Sú platobné karty nebezpečné?
Názory na nakupovanie cez internet sa líšia. Niektorí platia cez internet bežne, ďalší len zadaním platobného príkazu cez banku, iní si trúfnu aj na priamu platbu u obchodníka. Je platenie cez internet nadmerné riziko alebo je riskantné mať čo i len vystavenú embosovanú platobnú kartu? Poďme si na príkladoch ukázať, ako je to s kartami a platbami, čoho sa obávať a ako minimalizovať riziko.
Karty a internet
Hneď na začiatku treba rozlišovať, o aké platby alebo služby z pohľadu banky v skutočnosti ide. Na to, aby ste platili cez internetbanking, nepotrebujete mať vystavenú nijakú kartu. Klasická karta môže mať dve hlavné podoby. Buď je embosovaná, a teda má reliéfne číslice a písmená, alebo ide o intendovanú čiže neembosovanú kartu. Líšia sa tým, ako ich registrujú vydavatelia kariet (Visa, Maestro, Mastercard, American Express, JCB, Diners Club...) a aké služby k nim banky poskytujú. Ak chcete platiť faktúry za telefón alebo akékoľvek iné platby namiesto poštových poukážok (poukážka nie je šek), postačí internetbanking (IB).
Príklad embosovanej karty: 1 - magnetický čip umožňujúci aj off-line overenie, 2 - číslo karty, ktoré zadávate pri platbe on-line, 3 - holografický prúžok ako ochranný prvok
Získate tak možnosť zaplatiť priamo z vašej banky, ale ak vykonávate medzibankový príkaz, nebude spracovaný ihneď. Čiže toto nie je vhodné na platbu za aplikácie napríklad v obchode Google Play alebo pri kúpe hudby či kreditov sťahovacích serverov. Závisí od obchodníka, či povolí tento postup, rátať treba so zdržaním v dĺžke jedného alebo dvoch pracovných dní. K účtu si bežne necháte vystaviť platobnú kartu. Tá je buď debetná, alebo kreditná. Aj keď sa to nezdá, zneužitie embosovanej karty je jednoduché a nepotrebujete na to extra znalosti. Pri on-line platbách stačí zadať číslo karty a kód CVC (Card Validation Code) či CVV (Card Verification Value). Je to trojčíslie na zadnej strane karty vpravo. Nevykonáva sa žiadna autorizácia, či platiaca osoba je zároveň majiteľom karty. Zneužitie karty je trestný čin, dokázanie úmyslu je druhá vec. Pozitívne je, že dnes je väčšina kariet poistená proti zneužitiu, a tak po dlhých reklamáciách máte šancu získať svoje peniaze späť. V bežnej realite teda stačí, aby si ktokoľvek odfotil prednú a zadnú stranu karty a cez internet ňou zaplatil. Donedávna ste embosovanou kartou mohli pokojne realizovať platbu aj v obchode. Skôr nezmysel predstavovalo podpisovanie dokladu o kúpe na základe podpisového vzoru. Našťastie dnes už sú terminály nastavené tak, aby požadovali PIN kód karty aj pri nízkej sume. Predávajúci totiž nie je grafológ, takže reálna váha posúdenia hodnovernosti podpisu je mizivá. Maximálne môže podľa mena na karte overiť, či kartou platí muž alebo žena, niekedy si predávajúci vypýta doklad totožnosti a kontroluje meno na karte a v doklade. Či je meno pravé alebo nie je, druhá vec, autorizácia PIN kódom je dostačujúca. Nedajte sa v praxi pomýliť kontrolou podpisov. Zisťovali sme, ako to v skutočnosti je, a pracovníci v obchodných reťazcoch to robia len na svoju ochranu. Nad každou pokladňou je totiž kamera a sú povinní „skontrolovať" podpisy. Iste sami uznáte, že pracovník za pokladňou, kde stojí v rade ďalších sedem čakajúcich, má poslednú starosť robiť ešte odborníka na podpisové vzory. Terminál nie je len zariadenie, ktoré si od vás pýta PIN kód, ale slúži aj na informovanie obchodníka. Vyskúšali sme platbu blokovanou kartou, pričom na termináli bola požiadavka, aby ju obchodník zadržal. Pani bola milá a kartu sme po vytiahnutí dostali naspäť.
