic" in videl boš celo nekaj video posnetkov kako lahko pretentaš PIN kodo na chip karticah ? PIN koda na chipu kartice je skupaj z EMV standardom zlorabljena že nekaj časa...banke pa niste v tem času naredile nič oz obdolžile ste komitente malomarnosti...Čakam tvoje odgovore Nagy...

nagy
07.06.2011, 06:02
Pozdravljeni AlbertIUM,

da razčistimo- ne delam v banki, delal sem v procesnem centru, sedaj pa za uvoznika bankomatov. Prav tako ne hvalim tehnoloških rešitev, ker bi lahko bile boljše, ampak glede na raven varnosti so ustrezne. Žal je tako, da banke (ok, da ne bom nepravičen, za eno lahko to zatrdim, za druge zgolj špekuliram) uveljavljajo višje stopnje varnosti v smislu PCI standardov le takrat, ko se približujejo skrajni roki, ob poteku katerih se liability shift nagne k njim, kar pomeni plačevanje penalov na vsako transakcijo. Pa še takrat se jim občasno bolj splača podpisati liability waiver (od MasterCarda ali Vise, recimo), ker imajo še zmeraj več dobička od transakcij, da jim ostane lep kup denarja. Vem iz prve roke.

Okoli skimminga pa ti sam v enem stavku povem, da mešaš hruške in jabolke. Oziroma naše (domestic) in tuje (foreign) kartice iz tujine (ok, čeprav imamo ON-US in OFF-US tudi v internem slovenskem prometu, pač odvisno od tega, ali si issuer in acquirer ali samo acquirer). Če ima neka X kartica samo magnetni zapis, potem je skimming možen. Če pa ti nekdo "sune" PIN, potem ti mora ukrasti še kartico. Je to možno? Šure. Ampak o tem ne teče beseda, kajne da ne?

Če bankomat nima omogočenega fallbacka, torej branja magnetne steze v primeru okvare čipa, potem skimminga ne more biti. In čipa se ne da skopirati, vkolikor mi lahko dokažeš drugače, ti zrihtam vso potrebno opremo, torej čitalec komunikacije med čipom in terminalom oziroma bankomatom, pa mi ti pokaži. S tem se namreč delajo Visa in MasterCard EMV certifikacije, ker se spremlja pogovor med kartico in terminalom. V specifike rešitev kriptiranja podatkov na čipu se ne nameravam spučati, ker so to poslovne skrivnosti. In Youtube postopke si lahko ogledaš še parkrat, vkolikor misliš, da gre tako enostavno. Ti prilimam en tak pogovor, pa mi poveš, kaj boš naredil z njim? Natanko nič, ker so gor samo podatki, ki ti neposredno ne koristijo. Ne, ne vidiš PIN-a v čisti obliki.

Če pa govoriš o skimmingu tujih, ne-EMV kartic, pa to ni stvar te diskusije, ker tu teče debata v smeri EMV in PCI standardov, ki zahteva uporabo čipa, online PIN-a (v skrajni sili tudi offline PIN-a) in tako dalje.

Tudi okoli kamer na bankomatih je tako, da so jih banke dolžne priskrbeti in one škrtarijo. So konkretni premiki v tej smeri, saj se bankomati opremljajo z njim (naši in tudi drugi). Vem iz prve roke.

Drugo vprašanje pa je, ali ti takšna slika romuna kaj pomaga. Okoli tega imaš pa dovolj člankov na internetu. Morda misliš, da boš videl soseda, kako ti bo sunil 300€ iz kartice?

Kako pa ljudje ravnajo s karticami in PIN-i pa ne bi izgubljal besed. Še dobro da obstajajo standardi za generiranje PIN-ov, saj 1234 ali 4321 niso ravno varni, tako da jih že ob generiranju izločijo iz procesa. Tudi ob menjavi PIN-a se (če seveda procesni center to podpira) unsafe PIN-i zavrnejo.

Da ne bo kakšne pomote, nimam kakšne hude želje opravičevati bank pri svojem početju, ker so predatorji. Ampak če mislite, da so zgolj banke krive, da se dogajajo zlorabe, pa se hudo motite. Če nekdo s skimmingom pobere iz računa komitenta, ki je doma nevem, v Skandinaviji, ker tam pač nimajo čip kartic, potem to oškoduje banko, oziroma zavarovalnico. V večini primerov pa višanje nivoja varnosti kartičnega plačevanja nosijo komitenti, ker se s tem opravičuje dvig cen bančnih storitev (se spomnite dviga uporabnine NLB Klika?)

lp

PS: AlbertIUS, vkolikor ne misliteuporabljati manj obdolžujočega tona, se na vaše pisanje ne nameravam več odzivati. Napisal sem tehnična dejstva, ki do določene mere delujejo v realnem svetu. Nekih buč pa mi prosim ne prodajajte. Če bi začel govoriti, kako potegajo stvari v kakšni Afriški državi ali pa kar konkretno v Ameriki, pa kakšni sistemi se ob tem uporabljajo, pa kakšne poslovne prakse, potem bi morda videli kontrast med nami in njimi. Ampak v to smer pa ne grem, navsezadnje nisem na zatožni klopi, samo obrazložiti sem želel, da verižni email nima nobenih konkretnih dejstev v sebi.

Morda pa je AlbertIUS vseeno vpisal PIN v napačni smeri, pa je prišla policija :rolling:

EDIT: pod tušem sem se spomnil, da sem pozabil dopisati dva stavka :)

AlbertIUM
07.06.2011, 22:34
Dragi Nagy,

se opravičujem , če je bil moj način pisanja preveč neposreden. Pač skrbim za svoje probleme , ki jih skušam rešiti. Glede skimminga je bila samo primerjava. Dejstvo je , da so lopovi izpraznili račun na mojih karticah na bankomatu brez kamere s tem , da imam kartice v denarnici, PIN kodo zamenjano na Maestro kartici pred letom in pol, Mastercard pa sploh nisem nikoli uporabljal na Bankomatu...denar do dnevnega limita pa je izginil....seveda banka pravi, da sem bil malomaren in sem PIN kode imel poleg kartice. Nekatere transakcije na bankomatu so bile opravljene v 5s, 8s in 9s kar je razvidno iz izpiska bankomata. Kako je to možno , če se samo prikaz zaslona na bankomatu pojavlja 4-5s ? Samo tako, da je nekdo s tehnologijo prevaral bankomat. Ali si bral na :
http://24ur.com/novice/crna-kronika/hekerja-ciljala-na-slovenske-bancne-racune.html
Skimming je preteklost.

