Dwie zwykłe koperty w skrzynce na listy – jedna z kartą płatniczą, druga z PIN-em. Sami przyznacie, że to nie najlepszy pomysł, jeśli kartę można aktywować, nie logując się do systemu bankowości internetowej lub mobilnej.
Nasz Czytelnik po zamówieniu karty w Nest Banku znalazł w swojej skrzynce dwie, wysłane zwykłym listem, przesyłki. Jedna zawierała kartę, druga PIN. Dotarły w tym samym czasie. Zgodnie z dołączoną informacją, kartę należało aktywować za pośrednictwem aplikacji mobilnej lub bankowości internetowej, kolejnym krokiem miało być dokonanie transakcji potwierdzonej PIN-em. Brzmi to bezpiecznie – aby aktywować kartę, trzeba zalogować się do systemu bankowości elektronicznej, a zwykły złodziej nie będzie znał Waszego loginu ani hasła.
Czytelnik zrobił co innego – użył bankomatu BZ WBK i aktywował kartę, zmieniając nadany odgórnie PIN (BZ WBK świadczy kilku mniejszym bankom usługi obsługi kart płatniczych). Od tego momentu z karty można było normalnie korzystać, a więc wypłacać gotówkę, płacić zbliżeniowo itd. Dopiero po jakimś czasie Czytelnik zalogował się do systemu bankowości internetowej i zauważył, że karta była w nim oznaczona jako nieaktywna, co nie przeszkodziło w zablokowaniu środków na poczet wykonanych nią płatności.
Pisząc do nas, Czytelnik poprosił o pomoc w analizie tego przypadku. Jego zdaniem przechwycenie wysyłanych przez Nest Bank listów nie jest trudnym zadaniem, a skoro kartę można aktywować w bankomacie, to z dużym prawdopodobieństwem można też wyczyścić konto, do którego ją wydano.
Co na to Nest Bank
Skontaktowaliśmy się w tej sprawie z Nest Bankiem. W pierwszej kolejności zapytaliśmy o możliwość przejęcia przez nieuprawnione osoby listów wysyłanych do klientów. Odpowiedziała nam Dorota Ordon z Departamentu Marketingu:
Zgodnie z regulacjami obowiązującymi w Nest Banku karty debetowe wysyłane są listem zwykłym na wskazany przez klienta adres korespondencyjny. Kod PIN przekazywany jest w ten sam sposób, jednak w odrębnej przesyłce, z uwzględnieniem odpowiedniego odstępu czasowego. Przesyłki nie są oznaczone logo Banku. Powyższa procedura ma na celu zabezpieczenie przed naruszeniem przesyłki i nieautoryzowanym użyciem wydawanej karty. Klient jest szczegółowo informowany o poszczególnych krokach i proszony o odbieranie listu w terminie.
Jak wspomnieliśmy, do Czytelnika obie przesyłki dotarły jednocześnie. Nietrudno też sobie wyobrazić, że ktoś mógłby pozyskać dane osobowe klienta i zamówić w jego imieniu kartę np. w czasie urlopu, co ułatwiłoby przechwycenie zalegających w skrzynce listów. Zapytaliśmy, czy Nest Bank bierze pod uwagę taki scenariusz. Okazało się, że nie. Jego przedstawicielka stwierdziła:
Klient Banku może zamówić kartę debetową także telefonicznie. Zgodnie z regulacjami obowiązującymi w Nest Banku, aby to zrobić, musi on przejść procedurę weryfikacyjną. Eliminuje ona ryzyko wystąpienia udanej próby oszustwa i gwarantuje pełne bezpieczeństwo procesu.
Co z najbardziej niepokojącym aspektem tej sprawy, czyli możliwością aktywowania karty za pośrednictwem bankomatu? Nie wspomina o tym ani wysyłany z kartą list przewodni, ani poradnik dotyczący aktywacji zamieszczony na stronie internetowej banku. Klienci mogą myśleć, że potencjalny przestępca nic nie wskóra bez zalogowania się do systemu bankowości internetowej lub mobilnej. Przypadek naszego Czytelnika pokazuje, że jest inaczej.
