[RCC]

[Janis]

Saad poole milliga üle ja lähed meediasse seda kuulutama?

[BA79]

napoleon, Parandan ennast veidi. Sissetulek on väiksem kui kolmekohaline 9-ga algav number.

Hmm jah. Need suurte numbritega pettuste uudised kõlavad umbes samamoodi nagu suurte lotovõitude uudised. Minu tutvusringkonnas pole mitte keegi, kaasaarvatud mina, saanud suurt võitu a la' 1000 ja ülespoole, kuni Eurojackpoti peavõiduni kümnetes miljonites... Ometi meedias kirjutatakse aeg-ajalt kuidas keegi kas veebist või terminalist ostetud piletiga miljoneid võidab.
Minu enda suurim võit on olnud ca 20€. Ma isiklikult arvan, et tõenäosus võita rohkem kui 100 000 on suht võimatu. Suurem tõenäosus on, et saab mingi 5000-20000€ aga neid kümnetes miljonites võitude loosimine tundub ikkagi kahtlane, kas reaalselt neid välja loositud on. OK ma saan aru, et privaatsuse ja julgeoleku kaalutlustel Eestis nimesid ei avaldata, aga tegelikult peaks see siiski olema läbipaistvam. Samas ma pole kindel, kas USA lotomiljonärid ka päriselt miljonärid on. Võidakse vabalt ju maksta mingi motiveeriv summa a la' 50 000 selle eest, et õnnelikku jackpot'i võitjat mängida, kes poseerib nt 50 miljonilise tšekiga. Tegelikkuses ei saa avalikkus seda kuidagi kontrollida kas ja kellele need võidud välja maksti. Ma ise ka põhimõtteliselt enne ei usu, kui mina või keegi mu tutvusringkonnast või lähisugulastest suurema võidu koju toob.

[Janis]

McMillions

[Tanel]

https://arileht.delfi.ee/artikkel/120419057/raagi-eesti-keeles-voi-pane-kone-kinni-telefonipetturid-oonestavad-usaldust-nii-kullerite-politseinike-kui-ka-pangatootajate-vastu

[MatchMaker]

[Betamax]

[Mnator]

need kahtlase klikilingiga e-mailid tuleks massiliselt cert.ee saata edasi kui potentsiaalsed petukirjad
ehk see paneks nende juurutajatele veidi aru pähe

[pppd]

miks sa certi kiusata tahad, ilmselt lähevad kõik sellised teated kohe "false positive/user error" kasti ja töötaja, kelle ülesandeks on esmataseme filtrit teha, kaotab igasuguse usu inimkonda ning kukub iga päev punkt kell 5 pudelisse. Geniaalsed ärihundid ei kuula kedagi peale iseenda, ei oma infoturvet ega ka mingit näkast certi, nende asi on kliendi käest raha kätte saada.

[napoleon]

[woox2k]

[Tanel]

https://www.postimees.ee/8368963/kelmid-said-oopaevaga-saagiks-ule-40-000-euro

[Tanel]

https://elu24.postimees.ee/8369136/krediitkaardi-teinud-meest-tabas-hommikul-halb-ullatus-telefoniekraan-oli-tais-panga-teateid-ulekannetest-mis-minu-kaardilt-tehtud

[napoleon]

Kuidas see võimalik on? Kaardi nr on üsna pikk. Lisaks CVV2. Üsna raske huupi proovides pihta saada + mingi kaitsemehhanism peaks ka ju rakenduma brute-force puhul.

[BA79]

Korra annad CVV koos kaardiandmetega valele saidile (kahtlasele telefoniäpile) kui andmed lekivad ja siis hakkab broneeringuid tulema. Seepärast ongi soovituslik toimida kahel viisil: Kas paned kaardile limiidi selle ühe ostu sooritamiseks või teed virtuaalkaardi samamoodi väiksema limiidiga. Siis nii, et raha saab broneerida ainult selleks konkreetseks tehinguks- korduvad katsed enam läbi ei lähe.
Abonementpõhimõttel (Subscription) debiteeritakse korduvalt, aga sellise teenuse ostu puhul tavaliselt peab tarbija olema teadlik, et nt arveldusperioodiga üks kuu, läheb igal kuul kokkulepitud summa maha. Kui inimene seda endale enne siduvat klikki tegemata ei teadvusta siis on ta kas äärmiselt rumal või ei oska keelt, et aru saada (Teenuse osutamise tingimused on alati enne lepingu sõlmimist kättesaadavad ja loetavad ennekõike inglise keeles kui on tegemist rahvusvaheliselt kättesaadava sisuteenuse või ostu-müügi kanaliga). Seepärast ongi nii, et enamike teenuste puhul on vanuse alampiir (alates 18) või kui tegemist on alaealisele suunatud teenusega (nagu nt Roblox) siis peab vanem andma enda nutitelefoni vahendusel nõusoleku.

[napoleon]

BA79, kas artiklit lugesid? Väide on, et uus kaart ja kuhugi pole andmeid jaganud. Ma natuke kahtlen selles kuna ei kujuta ette kuidas see võimalik saaks olla. Täieliku paranoia korral mõne variandi suudaks välja mõelda, aga jah, selleks peab see paranoia ikka suur olema.

[BA79]

napoleon, Paljud väidavad, et pole kunagi midagi jaganud, aga kui äpi paigaldavad ja sellele ka kaardiandmed sisestavad, siis on tegelikult teadlikult ignoreeritava tõsiasjaga, mis on suure tõenäosusega lihtsalt enesekaitseks meelega mainimata jäänud. Mul kunagi ühtedel tuttavatel oli nii, et andsid lapsele oma telefoni, installisid mänguäpi ja Google Pay'ga oli seotud ka vanema pangakaart. Mõne aja pärast läks installitud mängu eest raha maha (Kas upgrade vms, ei tea- paljudel juhtudel on install tasuta, aga järgnev upgrade ehk n.ö Pro versioon on tasu eest nagu paljud äpid rakendustepoes saadaval on).
Ma ei tea, kuidas Androidis virtuaalne rahakott toimib,kas on PIN, sõrmejäljega kinnitamine aga mul endal on nt Swedi ja LHV deebetkaardid Apple Walletis. Pole kunagi juhtunud, et ise kuskil midagi maha läheb, seda lihtsalt sel põhjusel, et ma ei installi igasuguseid äppe App Store'st ilma veendumata, et see on päriselt tasuta ega ole scam. Nt on mul LG Thinq, Bolt, Owlfiles, FTP Manager. Osa neist pakub upgrade ehk Pro versiooni aga ma ignoreerin pakkumisi ja seega ei osta. Ilma minu loata pole veel kuskilt raha maha läinud (Walletiga maksmisel nt poes, kasutades telefoni NFC funktsiooni, pean tehingut kinnitama Passcode'ga). On ka App Stores imelikke äppe müüdud a la' kasuta telefoni kaamera välklampi pulssoksümeetrina- Need on küll puhta scamid ja kui inimene ratsionaalselt ega loogiliselt mõelda ei oska ning installibki suure raha eest selle, siis on ise süüdi ja lisaks sellele riskib sellega, et debiteeritakse korduvalt. Selliste äppide puhul on isegi turvalisem see kaart mille andmed scammerile anti, üldse sulgeda ja tellida uus ning järgmine kord olla targem. Samas kõige turvalisem on muidugi, kui telefonis kaarti digitaalkujul üldse mitte hoida. Kui pole kaarti, mida kuritarvitada siis ei ole ja nii on. Samas siis tekib teine oht, et kui kaardiga osta läbi arvuti veebibrauseri siis võib samamoodi petta saada kui ratsionaalselt ja külma peaga mitte mõelda ega veenduda tehingu ohutuses.

Kui on uus kaart ja see on sisestatud telefoni digitaalsesse rahakotti siis seda peab olema inimene ise teinud ükski pank ega äpp ei saa iseseisvalt neid kaardiandmeid kusagilt kopeerida ega äppi sisestada- üldistatult, ei sihi konkreetset juhtumit- tavaliselt kipuvad sellised ebameeldivad seigad tekkima siis kui inimene nt alkoholijoobes midagi telefoniga teeb, aga hommikul midagi "ei mäleta" ja siis ajab tagasi. Ma olen ka alkojoobes nt mobiililotoga lotopileteid ostnud, aga ma mäletan seda ja ei hakka järgmisel päeval kelbast ajama, et "ma pole ostnud!". Teadlikult tehes inimene enne mõtleb kui teeb. Kui on emotsionaalselt üles köetud, eriti alkojoobes, võib ka terve palga online kasiinos maha mängida.
Üks asi veel, et uut kaarti ilma aktiveerimata kasutada ei saa. Üks asi on, et kaart tuleb aktiveerida internetipangas või mobiilse seadme pangaäpis. Lisaks peavad ka internetiostud lubatud olema. Vist Swed vähemasti nõuab et inimene ise lükkaks veebiostud sisse, vaikimisi vist on keelatud (võin eksida siinkohal). Mitteaktiivset kaarti ei tohiks üldsegi mitte olla võimalik kasutada isegi inimesel endal kellele see kaart väljastatud on.
Artiklit lõpuni lugeda ei saa, see maksumüüri taga, aga mul pole tasulisele sisule ligipääsu ega kavatse seda ka kunagi osta, ennekõike seepärast, et Eesti meedia kipub olema kallutatud, ajakirjanikud on uudiste ja sündmuste kajastamisel manipuleerivad ja sugugi mitte erapooletud.