Po informacijah policije so nekateri bankomati posebno tisti, ki so brez kamer zlorabljeni in takih naj bi bilo 30% v Sloveniji. Kamera pomaga identifikacijo v smislu, da denarja nisi dvignil ti ! Le zakaj nimajo bankomati IR kamer...saj se 92% vseh zlorab bankomatov zgodi ponoči ? Predvsem so ranljivi tudi informacijski sistemi NLBja in SKBja...kraja osnovnih podatkov o komitentih....nato pa zloraba na bankomatih. Kako ne vem. Če bi vedel bo odreagiral....ravno tako Policija. Banke po moji izkušnji z NLB zadržujejo informacije o zlorabah oz se gredo izvensodne poravnave samo, da zadeve ne pridejo v javnost. Glede na informacije , ki kapljajo iz Bankarta in Policije gre za prevaro EMV standarda na bankomatih brez uporabe originalnih bančnih kartic in PIN kode....PIN kode so zlorabljene na način DA/NE oz brez pravega vtipkanja PIN kode. Poglej si :
http://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/

Naslednja zadeva je vezana na vtipkavanje PIN kode v bankomat. Banke in Bankart pravijo : Ko vtipkaš tretjič napačno PIN kodo bankomat kartico zadrži.
Ali je to res ? Po moji izkušnji ni ! Saj so bile na izpiskih bankomata zabeležene trije napačni vnosi PIN kode ... kartico pa imam še vedno pri sebi. Nato pa banka trdi , da na nekaterih bankomatih morajo biti štirje napačni vnosi PIN kode. MALO MORGEN ?! Ali kaj veš vsem tem ?

Pozdrav,
Albert

nagy
08.06.2011, 06:54
Živ,

se mi je zdelo, da si med oškodovanimi in da zato burno reagiraš - povsem razumljivo. Te pa prosim, da razumeš, da jaz odgovarjam zgolj iz tehnološkega stališča po svojih najbolšjih virih in informacijah. In da ne zagovarjam nikogar!

No, ti bom skušal kar se da podrobno odgovoriti - z namenom, da ugotoviva, v katerem grmu se skriva zajec.

Skimming je preteklost, se strinjam, ampak v državah, kjer bančni sistemi niso razviti kot pri nas, pač ne. Banka pa mora zagotoviti, da kartica MasterCard, ki je izdana v republiki banana in je ustrezno certificirana - deluje tudi pri nas. Drugače ne bi bile možne raznorazne reklame o univerzalnosti tovrstnih kartic, MasterCard in Visa pa mastno računata za tovrstne projekte, certifikacije in tako dalje.

V prvem članku (24.com) gre za druge vrste napadov, ki s samimi karticami nimajo veze. Gre za vdor v elektronsko banko, nato sledi prenakazilo denarja. Če smem opomniti, nikjer ne piše, da so računi neizsledljivi, seveda pa je drugo vprašanje, kolikšen del denarja bodo organi pregona uspeli dobiti nazaj.

Kraja osebnih podatkov, ki ti lahko nato pomagajo pri vdoru v privatno banko ali pa morda pri določanju PIN-a pa so stara zgodba in se (po mojem mnenju!) tičejo enostavnih gesel, rojstnih datumov otrok, imen papig in tako dalje. Ogromno je že člankov na internetu o tem, izraz "social engineering je star že več kot 20 let, čeprav ga v tovrstni obliki še niso poznali. O tem se tu ne bi razpisal, ker pomoje ni predmet debate, gre za to, da ljudje uporabljajo predvidljiva zaporedja črk in številk za namen gesel. Po možnosti pa imajo še povsod enaka...

Sedaj pa k poslastici, k drugemu članku. Kot opombo bi dodal zgolj, da bi v primeru kakršnekoli zlorabe, EMV ali ne, zločinec potreboval vsaj magnetni zapis iz kartice. Kar pa je načeloma neuporabno. Na magnetni stezi je namreč zapisanih ogromno stvari, kot so določene v standardih. Ampak te same po sebi niso nevarne, PIN-a na magnetni stezi ni napisanega, ne v čisti obliki, ne v kriptirani. PCI standard prav tako predpisuje, katere zadeve morajo biti maskirane in katere ne itd.

Personalizacija same kartice je namreč stvar banke, ki se glede na svojo politiko odloči, katere tipe transakcij podpira itd itd itd - pomembno je, da se odločijo okoli varnostnih elementov, PIN-a itd. Tu je nivo varnosti visok. Ja, na kartici piše, da v treh napačnih vnosih PIN-a kartica reče - dovolj imam - in se zaklene. Ja, mikroprocesor se na sami kartici odloči, da ima dovolj. Se jo da odkleniti? Ja, imeli smo en tovrsten projekt, zadeva ni enostavna, vključuje marsikaj in postopek, ki smo ga interno razvili je "PCI compliant". Torej, dejansko varen, ker mora tudi infrastruktura ustrezati tem standardom.

Članek sam je zanimiv, ampak laičnemu uporabniku povsem nerazumljiv. Če mi dovoliš, bom komentiral samo alineje, ki so najbolj zanimive - hkrati pa zavajujoče.

the attack applies to cards used online (where the merchant POS contacts the bank) as well as offline;

ok, prelisičijo lahko bančni host, zanimivo

the attack works regardless of the amount of money spent (not just for small value amounts that are below floor limit);

floor limit je tista magična številka, pod katero lahko terminal brez klicanja na bančni host odobri transakcijo. Pri nas je praviloma 0, vse mora v online (tudi preko drugih mehanizmov)

the attack doesn’t work once a card has been cancelled by the bank — just like stolen cards in the past can only be used for a certain window of time once the cardholder discovers the loss;

tu ni nič revolucionarnega

the attack doesn’t work at ATMs (cash machines);

ha, le zakaj? O tem, da pri nas bankomati ne podpirajo fallbacka, sem že napisal. Dovolite mi špekulacijo.

Čip kartica ima magnetno stezo (fallback za primer okvare čipa). Pa se igrajmo in skopirajmo magnetno stezo (enostaven postopek). Tudi če jo povlečemo čez kak naš POS terminal (slovenski, ker večinoma poznam delovanje na slovenskem področju), bo terminal odreagiral in napisal - vstavi čip. To se kontrolira z eno izmed vrednosti na magnetni stezi, kjer piše, ali je kartica magstripe, ali pa nemara ima tudi čip. Pa dajmo še to spremenit, da bo terminal mislil, da je samo magstripe kartica - no, to pa bi morda šlo, vendar ima pri nas bančni host (konkreten, ki ga poznam) preverjanje, ali je kartica čip ali ne - in tako transakcijo bo zavrnil.

To bi v polnosti razložilo, zakaj tovrstna zloraba ne deluje na bankomatih, na POS terminalih pa - ampak to je stvar BANČNEGA HOSTA! Tam je potrebno preveriti, ali je izdana kartica čip ali ne in ali gre za fallback tip transakcije, ki jo banka podpira ali pa ne - stvar politike. (Se spomnite, ko sem govoril o liability shiftu in o penalih ne-forsiranja varne bančne politike? Neimenovani tuji banki je grozilo cca 25.000€ mesečnih penalov, ampak so bili še na meji, da se jim ni splačalo investirati v EMV projekt).

the failure applies to bank card schemes based on EMV – the most widely deployed standard for smartcard payments. Older national smartcard schemes may or may not be vulnerable; we don’t know.