Zapytaliśmy, w jaki sposób Nest Bank ogranicza ewentualne nadużycia związane z aktywacją kart w bankomacie przez nieuprawnione do tego osoby. Na to pytanie nie otrzymaliśmy konkretnej odpowiedzi. W nadesłanym komentarzu znaleźliśmy tylko zapewnienie, że „Nest Bank dba o bezpieczeństwo środków powierzonych przez klientów oraz prowadzi monitoring operacji dokonywanych kartami płatniczymi”. Kiedy po raz trzeci zapytaliśmy o opisany powyżej scenariusz nadużycia (np. czy jest nadal możliwy), otrzymaliśmy kolejne odpowiedzi niezbyt na temat:
W przypadku zakwestionowania przez Klienta faktu odebrania przesyłki zawierającej kartę oraz PIN i ewentualnego użycia niedostarczonej do Klienta karty, to Bank jest zobowiązany do udowodnienia, że osobą korzystającą z karty jest Klient. Pragniemy również podkreślić, że samo użycie karty nie jest wystarczającym materiałem dowodowym potwierdzającym użycie karty przez Klienta, natomiast zabezpieczone nagranie z miejsca realizacji operacji – już tak.
Zakładając sytuację, iż karta zostałaby przejęta ze skrzynki przez osobę nieuprawnioną, a następnie użyta do przeprowadzenia operacji, Bank dokonałby zabezpieczenia monitoringu z miejsc realizacji, złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa do Prokuratury oraz wykonałby uznanie rachunku Klienta kwestionowaną kwotą.
Warto również wskazać, że powyższa procedura jest powszechnie stosowana przez polskie banki.
Nadal zatem nie wiemy, czy kartę Nest Banku wciąż można, bez znajomości loginu i hasła do bankowości elektronicznej, aktywować w bankomacie BZ WBK i dokonywać nią operacji. Marnym pocieszeniem jest to, że bank obiecuje oddać skradzione środki – niespodzianka w postaci pustego konta gdy przychodzi do płatności przy kasie z pełnym wózkiem nie jest niczym miłym. Skoro bank nie chce odpowiedzieć na nasze pytanie oficjalnie, to może ktoś z Was wie, czy problem został rozwiązany?
Mamy też dobre wiadomości
Dorota Ordon poinformowała nas ponadto, że Nest Bank niedługo wdroży nowy system bankowości elektronicznej i mobilnej. Zaoferuje on dodatkowe zabezpieczenia produktów kartowych w postaci generowania numeru PIN bezpośrednio w systemie. Jak napisała przedstawicielka banku:
Generowanie PIN-u do kart w nowym systemie będzie obligatoryjne. Klient jednocześnie będzie miał możliwość aktywacji karty, w systemie będzie również możliwość zmiany PIN-u. Wszystkie dyspozycje będą realizowane automatycznie online. Planujemy wdrożenie nowego systemu bankowości elektronicznej dla wszystkich klientów na przełomie 3/4 Q 2018.
Jest to bez wątpienia dobre posunięcie, które wyeliminuje część możliwych nadużyć. Jeśli korzystacie z usług Nest Banku, dobrze zrobicie, wstrzymując się z zamawianiem kart płatniczych, aż nowy system zostanie wdrożony. Tym, którzy nie mogą sobie na to pozwolić, zalecamy ostrożność i bezzwłoczne odbieranie wysyłanych przez bank listów. Choć nie tak powinno to wyglądać…
Aktualizacja 2018-06-27 22:00
Po lekturze naszego artykułu jeden z naszych Czytelników (dziękujemy panu Alu) udał się z nieaktywną kartą Nest Banku do bankomatu BZ WBK i dokonał w nim zmiany kodu PIN oraz wypłaty gotówki. Karta jest nadal nieaktywna w systemie banku, ale bankomat gotówkę wydał… Historia zilustrowana poniżej.
Karta, jak widać, jest nieaktywna.
Po włożeniu do bankomatu można nadać jej nowy PIN.
Po nadaniu nowego PIN-u można normalnie używać.
Na przykład do wypłaty gotówki.
Chociażby skromnych 20 PLN.
Które pojawiają się jako blokada, mimo iż karta jest nadal nieaktywna. Brawo Nest Bank!
Komentarze
A inne banki tak nie robią??? Millennium, bo WBK???