[Janis]

Sa ei anna kunagi kuskile leheküljele oma kaardiandmeid ju kui makset teed.

[napoleon]

Nojah, aga artiklit vist ikka ei lugenud:

[BA79]

Janis, On maksevahendajaid kes küsivad kaardiandmeid ja arve koostamiseks nõutakse ka elukohaandmeid, tõsi keegi paberarvet teiselt poolt lompi kliendile koju saatma ei hakka sest üldiselt saab ostuga kaasa .pdf formaadis arve, mis saadetakse kas ostja meilile või saab ostja selle oma kontol pärast alla tõmmata ja trükkida välja siis kui seda vaja läheb. Paljudes välismaistes portaalides ja sisuteenuste makseväravates ongi makseviisidek Paypal, krediitkaart, mõnel juhul ka IBAN pangaülekandega tasumine. OK samuti pakutakse ka nt Apple Pay'd või Google Pay'd aga üldjuhul makseviis väga probleemi olemust ei muuda sest need alternatiivsed maksemeetodid on ka enamasti füüsilise pangakaardiga seotud. Paypal muidugi selles mõttes natuke erineb, et sellele võib lisada raha ja siis debiteeritakse. Paypal kontolt, mitte kontoga seotud kaardilt (kui selline säte Paypal kontoseadetes on sisse lülitatud). Üksikud pakuvad ka krüptos maksmist. Kõige tähtsam moment on see, et ostja peab ise veenduma, et sisuteenuspakkuja on autentne ja turvaline.

napoleon, Me ei saagi seda väidet kuidagi kontrollida, aga ma ei usu, et pank kaardiandmeid kuhugi lekitab. Uus füüsiline kaart tuleb telefoniga kasutamiseks (kuidas muidu see Erki neid teavitusi saab konkreetselt selle kaardiga tehtud tehingute kohta) ise lisada, automaatselt ei tohiks kaart telefoni rahakotti sattuda. See tuleb käsitsi lisada, kas kasutades telefoni kaamerat või siis tippida kaardiandmed nõutud väljadesse. Teine ja ainus võimalik seletus on see, et kaardiga ikkagi on arvuti vahendusel midagi tehtud, aga kui inimene väidab, et pole siis seda väidet ikkagi kontrollida me ei saa.

Me olime sõpradega kord koos ja mis telefoniga katsetades välja tuli on see, et Google Gemini AI on võimeline kasutaja telefonis teatud funktsioone kasutama iseseisvalt ilma inimese sekkumiseta. Tegi kasutaja nõudmisel foto ja helistas käsu peale konkreetsele numbrile, lülitas välklambi sisse ja seadistas äratuse. Sisuliselt nagu Siri või Alexa ent palju funktsionaalsem. Kui siit edasi fantaseerida siis sisuliselt teoreetiliselt on küll võimalik, et tehisintellekt aktiveerib kaardi, aga tehniliselt peaks see siiski olema välistatud sest kaardi aktiveerimiseks peab sõlmima kaardi kasutamise lepingu ja seda peab kinnitama mID või Smart-ID PIN2'ga. Ja siit omakordi koorubki välja tulevikuoht, et mida rohkem tehisintellektile telefonis õigusi anda seda riskantsemaks telefoni kasutamine tegelikult muutub.

