3-D Secure to chała (nie po raz pierwszy)

mBank, prawdopodobnie najpopularniejszy bank wśród ludzi młodych (a może też i w średnim wieku), od kilku tygodni włącza zabezpieczenia 3-D Secure na kartach płatniczych. To dodatkowe zabezpieczenie, które wymaga potwierdzenia transakcji internetowych jednorazowym kodem otrzymanym SMS-em. Czy działa? Być może.

Już na grafice informacyjnej mBanku widnieje informacja, że „może pojawić się dodatkowe okno do wpisania kodu” (patrz obrazek powyżej). Może, ale nie musi. Okazuje się, że zabezpieczenia 3-D Secure, jak również limity kwotowe na kartach płatniczych łatwo obejść. Przykład? Limit na transakcje internetowe można ustawić na 0 zł, a Netflix i tak pobierze pieniądze za kolejny miesiąc, definiując transakcję  jak „przeciągnięcie kartą przez terminal płatniczy” (jakby posiadacz karty był na miejscu, w siedzibie firmy, a nie płacił za usługę przez internet). Ten i kilka innych przypadków opisuje Niebezpiecznik.pl.

Dodam do tego jeszcze swój przypadek, który został wyjaśniony przez mBank na dwa sposoby. Płaciłem kartą kredytową, starą = nie zbliżeniową, za… toaletę w Oslo. Wsunięcie karty do terminala wystarczyło, by pobrał parę koron bez jakiejkolwiek autoryzacji (nie miał klawiatury, autoryzacja nie była możliwa). Na moje pytanie do mBanku, jak jest możliwe skorzystanie z karty kredytowej bez autoryzacji, konsultant odparł, iż moja karta jest zbliżeniowa (choć nie jest), a transakcja została wykonana właśnie w ten sposób (mała kwota, czyli brak autoryzacji).

W odpowiedzi na reklamację pisemną mBank odpisał: „reklamowana przez Pana transakcja (…) przebiegła w technologii stykowej (chip-pełna) bez weryfikacji kodu PIN. Wynika, to z rzadkiej konfiguracji urządzenia oraz jego ograniczeń konstrukcyjnych. Tak skonfigurowany terminal płatniczy nie ma możliwości prawidłowego odczytania kodu PIN. Stąd też, rozwiązanie pośrednie, które ze względu na powyższe okoliczności jest akceptowane przez nasz system.  Nadmienię, że w sporadycznych sytuacjach, dopuszczalne jest wykonywanie operacji kartą bez konieczności potwierdzenia jej za pomocą podpisu lub kodu PIN. O podanie kodu PIN klient może zostać poproszony przez punkt, jednak nie każdy terminal będzie tego wymagał, ponieważ organizacje płatnicze – Visa oraz MasterCard jedynie zalecają, aby kod był sprawdzany”.

Zatem zabezpieczenie karty kodem PIN okazuje się jedynie zaleceniem – odpowiednio skonfigurowany terminal nie wymaga podania tego kodu. Podobnie technologia 3-D Secure jest jedynie zaleceniem – jeśli podmiot przyjmujący transakcję jej nie wdroży, transakcja nie będzie w ten sposób zabezpieczona.

Morał? Nasze wirtualne pieniądze tak naprawdę są chronione tylko wirtualnie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *