Czy płatność kartą w sieci jest bezpieczna? – wyjaśniam

Beata Szymańska
Beata Szymańska
Analityk produktów finansowych
Beata Szymańska
Beata Szymańska
Analityk produktów finansowych

79 publikacji 145 komentarzy

W Moneteo specjalizuje się w analizowaniu produktów dedykowanych klientom firmowym oraz w tekstach poradnikowych przeznaczonych dla bankowych nowicjuszy. Oprócz tego zajmuje się aktualizacją danych i zmianami w bankowych ofertach.


Czy płatność kartą w sieci jest bezpieczna? – wyjaśniam
Spis treści

Płatność kartą przez Internet nie jest procesem skomplikowanym. Wystarczy wybrać produkt, przejść do koszyka zakupów, kliknąć wizerunek karty, którą posiadamy (może to być karta Visa, Mastercard, American Express), a następnie wpisać w polach formularza, który się pojawi:

  • 16-cyfrowy numer karty,
  • datę jej ważności (zwykle w formacie MM/RR),
  • zamieszczony na rewersie 3-cyfrowy kod zabezpieczający (CVV2/CVC2),
  • niekiedy również swoje imię, nazwisko oraz adres zamieszkania.

Ujawnienie kompletu tych informacji umożliwia zweryfikowanie naszej tożsamości online. Mówiąc innymi słowy – podając je, udowadniamy, że faktycznie jesteśmy właścicielami karty i znajduje się ona w naszym fizycznym posiadaniu.

Jest tylko jedno, za to zasadnicze „ale” - numer karty i kod zabezpieczający mają charakter poufny, to zaś oznacza, że powinniśmy je chronić przed dostępem niepowołanych osób… Nic więc dziwnego, że wielu posiadaczy plastiku zastanawia się, jak to jest z tymi zakupami online. Bank z jednej strony wymaga, abyśmy nie podawali wrażliwych danych obcym osobom, z drugiej – nie widzi nic złego w fakcie, że ujawniamy je internetowym sprzedawcom. Aby jednak wyjaśnić tę pozorną niekonsekwencję, musimy omówić kilka kwestii związanych z bezpieczeństwem karty.

W jaki sposób bank dba o bezpieczeństwo kart płatniczych

Zacznijmy od tego, że każda karta płatnicza posiada szereg zabezpieczeń, zarówno wizualnych, jak i elektronicznych, które mają ją chronić przed próbą fałszerstwa i niepowołanym użyciem. Zabezpieczenia te spełniają jeszcze jedną ważną rolę – umożliwiają weryfikację naszej tożsamości, od której z kolei zależy autoryzacja transakcji.

Przykładowo – takim zabezpieczeniem umożliwiającym przeprowadzanie transakcji w sklepach stacjonarnych jest Poufny Numer Identyfikacyjny (PIN). Tylko my wiemy, z jakich cyfr się składa, dlatego jeśli zatwierdzimy płatność za pomocą poprawnego kodu, bank zaakceptuje taką operację. Jednak w przypadku podania błędnego PIN-u płatność zostanie wstrzymana – system autoryzacyjny banku uzna, że transakcję zlecił ktoś, kto nie jest rzeczywistym posiadaczem karty i nie ma prawa jej używać. Znaczniej trudniejsza jest ochrona transakcji internetowych, podczas których nie podajemy przecież PIN-u. W takiej sytuacji podstawowym zabezpieczeniem plastiku przed niepowołanym użyciem jest personalizacja, czyli przypisanie karty do określonego klienta, banku i organizacji kartowej. Personalizacja obejmuje cztery komplementarne obszary: numer karty, kod CVC2 / CVV2, datę ważności oraz imię i nazwisko posiadacza.

Numer karty

Numer karty jest pozornie przypadkowym ciągiem 16 cyfr wytłoczonych na awersie Twojej „kredytówki” albo „debetówki”. Są w nim jednak zaszyfrowane rozmaite dane umożliwiające identyfikację wystawcy karty i rachunku klienta. Ostatnia cyfra – tzw. kontrolna – jest obliczana za pomocą specjalnego algorytmu i umożliwia sprawdzenie, czy dany ciąg cyfr został poprawnie wpisany.