To so očitno dokazali na EMV karticah, ki so dejansko najpogostejše - MasterCard in Visa sta med najbolj razširjenimi v tem segmentu (nista pa edina!)

Kje leži odgovornost? Na strani banke, naje*** pa uporabniki.

Denar so ti sunili iz MasterCarda na bankomatu. Predvidevam, da je bila čip kartica. Dvigi so se vrstili v zaporedju parih sekund? Razlaga tega je lahko zgolj, da so neznanci vdrli v bankomat, namestili kak software in nato je bankomat dajal denar neglede na to, katero kartico so vstavili. Katera znamka bankomata pa je bila? Pa pri kateri banki si?

Predlagam ti sledeče - na banki pridobi točen izpisek dvigov. Napiši dopis, v katerem jih pozivaš, naj ti demonstrirajo, kako je fizično možno v tako kratem intervalu porabiti dnevni limit. Manjkajočo kamero pa uporabiš seveda drugače, samo to njim ne bo všeč - ONI ti ne morejo dokazati, da NISI bil ti. Torej, odsotnost kamere pomeni liability shift v njihovo smer. Naj ti nedvoumno odgovorijo oziroma pokažejo sosledje transakcij. Če omenjajo, da je treba 4x vpisati napačen PIN, da se kartica zadrži, je to nenavadno, pri nas je magična številka 3. Bom povprašal okoli tega Ocvirka, morda naletim na kaj presenetljivega.

Skratka, če se je zgodilo kot si ti dejal, potem ti hoče banka podturit.

Ja, kot sem dejal...banke so predatorji.

lp :)

PS: en pomemben dodatek, glede zgornje metode uporabe ukradenih kartic. Lahko bi šlo tudi za izkoriščanje postopka "identifikacije" lastnika kartice. Vsaka kartica in vsak terminal imata spisek različnih možnosti, s katero preverjata identiteto lastnika kartice. Online PIN, offline PIN, podpis, kombinacije podpis + PIN (neobičajno sicer), klic na avtorizacijski center...

Glede na prioriteto na tej listi bi se lahko teoretično lahko skopiralo čip kartico, popravilo magnetni zapis, nato pa v odsotnosti online preverjanja čip-nečip kartica izkoristilo samo "podpis" kot identifikacijo. Ki na skopirani kartici jasno ni problem. Tudi to je scenarij, ki na bankomatih ne deluje!

lenchle
08.06.2011, 07:22
Mislim da Albert omenja, da eurocarda nikoli ni uporabljal na bankomatih-torej so mu denar sunili preko kartice maestro .

Sem totalen laik tule in se lahko samo čudim vsem izrazom , ki jih uporabljata, ampak se mi zdi res za lase privlečeno in neodgovorno od banke da trdi da nekateri bankomati dovoljujejo 4-kraten napačen vnos.

To, da pa je bilo tole narejeno v tako kratkih časovnih intervalih me pa bolj spominja na kako transakcijo preko interneta, saj fizično ni mogoče da bankomat reagira v tako kratkem času. In da policija ne more izslediti IPja

Bi rekla, da se je banka potuhnila ker ne skrbi za brezhibno in varno delovanje bankomata . Kako pa je pri nas z rednim čekiranjem varnega delovanja bankomatov ?

Albert, upam da si našel dobrega odvetnika...

nagy
08.06.2011, 07:32
Lenčle, lep pozdrav,

Maestro ali MasterCard - oboje sledi istim tehnološkim EMV smernicam (certifikacije, način uporabe čipa, personalizacije itd), tako da je moje predvidevanje za oba kartična produkta enako. Bankomat in spletna banka pa sta povsem različni stvari (razen dejstva, da na spletni banki vidiš dvige iz bankomata).

So pa tendence, da se preko bankomata preverjajo izpiski oziroma promet na računu komitenta. Razvili (pred mojim časom sicer) s(m)o kiosk z laserskim tiskalnikom (konkurenca caplja svetlobna leta za nami s termo papirjem:).

lp

lenchle
08.06.2011, 07:47
OK, obožujem Agatho Christie in Sherlocka, pa me čisto tako zanima: a se da priredit da preko spletne banke transakcija izgleda kot dvig z bankomata?

Jaz bi tu v ozadju vohljala za uslužbenci banke ali pa razvijalci, ki so delali na teh karticah in imajo znanje in vedenje kako pretentat sistem.

AlbertIUM
08.06.2011, 22:23
Nagy,

Hvala za izčrpnost in analizo. Znamka bankomata je bila Wincor Nixdorf od NLBja, moj račun in kartice so tudi od NLBja. Ali so res vsi bankomati v Sloveniji nadgrajeni z EMV tehnologijo ? Moje kartice imajo tako čip kot magnetni zapis izdane pa so bile v 2009. Pri obeh karticah velja , da če sem nakupoval v trgovini ali plačeval v hotelu mi ni bilo treba vtipkati PIN kode ampak samo podpisati. Dvig na bankomatih sem opravljal izključno z Maestro kartico in PIN kodo , ki je bila spremenjena v istem letu. PIN kode na Matercard kartici nisem nikoli uporabljal , spremenil pa tudi ne, saj se na kreditnih karticah Mastercard in Visa ne more spremeniti. Pomeni, da imaš PIN , ki ti ga generirajo in pošljejo iz banke. Kolikor vem je PIN kode potrebno vtipkati samo pri karticah izdanih pri NLB po 31.10.2010.
Ali mogoče veš kje se kartice Maestro in Mastercard izdelujejo ?
Kje se izdeluje chip za obe kartici, kje se generira PIN koda za posamezno kartico in kdo + kje združi PINkodo na chip in potem na posamezno kartico. Mislim, da je ključ rešitve v tem. Ali pa se motim ?
Še enkrat : obe kartici imam pri sebi, kar je bilo presenečenje tudi za policijo in banko. Banka je v pogovoru celo trdila, da je to nemogoče…ali so se zarekli ?