[laurx]

Ta võttis kaardi selleks, et saada tervisekindlustust. Ta ei kasutanud seda kaarti ..
Kui sa pole kokku puutunud siis pangad kohati võimaldavad vastutasuks nende mingite toodete kasutamise eest mingeid teisi teenuseid kasutada. Kunagi oli american express kaardiga ostetud tehnikale mingi kindlustus automaatselt mis katki läinud asja lihtsamalt vahetada võimaldas ja kavalamad ostsid oma kalli tehnika selle kaardiga.

[BA79]

laurx, Aga inimene imestab tehingute üle, mis kaardiga väidetavalt ilma tema teadmata tehti.
Mul on vana vaba tagasimaksega krediitkaart, millel mingeid kindlustushüvitisi pole. Praegu on ju suht popp, et võta krediitkaart, millel on ostukindlustus. Niisamuti on olemas nt Kaardikasko, mis korvab ootamatu haigestumise või töökohakaotuse korral kindlustus korvab tagasimaksed). Aga kaardikasko loomulikult pole tasuta. Kui kaardivaldaja nt näeb nende lisakaitsete eest kuutasude debiteerimisi siis peaks tegelikult suht selge olema, kuhu koer maetud on. Inimene lihtsalt ei teadvustanud seda, et lisateenused pole tasuta.

Teine nüanss et artikli järgi sooritati tehinguid Inglismaal. Täiesti võimalik, et ikkagi maksis mingis kõrvalises putkas kohvi eest kaardiga ja kaardiandmed kopeeriti ehk siis nagu aru saan siis läks Inglismaale reisile ja seal sai ebameeldiva üllatuse osaliseks.

[laurx]

Kas valetas või läksid pangast andmed jalutama.
2010 kandis kopeeriti tolleaegsel tutaval pärnus kaart ja tehti kuus korra 15-30€ ost. Euro oli üsna hiljuti tulnud.

[napoleon]

2010 vist mõnel pool sai kopeerida. Tänapäeval kiipi kopeerida ei saa.
Jah, kaardi numbri ja CVV2 saab, aga suht keeruline on seda salaja teha.

[BA79]

CVV ja kaardinumber on füüsiliselt kaardile trükitud ja nähtavad igaühele, kes kaarti käes hoiab/leiab. Kui ostan veebipoest arvuti abil midagi, siis sisestan kaardimakse valimise korral käsitsi kõik nõutud kaardandmed ja siis juba maksesüsteem kontrollib, kas selline kaart sellise numbri ja turvakoodiga eksisteerib ja teostab debiteerimise/broneeringu. Samas ei saa kuidagi kindlaks teha, kas tehingu sooritas kaardivaldaja või keegi teine (eeldatakse, et kaardivaldaja). Samamoodi saab kaardinumbri ja CVV salvestada ja pärast käsitsi mingeid tehinguid teha. OK Swed on liitunud Mastercard ID Check süsteemiga, mis tähendab, et kaupmees, kes kasutab makselahendust, kus ka seda kasutatakse, suunab ostja kaardi väljastanud panga internetipanka, kus peab siis ennast enne identifitseerima (enne debiteerimist ega tehingu sooritamist ei toimu). Seega hea tahtmise korral saab kõrvale põigata või kui tegemist on pangaga kellel see täiendav turvakiht puudub, tehingut siiski sooritada.
Kiip on kaardiandmete salvestamiseks selleks, et saaks ATM-is ja kaarditerminali vahendusel tehinguid teha. Tehnoloogiliselt jah on see turvaline, aga käsitsi sooritatud volitamata väärkasutuse eest kiip ei kaitse. Nt kui teismeline on piisavalt nutikas, et ema/isa kaardiga arvuti vahendusel mingi tehingu sooritab. Maksesüsteem reeglina ei tee vahet, kes tegelikult sooritab tehingut.
Ma pole küll spetsialist aga mulle tundub, et tavaoludes terminal lihtsalt küsib kaardikeskuse vahendusel, kas konkreetsel kaardil on vabu vahendeid tehingu sooritamiseks või mitte, saades vastuseks Jah või Ei. Täielikke kaardiandmeid ei salvestata vist, isegi kaardi neli viimast numbrit on maskeeritud (ostutšekil on ilusti näha, et viimase nelja numbri asemel on neli tärni). Salaja muidugi kohapeal kliendi nähes on raske kopeerida, aga kui on modifitseeritud terminal, mis kaardiandmed mällu jätab siis võib kõike juhtuda (teoreetiliselt võimalik, aga kas ka praktiliselt, jään vastuse võlgu).