Alior tak nie robi. PIN dostaje się przy aktywacji karty w bankowości elektronicznej.
Zakładałem niedawno konto w Millennium. PIN do karty nadawałem sobie samemu w aplikacji mobilnej. Karta przywieziona przez kuriera razem z umową, ale w oddzielnej kopercie.
A Nest Bank to nie jest czasem następca Plus Banku ?
Nie. Nestbank to były Bank Smart.
PlusBank był InvestBankiem i nic się nie zmieniło od tego czasu ;)
Też jestem klientem Nest Bank, zakładałem konto prawie rok temu i również do mnie karta i pin przyszły razem, choć w oddzielnych kopertach. Więc to nie jest jednorazowy przypadek niestety
U mnie było tak samo.
ING tak samo robi, ba nawet nie muszę aktywować karty w bankomacie, wystarczy że dokonam pierwszej transakcji przy użyciu PIN-u
warto dodac ze jest to jedyny bank, ktory umozliwia zmiane pinu tylko za oplata.
„Pragniemy również podkreślić, że samo użycie karty nie jest wystarczającym materiałem dowodowym potwierdzającym użycie karty”
Aha.
Całe zdanie przeczytaj. Ma ono sens i nie jest głupie
Czyli przestepcy powinni dzialac inaczej. Po co wlamywac sie komus do skrzynki i zamawiac na jego dane karte? Mozna zamowic karte na swoje dane, wydoic konto do zera ciemna noca majac dobre alibi na ten czas a pozniej ubiegac sie o zwrot kasy.
Moze wtedy bank sie czegos nauczy?
LOL, dlaczego o tym od razu nie pomyślałem?
Potwierdzam, we wtorek dostałem kartę oraz kod pin. Osobne koperty, niestety w tym samym czasie. Warto zaznaczyć że koperta z pinem od razu wyglądała jak „koperta z pinem” (specjalna koperta ze zrywanymi krawędziami) – zadzwoniłem na infolinię i powiedziałem im że są śmieszni (przy okazji złożyłem reklamację na aplikację mobilną która potrafi zaliczyć crash od samego patrzenia na nią).
Jeszcze wcześniej miałem problemy z wydaniem tej karty i musiałem się autoryzować w na infolinii Nest Banku – wystarczył pesel, imię panieńskie matki oraz czy mam jakieś usługi w Nest. Pesel można spokojnie znaleźć w różnych wyciekach (a zmienić go nie można xD) imię panieńskie na facebooku, największe ryzyko jest chyba z usługami. Tu trzeba by było strzelać.
W wyciekach? W KRS można znaleźć. ;)
Konto zakładane pół roku temu karta i kod przyszły w różnym czasie.
Nie wiem czym się tak ekscytujecie, ryzyko jest częścią działalności każdej firmy, jak się na to zdecydowali to z pewnością świadomie
Jak dobrze, że nie jestem klientem Nest Banku.
W moim banku (bez kryptoreklamy ;) listy przyszły oddzielnie, kartę trzeba aktywować przez serwis oraz co najmniej włożyć do bankomatu i wpisać PIN. Bez tego próba płatności/wypłaty wywala informację że karta jest zablokowana.
a co powiecie na to?
Umowa z Getin-em, „przyjeżdża” kurierem niby w kopercie.
Podpisaną umowę kurier zabiera ze sobą, ot tak.
Na umowie jest wszystko,
dane osobowe, dane kontaktowe, numery rachunków, własnoręczny podpis.
Nie mam w tej chwili ani jednj danej osobowej, której kurier nie mógłby „przekazać dalej”. No może zdjęcie, ale nic to przy dowodzie kolekcjonerskim.
Ja mogę dodać że jak w nestbanku karta straci ważność to wysyłają nowa aktywną już :) czyli można taką karte podwędzić i płacić przez Internet tam gdzie nie ma 3d security. Długo nie ddostawałem karty i sprawdziłem na ebankowosci że mam karte o tym samym numerze co stara tylko o innej dacie ważności, a karta doszła tydzień później.
Posiadam dwie karty Nest Banku, żadnej nie musiałem aktywowac, po prostu zrobiłem zakupy z użyciem pinu. Przesyłki z kartą i pinem przyszły w odstępie paru dni, w obu przypadkach.