Poplatky
Platobné karty sú pomerne veľká veda, ktorá je pre bežného používateľa vedľajšia, a tak sa o ňu až tak nezaujíma. Jedna vec je brand - značka karty, druhou je vydavateľ (zväčša banka), potom je obchodník, ktorý má nejakú zmluvu s vydavateľom, a až na konci je používateľ. Na ilustráciu: existujú karty, ktoré umožňujú autorizáciu podpisom len do určitého počtu platieb za isté obdobie, potom pýtajú PIN, sú karty, ktoré vyžadujú PIN, a nakoniec sú tu nebezpečné a stále hojne používané imprintéry. Z hľadiska technologického zabezpečenia je to slabý článok. Stretnete sa s ním v hoteli alebo reštauráciách. Je to otázka dohody o fakturovaní služieb medzi obchodníkom a bankou. Používateľ karty ako zákazník nevníma rôzne rámcové dohody medzi vydavateľom a obchodníkom, ale v konečnom dôsledku to v kolobehu finančného toku zaplatí on - na poplatkoch. Iste ste si všimli, že niektorí obchodníci nechcú akceptovať platby nižšie ako napríklad 5 eur, inde menej ako 150 eur. Opäť je to otázka zmluvy medzi dvoma stranami. Za každú transakciu totiž obchodník banke platí. Preto aj banky nabádajú na bezhotovostné platby. Majú z toho väčší zisk, a ak realizujete napríklad platby v hodnote 300 eur, máte vedenie účtu za polovicu. Peniaze, ktoré banke akoby chýbali na poplatku od vás, získa od obchodníka za prenájom a používanie terminálu POS. V rámci bezpečnosti treba spomenúť aj riziko, ktoré nie je priamo spojené s internetom, ale s možnosťou, že sa dostanete do nepovoleného prečerpania. V súčasnosti je už v niektorých bankách rozšírená možnosť bezkontaktnej platby. Je to fajn vec, no platby sú držiteľovi karty zúčtované niekedy až s odstupom troch dní. Niežeby servery nestíhali, toto je skôr naschvál. Platíte bezkontaktne malé sumy viackrát za deň a po pár dňoch zistíte, že ste minuli podstatne viac ako pri bežnej platbe.
Aj takto majú vyzerať korektné informácie pri platbe na internete
Ochrana kariet
Aby sme však neuvádzali len negatíva, karty v skutočnosti nie sú také nebezpečné. Ide o to, ako ich využívate a či máte aspoň základné poznatky o správnosti vykonávania transakcií a používania kariet v rôznych prostrediach. Spomínaný kód CVV alebo CVV2 je vlastne verifikačný kód, pričom sa nedá overiť, či je zadávateľ transakcie aj vlastníkom karty. Kód je výsledkom metódy šifrovania z údajov, ako je servisné číslo karty, jej platnosť a číslo. Bez tohto kódu sa na internete nedá použiť. Ďalší spôsob je 3D Secure. Túto technológiu a vôbec akúsi nadstavbu platobných kariet zaviedla spoločnosť Visa. Opäť ide o zabezpečenie transakcií, kde nemožno overiť, že platca je aj vlastník. Výhoda tohto spôsobu ochrany je v tom, že žiadne údaje nezadávate u obchodníka, ale priamo v banke. Buď ide o heslo, alebo u nás najčastejšie využívaný systém posielania SMS s jednorazovým kódom. Zistite si však, či vaša banka podporuje autorizácie cez 3D Secure.
Rady a tipy, ako sa chrániť
Ochrana vašich peňazí v konečnom dôsledku nie je veľká veda, stačí si vytvoriť správne návyky. Predovšetkým treba mať nainštalovaný a aktualizovaný antivírusový program. To je jednoducho nevyhnutný základ. Internetové prehliadače majú svoje spôsoby ochrany, ako identifikovať podvodné stránky obchodníkov alebo bánk cez detekciu cross site scriptingu a overovaním platnosti certifikátu.