Zanimivo je tudi to, da policija od Bankarta dobiva dvoumne odgovore na zastavljena vprašanja in je policija že tretjič uradno oz pisno zaprosila za bolj konkreten odgovor. Po mojem razgovoru z odgovornimi osebami v banki pa je bilo zanimivo to, da so mi vsi izrekali malo manj kot sožalje…besede o možnostih zlorabe, morebitnih rešitvah, neugodnega zasliševanja, vprašanj, ki bi njim osvetlili zadevo pa ni bilo, ipd.…kot , da bi že vedeli kaj se je zgodilo in me čakajo , da grem v tožbo proti njim. Ni logike ! Dejstvo je tudi to , da po besedah policije banka ni stranka v postopku…policija pa bo zadevo predala tožilstvu šele takrat , ko bom uradno preko odvetnika tožil banko…pomeni, da bom vpogled v policijsko dokumentacijo dobil šele takrat. Premišljujem o tem , da le to naredim ne glede na stroške in kompletno zadevo spravim v javnost oz do novinarjev, ki znajo o teh stvareh pisati...seveda veliko bolj podrobno iz moje strani kot na tem forumu. Pa naj se potem banka ukvarja z novinarji, naj se banka ukvarja z menoj in s sodiščem. Mogoče je to s sodiščem mačji kašelj za banko…ampak vseeno upam, da bom preko tega in še kakšnega drugega foruma našel osebo, ki se mu je zgodilo podobno kot meni…takrat bo pa zanimivo še predvsem za NLB in prepričan sem tudi druge banke.

Bodi pozdravljen Nagy in še enkrat se ti oproščam za prvi moj nastop na tem forumu…hkrati pa upam še na tvojo strokovno pomoč oz mnenje vezano na opisane zadeve.
Pozdrav in lahko noč,
Albert

nagy
09.06.2011, 08:08
Ha, tudi sam ti lahko izrečem sožalje, ker si padel v kar hudo kašo, kjer se en zgovarja na drugega - ampak ti bom skušal pomagati, če smo se že toliko razpisali, pa se bomo še malce bolj.

Najprej glede vprašanja lenchle - ja, teoretično bi se lahko dvig gotovine izpisal kot bankomatska transakcija. Ampak to bi bila sprememba na takem nivoju, da bi moral biti dobršni del celotnega procesnega centra vpleten. V takem primeru bi lahko pisalo tudi "sajenje rož". Spletna banka v sami osnovi interpretira zapise v bazah podatkov, ki se polnijo iz povsem drugih virov.

Zaščite bankomatov pred zlorabami pa vsebujejo različne mehanizme. Ena je anti-skimming, to pomeni da ima bankomat senzor, ki zazna prisotnost tujka na reži za vstavljanje kartic. V tem primeru se (recimo naši bankomati) izklopijo in pošljejo sporočilo na procesni center, da vedo kaj se dogaja. Zaznavni čas tujka je cca 30sekund. Se pravi, v preteklosti so nastavljali čitalce magnetnih stez, sedaj je to onemogočeno. Rešitev naše bankomatske platforme je prejela par nagrad za uspešnost in tehnološko rešitev, tako da preverjeno deluje. Zazna (meni zanimiv podatek) plastiko,kovino in les. Swašta :angel:

To zaščito so še naknadno nadgradili z pleksi zaščito okoli ustja čitalnika kartic, da se onemogoči pritrditev tovrstnih skimming naprav. S senzorjem pa preverja, ali je zaščita prisotna in nepoškodovana.

Je pa nemogoče vedeti, ali je na bankomatu fizično nameščena kamera, s katero zlikovci vidijo vtipkani PIN. Je treba malce odpreti oči, ali je bankomat izpraven ali pa uporabljati bankomate, ki so v poslovnih enotah bank.

Bojazen, da bi prestregli PIN med vnosom v tipkovnico s spremljanjem komunikacije, pa je odveč - tipkovnice (v zelo veliki večini) so EMV in PCI compliant, zato je to že v sami osnovi interno kriptirano tudi med vnosom, pa tudi odpiranje bankomata ni trivialno. Se pa tudi nameščajo plastike, ki malce zaščitijo tipkovnico pred radovednimi očmi (tako kot na POS terminalih, plastika okoli tipkovnice).

Trenutno mi (seveda nismo edini) nadgrajujemo oziroma migriramo bankomate na IP, v tem sklopu se izvaja tudi nagradnja komunikacijskih poti, bankomati pa imajo (za naše vem, da vsi, za druge tudi špekuliram da v veliki večini) posebej vgrajeno alarmno centralo, tako da ne moreš kar odpreti bankomata, ne da bi kdo to hitro ugotovil.

Sedaj pa k konkretnim podatkom - večinoma se (no ja, vsaj za eno izmed bank vem zagotovo) pri nas naroča izdelavo EMV kartic v Oberthurju. Dvomi v njihovo strokovnost so odveč (no ja, čeprav smo preko emailo včasih naleteli na kakšno nelogičnost, ampak v splošnem vedo, kaj počnejo). Postopek generiranja PIN kod glede na kartice in nato (morebiten) prenos teh podatkov v banko ter tiskanje na zaprte kuverte - je varen. Vse je kriptirano, zloraba bi morala biti v zelo širokem obsegu, da bi ta stvar delovala.

Me pa zanima, kje točno si uporabil čip kartico in si moral podpisati zgolj izpisek iz POS-a - to namreč ni EMV, ampak predvidevam da so ali imeli ne-EMV POS terminal in so vlekli magnetni zapis ali pa je POS terminal banka v profilih nastavila jako čudno. To me pa zanima...upam, da se spomniš, kje se je to zgodilo. Tovrstno transakcijo namreč lahko mirno reklamiraš, da nisi bil ti. Ne morejo ti dokazati drugače (razen z kakim posnetkom kamere morda, liability shift pa je tu na strani ACQ oziroma banke)! EMV kartica na ne-EMV terminalih -> nočna mora bank, zato se mi to zdi toliko bolj čudno.

Da je banka rekla, da je nemogoče, da ti kartice niso sunili in da je prišlo do zlorabe pomeni, da imam prav - nekje drugje tiči zajec, ne v ukradeni kartici. Imaš ti kak odgovor Bankarta, ali vse dobiva policija? Kak pisen odgovor od banke?

Se pa strinjam s tabo - ne popusti. Banka oziroma procesni center imata popolnoma vse logirano, točno vedo kaj in kako se je zgodilo. Samo nahitro in potiho bi radi rešili zadevo, to je vse.