To właśnie dzięki cyfrze kontrolnej oszuści nie są w stanie „podszyć się” pod posiadacza innego rachunku. Nawet jeśli wpiszą przypadkowy ciąg cyfr, licząc na to, że będzie on identyczny z numerem konta jakiejś przypadkowej osoby, którą sprzedawca obciąży płatnością za zakupy – algorytm błyskawicznie wyłapie takie nadużycie.

Kod weryfikacyjny CVC2 / CVV2

Także kod CVC2 / CVV2 stanowi zabezpieczenie przy transakcjach zdalnych, przy których nie ma możliwości zastosowania numeru PIN. Zostaje wygenerowany w oparciu o algorytm szyfrowania uwzględniający numer karty oraz datę jej ważności, ma więc unikalny charakter i nie da się go zastąpić przypadkowymi cyframi (co skutecznie uniemożliwia próbę oszustwa).

Kod CVC2 / CVV2 jest umieszczony jedynie na rewersie karty (tuż przy pasku do podpisu) oraz w systemie informatycznym banku - wystawcy. Nie pojawia się na wydrukach transakcji z terminali, nie wolno go też archiwizować w żadnych innych bazach danych.

Kod CVC2 / CVV2 – podobnie jak numer PIN – jest kodem poufnym i nie wolno go ujawniać osobom postronnym. Jeśli nie zastosujemy się do tej zasady i w wyniku naszej lekkomyślności dojdzie do nieautoryzowanej transakcji, bank może nam odmówić zwrotu pieniędzy.

Podawanie numeru karty kredytowej/debetowej niczym Ci nie grozi, o ile zadbasz o kilka szczegółów

Zwróć uwagę na to, że poszczególne zabezpieczenia transakcji online tworzą system naczyń połączonych i wzajemnie się uzupełniają. Aby płatność kartą doszła do skutku, musisz podać komplet wszystkich danych. Dla cyberprzestępców jest to duże utrudnienie, ponieważ jeśli nawet znają numer karty, lecz nie znają kodu – nie będą mogli podszyć się pod inną osobę.

Dlatego też właściciele sklepów internetowych muszą dołożyć wszelkich starań, aby kod weryfikacyjny był należycie chroniony. Przede wszystkim – nie mogą go zapisywać ani przechowywać (kod może być sprawdzany jedynie podczas transakcji). Za złamanie tej zasady grożą bardzo wysokie kary pieniężne, a nawet całkowita utrata możliwości akceptowania płatności kartami.

Reasumując, nawet jeśli dojdzie do kradzieży bazy danych sklepu, przestępcy mają dostęp jedynie do numeru karty, jednak nie znają pozostałych zabezpieczeń.

Po drugie – sprzedawcy działający w Internecie muszą zagwarantować swoim klientom bezpieczną transmisję danych. Mówiąc innymi słowy, nie mogą dopuścić do sytuacji, w której wrażliwe dane karty zostaną przejęte przez hakerów podczas przesyłania informacji drogą elektroniczną. Podstawowym narzędziem, które umożliwia taką ochronę, jest certyfikat SSL (Secure Socket Layer). Umożliwia on szyfrowanie danych i chroni ich integralność podczas transferu.

Reasumując, podawanie numeru karty kredytowej/ debetowej powinno mieć miejsce tylko i wyłącznie na stronach szyfrowanych. Rozpoznasz je po tym, że ich adres rozpoczyna się od https:// (zamiast http://), a w oknie przeglądarki widoczna jest ikona zamkniętej kłódki. Aby zweryfikować tożsamość serwisu internetowego, możesz również przejrzeć informacje o certyfikacie, który dostępny jest po kliknięciu na ikonę kłódki.

Kiedy udostępnianie numeru karty kredytowej/debetowej wiąże się z ryzykiem?