Správny certifikát banky so všetkými náležitosťami na overenie pravosti stránky - zvýšená bezpečnosť je v tomto prípade riešená technológiou SecureCode od MasterCard
- Pri zadávaní citlivých dát a už aj pred prihlásením do IB treba použiť protokol SSL. Je vylúčené, aby ho legitímna banka nemala. Spojenie je šifrované, ak sa použije protokol HTTPS. Adresu vidíte v riadku prehliadača. Všetky položky musia byť korektné, používa sa zväčša kombinácia zelenej, červenej alebo žltej farby. Ako uvádzame na inom mieste PC REVUE, aj vy sami si môžete vystaviť vlastný certifikát, rovnako aj elektronický podpis, a to zadarmo. Nevýhoda je, že k nemu nedostanete potvrdenie o overení od autorizovanej certifikačnej autority, teda nezávislej organizácie overujúcej virtuálnu identitu s tou skutočnou.
- Používajte viacero kariet. Sú banky, ktoré majú vedenie účtu zadarmo. Stávajú sa tak ideálnym prostriedkom, ako ich využívať na internetové platby, a nemusíte platiť za ďalší účet. Ak si kupujete aplikácie na smartfóny alebo platíte cez internet za tovar alebo službu, je to výborné riešenie.
- Pri cestách do zahraničia je ideálne mať odlišnú kartu. Vyhnete sa tak napríklad podvodu s imprintérom (žehličkou). S tým súvisí aj všeobecná rada, aby ste kartu nespúšťali z očí. Buď príde čašník s mobilným terminálom za vami, alebo choďte s ním.
- Ak môžete, využívajte na platenie službu PayPal. Vyhnete sa zneužitiu vašej platobnej karty a ide o ideálny spôsob, ako pridať medzikrok pri vašej platbe cez internet. Spôsob platby cez PayPal musí podporovať obchodník. Ak sa bojíte zneužitia karty, zavolajte do vašej banky a nechajte si on-line platby zablokovať. Niektoré karty, naopak, treba na žiadosť odblokovať na platby on-line.
- Na akékoľvek nákupy on-line alebo čo aj len prevodné príkazy cez IB nepoužívajte verejné počítače. Takisto nepoužívajte firemné siete Wi-Fi, ktoré sú určené pre hostí. Bežne má firma vlastnú sieť pre pracovníkov a pre návštevy má tzv. guest sieť. Rovnako pri platbách cez internet nepoužívajte nechránenú sieť, aj keď ide o vašu domácu. Ak máte akékoľvek pochybnosti o stránke obchodníka, zvoľte radšej platbu pri dodaní tovaru kuriérom, hoci je to drahšie.
- Virtuálna karta len na internetové platby nie je o nič bezpečnejšia ako tá skutočná. Ide len o rozdelenie rizika na dve karty. Jednou teda platíte v obchode, druhou na internete.
- Nezadávajte čísla kariet do e-mailu, napríklad ako odpoveď na žiadosť banky alebo internetového obchodu. V e-mailovej správe vaše číslo nikto nemôže potrebovať.
- Nikomu neprezrádzajte PIN kód. To platí jednak pre pracovníkov vašej banky, ale aj pre políciu.
Verdikt PC REVUE
Podľa prieskumu spoločnosti firmy Javelin Strategy & Research nemá takmer polovica používateľov platiacich cez internet nainštalovaný antivírusový softvér. Zradná býva aj vysoká mienka o znalostiach používateľa. Mladá generácia má k počítačom a novodobým technológiám podstatne bližšie, čo paradoxne znižuje jej obozretnosť pri posudzovaní bezpečnosti. Zo štatistík vyplýva, že sú menej opatrní a viac ako na fakty a realitu skutočného zabezpečenia sa spoliehajú na vlastné zhodnotenie znalostí.
Pri platbách cez internet buďte veľmi rozvážni a dodržiavajte základné návyky používania kariet. Vtedy minimalizujete riziko odcudzenia peňazí. Na záver ešte jedna rada. Kartu, ktorú ste niekde zabudli a po istom čase našli, čo najskôr zablokujte. Nemusí byť zneužitá hneď, ale až o pár dní. V čase, keď si budete myslieť, že sa nič nestalo, môžete zistiť, že ste cez internet kúpili nový spotrebič :-).