Kaj bi dal, za tele log-e tvojh transakcij :veryevil:

AlbertIUM
09.06.2011, 10:32
Vezano na tvoje vprašanje/odgovor :
»Me pa zanima, kje točno si uporabil čip kartico in si moral podpisati zgolj izpisek iz POS-a - to namreč ni EMV, ampak predvidevam da so ali imeli ne-EMV POS terminal in so vlekli magnetni zapis ali pa je POS terminal banka v profilih nastavila jako čudno. To me pa zanima...upam, da se spomniš, kje se je to zgodilo. Tovrstno transakcijo namreč lahko mirno reklamiraš, da nisi bil ti. Ne morejo ti dokazati drugače (razen z kakim posnetkom kamere morda, liability shift pa je tu na strani ACQ oziroma banke)! EMV kartica na ne-EMV terminalih -> nočna mora bank, zato se mi to zdi toliko bolj čudno.«

Še enkrat sem pogledal kartici : zlata Maestro je bila izdana 2007, zlata Mastercard pa 2009 obe imata chip in magnetni zapis. Na nobenem POS nakupu ni bilo nikdar potrebno vtipkati PIN kode, niti pri Maestro niti pri Mastercard kartici. Vse je bilo vedno na podpis brez zahteve po vtipkavanju PIN kode. Pin kodo Maestro kartice sem uporabljal samo za dvige iz bankomata. PIN kode pri Mastercard kartici nisem uporabil nikoli. Obe kartici pa sta bili zlorabljeni v časovnem zaporedju na istem bankomatu letos v nekaj minutah.

Aja : včeraj sem govoril z enim računalniškim genijem, ki me je zanimivo vprašal isto vprašanje kot ti : Ali veš katere blagovne znamke je bil bankomat ? Ali gre tu za tisto , kar sem omenil : da nekateri bankomati po 1.1.2011 niso bili nadgrajeni na EMV tehnologijo ali kaj drugega?
Ali je možno, da kartici ne podpirata EMV tehnologijo čeprav imata chip in lahko podatke iz »preslikajo« preko POS terminala in jih uporabijo na bankomatu?

Odgovore Bankarta dobiva samo policija. Jaz izvem samo verbalno saj vpogleda, kljub vezam, ne morem dobiti. Banka pa je na pritožbo odgovorila klasično kot odgovarja vsem nič otipljivega. Sem pa seveda na njihov odgovor poslal dodatna vprašanja, ki jih pričakujem v naslednjih 14 dneh…ali več. Že za prvi odgovor so rabili 40 dni čeprav piše v pravilniku NLB za pritožbe in reklamacije, da odgovarjajo v 15 dneh.

Ali kakšen bralec tega foruma ve kako poteka postopek pritožbe/reklamacij znotraj NLBja ? Baje so dve- tri stopnje potem pa prevzame oddelek za Reklamacije in pritožbe, ki je v stolpnici pri Cankarjevem domu. Kaj po potem ? Baje se lahko vključi tudi poravnalni svet bank Slovenije ali nekaj podobnega. Ali mi lahko kdo tu pomaga pri tem zaporedju postopka ?

Gremo naprej,
Albert

nagy
09.06.2011, 12:55
Hm, the plot thickens...mi lahko narediš uslugo? Pojdi v katerikoli Lidl pa kupi žvečilke. Pa mi poskeniraj slip pa ga prilimaj tu gor, da vidim...to je res čudno, da bi s tako kartico POS zahteval zgolj podpis.

Lahko bi prišlo do napake pri personalizaciji kartice ali nepravilno nastavljen POS terminal - ampak da se to ponovi na več koncih je pa izjemno čudno. Tu bi lahko celo rekel, da ima kartica lahko okvarjen čip ali pa zapis na čipu (to mislim pod izraz "personalizacija"). Ampak to so mejni primeri, čeprav so teoretično možni, nikakor pa ti ne moreš na to vplivati, kaj šele kriti banki zlorabo.

Kar se tiče EMV in bankomatov ter migracije le-teh...tu sem se malce izognil neposrednemu odgovoru oziroma komentarju glede določene znamke bankomatov, saj bi lahko moj odgovor bil zavajajoč. Za vrsto bankomatov, s katerimi se ukvarjam, lahko zatrdim, da so vsi EMV in PCI compliant, kar lahko dokažemo s certifikati in testiranji. Bankomati, ki ne uživajo tovrstne podpore proizvajalcev in so morda malce slabše zastopani v smislu tržnega deleža pri nas pa so lahko ne-EMV. Ne trdim pa, da je v tem primeru bilo tako, za to je premalo podatkov.

Če mi lahko prilimaš kak poskeniran slip (ali pa pošlješ posebej po mejlu), bi lahko odkril kak odtenek več. Še bolje bi bilo dva ali tri različne slipe iz zgoraj navedenih štacun (da ne bom delal reklame, poznam delovanje POS terminalske mreže v zgoraj naštetih centrih, pa mi je to seveda v pomoč, lani sem bil sem udeležen pri tem projektu).

Bi se pa znalo zgodit, da boš moral angažirati dobrega odvetnika...

nagy
09.06.2011, 14:51
Joj, ena pomembna stvar, ki sem jo morda malce pozabil poudariti - neglede na obnašanje kartice in moje špekulacije - to ne razloži dogajanja oziroma zaporednih dvigov na bankomatu

Moje osebno mnenje je tudi, da četudi se kartica s čipom obnaša kot magstripe (zaradi napake pri personalizaciji ali pa čudno nastavljenem terminalu) - tovrstni zaporedni dvigi časovno niso možni zaradi delovanja bankomata.

Kaj se vse človeku plete med kuho :)

lp

AlbertIUM
09.06.2011, 18:12
Pri karticah se nisva razumela oz nisem napisal , da sta kartici Mastercard in Maestro seveda bile takoj po zlorabi preklicani in od banke sem dobil nove, ki pa seveda vedno zahtevajo PIN kodo na POSu in npr. pri plačevanju v hotelu. Po uradnih podatkih z NLB ja so vse kartice izdane po 31.10.2010 take, da zahtevajo PIN kodo tudi na POSu. Prejšnji preklicani kartici imam pri sebi , če bo potrebno vključiti v nadaljnem postopku proti banki tudi sodnega informacijskega forenzika. Policija oz policijski informacijski forenziki so jih že pregledali in mi jih vrnili. Njihovih rezultatov pa ne bom dobil dokler ne tožim banke, kot sem napisal v enem od prejšnjih komentarjev.
Pomeni torej možnost, da starejše kartice (Mastercard in Maestro) izdane pri NLB pred zgornjim datumom ne podpirajo EMV nadgradnje bankomatov čeprav imajo chip (imajo seveda tudi magnetni zapis) oz za mene laika so kompatibilni z bankomatom in POSom lahko tudi preko magnetnega zapisa ? Kaj pomeni hibridna bančna kartica ?

Kuha osveži borbončice in možgančke...:)

nagy
10.06.2011, 07:10
Živ,

točno kateri kartici sta bili? V tvojem celotnem pisanju sem bil pod vtisom, da so to bile kartice s čipom, ki seveda zahtevajo vnos PIN kode (razen če je POS terminal nastavljen drugače, na bankomatu gre samo PIN).

Sodni informacijski forenzik ti tu ne bo kaj dosti pomagal - tudi če bo imel vpogled v vse sporne transakcije, mu verjetno kaj dosti ne bo jasno in bo prepuščen interpretaciji Bankarta in/ali banke.