Wczoraj dostałem 2 koperty od nesta ;) Więc nic nie zmienili…
Zamawiałem kartę miesiąc temu (a więc początek sierpnia).
1. Karta przyszła jednocześnie z pinem. Do tego jej wysyłka trwała ponad 2 tygodnie!!! W międzyczasie zadzwoniłem ze skargą na infolinię i z pytaniem, gdzie moja karta, i jak oni mogą wysyłać ją listem zwykłym. Pani od razu zaproponowała mi zastrzeżenie nieotrzymanej karty (!) i wysłanie nowej. Zapytałem, czy jest szansa, że nowa dojdzie szybciej / skuteczniej? Oczywiście, najmniejszej szansy. Więc postanowiłem cierpliwie czekać i w końcu się doczekałem.
2. Ciekawostka jest taka, że 2 dni po tym, jak założyłem swoje konto i zamówiłem kartę, zrobiłem to samo dla członka rodziny. Oba listy z kolejną kartą przyszły o jeden dzień później, i tak samo razem (karta + pin).
3. Uważam, że to skandal, że pin można zmienić jedynie odpłatnie, i to tylko w bzwbk. W bardziej rozgarniętych bankach można to zrobić w bankowości internetowej lub w aplikacji. Nest niby ma coś wprowadzić, ale chyba nie chce mu się rezygnować z tej opłaty… Swoją drogą, nie wiedziałem o opłacie, bo na liście dołączonym do karty z informacjami na temat jej aktywacji owszem, była informacja o zmianie pinu w bzwbk, ale nie było ani pół słowa o opłacie. I to już jest naciąganie. Spróbuję wystosować reklamację i po chamsku dorżnąć swego.
płatności internetowe kartami tego banku w ogóle nie są bezpieczne! Wg zapewnień banku są zabezpieczone kodem 3D Secure ale to jest tylko fikcja. To czy smsowy kod 3D Secure będzie wymagany decyduje o tym druga strona czyli jednostka (sklep, itp) w której dokonujemy transakcji internetowej. Czyli o tym czy nasza transakcja jest bezpieczna a nasze dane nie zostaną potem użyte w nieautoryzowany sposób decyduje sklep a nie Nest Bank!
Identyczna transakcja dokonana w tym samym sklepie kartą innego banku bezwzględnie wymaga za każdym razem kodu sms 3D Secure natomiast transakcja (pierwsza i kolejna) nie wymaga tego kodu a karta nie jest dodana do płatności w tym sklepie. W taki sposób zniknęło mi kwota 120 zł która została zablokowana na rachunku w Nest Bank ale nie pojawiła się na saldzie doładowywanego kartą konta. Oczywiście pozostaje reklamacja, tylko kto mi zwróci stracony czas na wyjaśnianie tej sytuacji oraz na opłaty wysyłania Pocztą Polską dokumentów wymaganych do tej reklamacji? Nie wspomnę o nieautoryzowanym wykorzystaniu danych mojej karty i dokonania płatności w internecie bez mojej wiedzy (autoryzacji kodem sms 3D Secure). Kto sprawdza kilka razy dziennie swoje transakcje i je weryfikuje, więc zanim się zorientuje o takiej nieautoryzowanej transakcji konto zostanie wyczyszczone, a potem pozostanie bujanie się w czasie z reklamacjami których finału wcale nie widzę w tak kolorowo. Poza tym jak widać po poprzednich komentarzach Nest Bank w ogóle nie przejmuje się bezpieczeństwem naszych środków i przez tak długi czas nie robi nic aby zabezpieczyć nasze środki.
Mam prośbę do Redaktorów ZTS by ponownie poruszyli problem bezpieczeństwa u źródeł – czyli przedstawicieli Nest Banku, jeśli nie będzie konkretnych natychmiastowych działań w zmianach zabezpieczeń to trzeba będzie zamknąć rachunek bankowy w Nest Banku!
Teraz Nest Bank zrezygnował z tego typu aktywacji kart. Nie przesyła już dwóch kopert, tylko jedną z kartą. Aktywacja karty i pinu odbywa się za pomocą bankowosci internetowej.