Twoją czujność powinna obudzić sytuacja, w której sklep prosi jedynie o datę ważności karty albo jej numer. Jak już wiesz, żaden system transakcyjny banku nie zatwierdzi takiej niepełnej informacji, ponieważ nie będzie mógł zweryfikować Twojej tożsamości, dlatego możesz być pewny, że trafiłeś na oszusta, który próbuje wyłudzić od Ciebie poufne dane.

Może też się zdarzyć, że po dokonaniu płatności zadzwoni do Ciebie pracownik banku (albo pracownik sklepu) z prośbą, abyś raz jeszcze podał informacje konieczne do przeprowadzenia transakcji. Z reguły takiej prośbie towarzyszą wyjaśnienia, które mają Cię przekonać o słuszności takiego kroku (np. podczas dokonywania płatności doszło do niespodziewanej awarii serwera, Twoje dane zapisały się tylko połowicznie, to zaś uniemożliwi wysyłkę towaru).

Pamiętaj, że autentyczny konsultant banku (a tym bardziej pracownik sklepu) nie ma prawa pytać Cię o takie kwestie, jak numer i data ważności karty czy kody weryfikacyjne. W takiej sytuacji możesz być więc pewien, że masz do czynienia z cyberprzestępcą.

Wiele oszustw internetowych składa się z kilku etapów i polega na stopniowym zdobywaniu poufnych informacji. Przykładowo: oszust najpierw poznaje Twoje dane osobowe (ich źródłem może być np. nielegalna baza danych). Następnie przesyła Ci wiadomość z linkiem, w którym jest zaszyte złośliwe oprogramowanie i zyskuje kontrolę nad Twoim komputerem. Dzięki temu „widzi”, w jakich sklepach robiłeś zakupy i może przypuścić kolejny atak. Abyś jednak nie nabrał podejrzeń, kolejne próby wyłudzania danych karty mogą być znacznie rozciągnięte w czasie.

Jak zadbać o bezpieczeństwo płatności internetowych?

Jeśli uważasz, że podawanie numeru karty kredytowej/debetowej podczas transakcji w Internecie jest mimo wszystko niebezpieczne, zawsze możesz skorzystać z kilku metod, które utrudnią życie oszustom.

Po pierwsze, kupuj tylko na stronach, które akceptują usługę 3D-Secure polegającą na dwustopniowej weryfikacji właściciela karty (podczas płacenia za towar musisz wprowadzić nie tylko wrażliwe dane swojej „kredytówki” albo „debetówki”, ale też otrzymany z banku dodatkowy kod autoryzacyjny).

Po drugie, dokonuj płatności tylko na domowym komputerze z dobrym oprogramowaniem antywirusowym, unikaj kafejek internetowych i ogólnodostępnych darmowych sieci, np. w galeriach handlowych.

Po trzecie, ustaw na karcie indywidualne dzienne limity kwotowe dla płatności bezgotówkowych online.

Możesz też podpiąć kartę do tzw. wirtualnego portfela (Visa Checkout, Masterpass) bądź wybrać jako metodę płatności Google Pay, Apple Pay lub Blika (o ile sklep udostępnia taką możliwość).

Jak więc widzisz, masz wiele różnych opcji, by ochronić swoje pieniądze przed zakusami hakerów. Pamiętaj jednak, że nawet najlepsze zabezpieczenia niewiele Ci pomogą, jeżeli będziesz postępował lekkomyślnie. Dlatego kupując w sieci, zwracaj uwagę na różne szczegóły – zwłaszcza na certyfikat bezpieczeństwa na stronie sklepu oraz oferowane metody płatności. Jeśli jedyną metodą zapłaty jest płatność kartą, a do tego sklep nie wdrożył usługi 3D-Secure – na wszelki wypadek zrób zakupy gdzie indziej.

Oceń artykuł
4.9
(8 ocen)
Aby oddać głos, wskaż odpowiednią liczbę gwiazdek.
Dziękujemy za Twój głos Dziękujemy za Twój głos

Komentarze

(0)
Dodaj swój komentarz...
Nie ma jeszcze komentarzy
Skomentuj jako pierwszy