Starejše kartice brez čipa pa so jasno ne-EMV, ampak jih EMV bankomati sprejemajo (zakaj je temu tako, je že napisano) in obdelajo, seveda pa so take kartice podvržene skimmingu, tako da tu pride do izraza anti-skimming zaščita na samem bankomatu.

To govorimo o kreditnih in debetnih karticah in dvigih gotovine - zloraba kreditnih kartic je bila v preklosti bolj vezana na internet (in v določeni meri še zmeraj je, zato je potrebno biti še posebej pazljiv, kam vpisujemo številko kartice ter varnostno številko iz zadnje strani. So pa napredki v smislu domačih čitalcev kartic, 3D secure itd).

lp

AlbertIUM
11.06.2011, 18:15
Hi Nagy,

sem bil odsoten in se zato nisem javljal...da, kartici , ki sta bili zlorabljeni in takoj ob ugotovitvi zlorabe preklicani (še vedno jih imam doma) imata obe chip in magnetni zapis. Zlati kartici Mastercard in Maestro sta bili izdani v 2009 in 2007 s strani NLB. Kadarkoli sem opravil nakup v Intersparu, Hervisu, turistični agenciji, hotelu ali kjerkoli v tujini mi NI bilo nikoli potrebno vtipkati PIN kode. Vedno samo podpis.
Ali to lahko pomeni, da kartici sploh ne podpirata EMV čeprav imata chip ?
Ali je to možno ?
tx,
Albert

nagy
11.06.2011, 20:50
Živ,

POS terminali, če so ali pa niso EMV, lahko transakcije avtorizirajo na različne načine, pač odvisno od mnogo reči (med drugim igrata glavno vlogo personalizacija kartice ter nastavitev POS terminala, kar je povezano s bančno infrastrukturo, ampak so lahko prisotni tudi ostali možni in nemožni dejavniki). Bankomati se tu obnašajo mnogo bolj enolično (in zanesljivo, kar se tiče EMV-ja). POS terminali pa so vedno bolj komplicirane naprave v smislu aplikacij in tu pa lahko nastanejo raznorazne vrzeli...a o njih ne smem pisati, iz treh razlogov - ker so bi kršil non-disclosure agreement trenutne in prejšnje službe, ker so avtorji ("strokovnjaki", ampak sodeč po njihovih besedah nimajo širše slike - dober primer je tisti članek, ki si ga posredoval, kjer zaključuje da je EMV zlomljen, pa je daleč od tega) teh besedil očitno laiki in iščejo publiciteto in ker ne bi rad polagal nevarnih idej v širni svet. EMV je varen, ampak je tudi kompleksen in včasih stvari vžgejo iz povsem nepričakovane strani. Ampak to so potem mejni primeri, ki obstajajo že zaradi matematične možnosti (pa jim recimo limite).

Po tvojem opisu sodeč sklepam, da je pri personalizaciji kartice prišlo do napake - lahko, da je bil čip okvarjen (na obeh karticah hkrati? Neskončno majhna možnost) ali pa da je bila to kakšna izmed prehodnih ali pa celo prvih izdanih kartic, ki še niso bile EMV, ampak so imele čip že integriran. To se je dogajalo pred mojim časom, točnih časov migracije NLB na EMV pa nevem, bom pa povprašal. Obnašanje, ki ga opisuješ, je pač značilno za magstripe only kartice. Čudno. Sem pa več kot enkrat prisostvoval NLB kartici, ki je kljub čipu zahtevala zgolj podpis - vendar sem takrat to pripisal ACQ POS terminalski mreži...moja poklicna deformacija je, da v Slo in v tujini gledam razne tipe POS terminalov (sedaj tudi bankomatov:) in jih tudi bolj podrobno prešlatam, če le imam možnost...čuda stvari je odklenjenih, a sploh kdo to preverja, pa je druga stvar...slabi tehnologi, najbrž, morda pa jih niti ne briga :)

Ampak - upam, da imaš kartici na varnem. Ker magnetni zapis nam lahko pove marsikaj. To, da je preklicana, zame ni noben faktor :)

Ampak tudi to ni nobena razlaga oziroma teorija glede zaporednih dvigov! Je pa nedvomno smiselno raziskati tudi ta aspekt.

lp

PS: par dobrih besedil okoli EMVja je na wikipediji - http://en.wikipedia.org/wiki/EMV. Zame nič novega, ampak je pa lepo napisano...veselo branje vsem, ki vas zanima

AlbertIUM
26.11.2011, 20:24
Pozdrav vsem,

minilo je skoraj 5 mesecev razčiščevanja z banko, policijo, Bankartom, Združenjem bank Slovenije, Zavodom za varstvo potrošnikov in še kom, ki jih trenutno ne bom navajal. V nadaljnjem tekstu bom skušal navesti dejstva in "floskule", ki sem jih doživljal v tem času razčiščevanja z zgoraj omenjenimi institucijami. S tem želi pozvati VSE, ki ste imeli vsaj malo podobne probleme, da se pridružijo z informacijami, ki lahko pomagajo k povrnitvam škode zlorab ter pomagajo najdi krivce oz pomagajo policiji ter nam, ki smo bili zlorabljeni. Pošljite le te zapise v vednost tudi prijateljem in znancem, ki so imeli zlorabe bančnih kartic na bankomatih. Banke (v mojem primeru NLB) ne bodo naredile ničesar, čeprav vedo kaj se dogaja (izhajam informacij zaposlenih v NLB in Bankarta) - Bankart je lastnik bankomatov in hčerinsko podjetje 100% povezane z banko.

Če ste prebrali predhodni zapis Nagya in Albertiuma je zadeva tudi zelo tehnična, kar marsikomu ni razumljivo.

Osredotočite se samo na vam poznane stvari zgornje komunikacije, ki jo morate prebrati, da boste razumeli zadevo (seveda brez tehničnih podrobnosti), kar pomeni : zlorabljene so bile kartice (vec kot ena) na enem in istem bankomatu čeprav PIN kod ni bilo nikjer ali ste PIN kodo na Maestro kartici celo spremenili in jo imate v glavi izključno vi…poleg tega pa ste zahtevali in dobili od banke izpiske USPEŠNIH in NEUSPEŠNIH dvigov ter ugotovili čudna razmerja dvigov ali vsote zahtevanih dvigov (uspešnih in neuspešnih dvigov) glede na časovno obdobje prvega in zadnjega dviga ali poskusa dviga. Originalne kartice pa imate še vedno pri sebi…banka pa vas je v prvem kontaktu nagovorila, da je to naredil nekdo od domačih : otroci, partner, mama, oče…

…banka in Bankart seveda zanikata kakršnokoli tehnično pomanjkljivost bankomata ali kartice in očitata visoko malomarnost z ravnanjem kartic in PIN kode in se distancirata od dogodka oz razjasnitve dogodka. Vi pa ste prepričani, da ne hodite v spanju in ponoči ne dvigujete v pidžami denarja na bankomatu... Vse to nima povezave z skimingom na način, kot ga poznamo v javnosti (nastavek na bankomatu za branje magnetnega zapisa in mini kamera , ki snema PIN kodo oz vaše tipkanje po tipkovnici bankomata)...
Po včerajšnjih obvestilih za javnost je bilo na osnovi skiminga zlorabljenih ogromno kartic NLBja na bankomatih v Ljubljani (Moste, Center in še kje...celo na bankomatu, ki je v NLB banki !! - več na internetu in današnji sobotni izdaji časopisja 25.11.2011 - Dnevnik zadnja stran in seveda na internetu) :

http://www.times.si/kronika/bankomati-spet-na-udaru-lopovov--47e18ce5d0.html

http://www.times.si/iskanje/?q=ban%C4%8Dne+kartice


podobno se je dogajalo tudi septembra na NLB bankomatu v Domžalah, oktobra v Centru in City Parku v BTCju na bankomatih SKBja in še kje...Bistvo vsega je, da banke in Bankart nič ne naredi za preventivo bankomatov ampak odreagira šele, ko je dosežena nepoznana kritična masa ljudi , ki so jim bile zlorabljene kartice.

Zakaj ne pregledujejo/vzdržujejo bankomatov redno pomeni večkrat na teden, če vedo , da baterija v pripomočkih za skiming zlorabo zdrži 2-3 dni ?
Zakaj vsi bankomati nimajo varnostnih kamer ?
Zakaj bankomati katerih dostop je možen tudi iz zadnje strani bankomata nima alarmnih naprav?
Zakaj nekateri bankomati niso bili pravočasno nadgrajeni z EMV tehnologijo?
Zakaj kamere, ki so na nekaterih bankomatih niso prilagojene na nočno snemanje vedo pa , da se večina zlorab na bankomatih zgodi ponoči ?
Zakaj banka vztraja , da so možni štirje napačni vnosi PIN kode predno bankomat kartico zadrži, če pa ima v svojih pogojih poslovanja, na spletni strani in v drugih dokumentih objavljeno , da po tretjem napačnem vnosu bankomat kartico zadrži ?

Vsa ta in še na nekatera druga vprašanja niti Bankart niti NLB banka nista odgovorila konkretno ali pa sploh nista odgovorila oz še več Bankart kot lastnik bankomatov je napisal dopis, da ne bodo več odgovarjali na vprašanja in naj jih dostavljamo izključno NLB banki, ker so se ugotovili kontradiktorni odgovori pri križnem postavljanju istih vprašanj NLBju in Bankartu. Policija to dobro ve vendar dokler banko ne tožiš ne moreš uradno pridobiti le teh informacij s strani policije. Pomeni npr.: na vprašanje Bankartu in NLBju "Kolikokrat lahko vtipkaš napačno PIN kodo na bankomatu predno bankomat kartico zadrži : trikrat ali štirikrat?" je bil odgovor DVAKRAT nasprotujoč tako s strani banke kot Bankarta. Ampak to je samo en od kontradiktornih odgovorov?

Takoj po zlorabi bančnih kartic na bankomatu sem odšel na matično enoto banke in napisal pritožbo in zahtevek za povrnitev škode. Banka je odgovorila šele po slabih dveh mesecih. Odgovor je bil izčrpen in zelo podcenjevalen. Najel sem odvetnika, ki je napisal pritožbo na drugostopenjski organ NLBja. Tudi tu je bil odgovor NLBja podcenjevalen in , kar je bistvo : niso odgovorili na 75% vprašanj, ki bi pomagale razjasniti zadevo. V tretji fazi smo skupaj z odvetnikom imeli sestanek na banki, kjer so me skušali pomiriti v smislu "saj to ni tako hudo« in začeli kaj vse slabega se dogaja na svetu...skratka popolnoma neprofesionalno, neposlovno in brez kakršnekoli vsebine, čeprav je bila poleg tudi odvetnik in vprašanja vezana izključno na njihove uradne informacije iz dopisov in objavljenih pogojev poslovanja. Odvetnik je NLBju poslal dodatni dopis z vprašanji s ciljem razjasnitve dejanj...odgovorov ni bil oz so bili ponovljeni odgovori iz prejšnjih njihovih dopisov, ki niso imeli veze s postavljenimi vprašanji oz še več...napisali so : "...ne bomo več odgovarjali na vaša vprašanja , ker smo na vse že odgovorili in glede na to, da ni nobenih novih informacij v zvezi z vašim primerom." ??!!

Kaj ? Kako ? Ali nisem jaz njihov komitent in ali jim res ni nič zato, da se primer razjasni in s tem onemogoči podobna dejanja zlorab za druge komitente in zavarovanje njih samih? Ali smatrajo, da smo potrošniki res tako naivni in brez moči ?

SEVEDA ! Dejstvo je, da je po informacijah , ki jih imam od zaposlenih NLBja in policije je prijavljenih policiji samo 5% zlorab bančnih kartic, ker ljudje preprosto obupajo zaradi časa, stroškov, občutka nemoči in zaradi zavarovanja svojih družin. Npr. zlorabili so vam bančne kartice/co na bankomatu v vrednosti 800 EUR. Ura posveta in pritožbo banki bodo odvetniki zaračunali 300-450 EUR. Nato vsak nadaljnji dopis, posvet ali skupni obisk na banki še dodatno po odvetniški tarifi (100-350 EUR)...in vsota zlorabe kartic je dosežena. Ni čudno, da policija tava v temi, saj že samo zaradi stroškov nas oškodovancev vse ostane pod zakritim okriljem banke in ljudje, ki ne prijavljajo policiji zlorab s tem omogočajo bankam, da manipulirajo s komitenti in javnostjo...z javno dostopnimi informacijami in uradnimi statističnimi podatki vseh zlorab.
In še to: policija ne more zahtevati podatkov od bank ampak glede na to, da je lastnik bankomatov Bankart lahko od Bankarta samo zaprosi (ne zahteva) za odgovore na vprašanja. Banka sploh ni stranka v postopku dokler jo ti kot fizična oseba ne tožiš ! Bankart pa je hčerinska firma banke… Vam je jasno??

Kaj pa sedaj ?
Obstaja še zadnja instanca pred tožbo banke. To je svet Združenja Bank Slovenije, kjer ima potrošnik oz komitent NLB banke (ali katerekoli druge) skupaj ali brez odvetnika še eno možnost pojasnitve zadeve in morebitno "mediacijo" oz možnost povrnitve stroškov zlorabe. Prvi občutki na zasedanju poravnalnega sveta so pozitivni, ko pa po končanem zasedanju ugotoviš, da … :

- so predstavniki banke prišli v sejno sobo vsaj 15 min prej predno je bilo napovedano zasedanje (jaz in odvetnik sva morala čakati na hodniku),
- tvoje dokumentacije, ki je na 85 listih člani združenja bank Slovenije sploh niso pogledali,
- predstavnica potrošnikov, ki predstavlja enega od članov združenja bank Slovenije v uro in pol dolgi razpravi nič ne komentira, ne postavlja vprašanj...skratka nič,
- po koncu seje vpričo mene in odvetnika člani združenja sveta bank Slovenije med seboj razpravljajo za koliko ur si bodo obračunali dnevnice,
- na koncu ob zaključku rečejo : "...vse , kar ste povedali vam verjamemo vendar, če bi vam to ugodili bi sprožili domino efekt... je pa zanimiv primer , ki je potreben nadaljnjega raziskovanja iz vaše strani."

...ostaneš nemočen, v efektu, norček, naivnež, sanjač… skratka rečeš si lahko samo : jaz sem "******", ker se spuščam tako daleč hkrati pa veš, da so »veseli«, da imajo lahko mene in še več takih za zapolnitev mojega in njihovega časa.

Zadeva gre naprej...na sodišče oz v tožbo proti NLB banki zaradi suma zlorabe bančnih kartic na način, ki je banki dobro poznan vendar ga NLB še ne spusti v javnost ali na policijo, ker še niso dosegli kritične mase zlorab nas komitentov in pritožb na policijo s strani nas naivnih občanov oz komitentov bank. Podobno kot je bilo pred približno 10-timi leti, ko se je pojavil skiming, ki so ga banke zanikale oz je bil takšen način zlorabe za banke nemogoč…(danes pa je standard za zlorabo kartic+ bankomata in banke niso naredile praktično nič za zaščito celo več, obveščajo komitente in javnost naj menjavajo PIN kode ; HALLO! na MASTERCARD in ostalih kreditnih karticah (VISA...) sploh ni te možnosti !?). Po dveh letih prvih pritožb zaradi skiminga pa je bila kritična masa prijav banki in policiji ter objav novinarjev ter blogovcev tako velika , da so banke preko policije morale le to zadevo spustiti v javnost - tudi to sem doživel..
....NADALJEVANJE JE SPODAJ V NOVEM ZAPISU...bil sem predolg...

AlbertIUM
26.11.2011, 20:25
NADALJEVANJE PREJŠNJEGA ZAPISA....

Kdo nam lahko pomaga, če ne sami in neprofitna združenja ter seveda dobri odvetniki, ki jim je do tega, da v resnici pomagajo nam potrošnikom/komitentom bank in jim je tak primer kot referenca, ko ga rešijo.

Zato prosim VSE, ki ste uspeli prebrati zadevo do konca in ste bili udeleženi v temu podobnih zadevah ali so bili udeleženi znanci, prijatelji, sosedje, kdorkoli... (po mojih podatkih so se nejasni dvigi iz bankomatov brez uporabe pravilne PIN kode začeli v Sloveniji v prvi polovici leta 2010) pišete na email :
albertIUM88@gmail.com

Zadevo bi rad predal tudi v Zvezo Potrošnikov Slovenije (www.zps.si,) vendar ne samo moj primer ampak več podobnih primerov. Glede na informacije, ki jih imam in konkretnih izkušnjah prijateljev so edini, ki se s svojimi pravniki/odvetniki upajo spustiti v boj z bankami oz se jim dogaja konkretno, ker vzamejo v bran običajnega občana/potrošnika, ki se mu je zgodila krivica ali pri nakupu izdelka v trgovini ali pri nakupu storitve.

Gremo naprej !

Po zakonu velja , da je zastaralni rok 3 LETA od prijave dogodka, kar sem prepričan, da je dovolj, da se razjasni zadeva z NLB in ostalimi bankami - ter upam, da bo na podlagi vseh zbranih informacij tudi policija našla kriminalce za nazaj in preprečila njihove aktivnosti za naprej.

Alb

AlbertIUM
26.11.2011, 21:09
Nagy pozdravljen,

če še bereš ta blog bi te prosil za informacijo vezano na tvoj zadnji odgovor :

Ampak - upam, da imaš kartici na varnem. Ker magnetni zapis nam lahko pove marsikaj. To, da je preklicana, zame ni noben faktor

Kaj lahko konkretno pove magnetni zapis , če ga dam v analizo forenziku ?

Hvala ,

Alb

AlbertIUM
08.12.2011, 13:22
Pozdravljeni,
hvala za komentarje in podrobnosti, ki mi jih pošiljate na mail. Prosil bi "Massaja" , da mi pošlje še svojo telefonsko številko, da ga kontaktira odvetnik. Oblikuje se predčasna slika, ki bo osnova za tožbo. Lahko samo rečem, da je zanimivo , da je 90% primerov , ki ste jih poslali povezano z NLBjem. Še enkrat poziv vsem , ki ste prebrali zgornji zapis in če ste bili deležni podobne zlorabe bančnih kartic na bankomatu , da se javite na mail :

albertium88@gmail.com

Po včerajšnjih zapisih v VSEH medijih v Sloveniji je skupno to , da zlorabe bančnih kartic na bankomatih naraščajo. Skiming v obliki kot ga opisujejo banke in policija je standard - ja na žalost - ker banke popolnoma nič ne naredijo za preventivo.
Zakaj so najpogostejša tarča zlorabe bančnih kartic bankomati , ki nimajo kamere ?
Ali imajo kriminalci notranje informacije ?
Zakaj banka oz lastniki bankomatov ne kontrolirajo bankomate večkrat na teden, da prepreči montažo ali odstrani morebitne skiming pripomočke ?
Zakaj bankomati nimajo kamer za nočno snemanje glede na to, da se večina zlorab naredi v mraku...ste opazili , da so zlorabe bančnih kartic na bankomatu večinoma v obdobju oktober-marec, ker je tema že od 17:00 ure dalje ?
Ste opazili, da na nobenem bankomatu ni številke kam poklicati, če je karkoli narobe vezano na vašo morebitno uporabo bankomata ?
Ali ste vedeli, da je najpogostejša zloraba bankomatov v območju Šiške in Most v Ljubljani ?
Ali ste vedeli, da banka s policijo sodeluje v "trojnih rokavicah" in jim ne posreduje željenih podatkov?
Zakaj banka posreduje podatke v javnost in na policijo teden dni ali več po ugotovljenih zlorabah bankomatov ?
Ali ste vedeli , da določeni bankomati v najetih prostorih iz zadnje strani niso zaščiteni, kar pomeni, da lahko do njih dostopate preko električne napeljave ?

To in še več sledi še naprej....,

Alb

yamamoto
08.12.2011, 19:37
Jaz sem bankomate nehal uporabljati že ob uvedbi provizij. :)
Zdaj jih bo pa še marsikdo. :angel: