12.05.2020 | 11:41

Adam Haertle

Nieautoryzowane obciążenia na mojej karcie i nietypowy wynik śledztwa

A może typowy? Kilka dni temu po raz pierwszy na mojej karcie kredytowej pojawiły się obciążenia, których byłem absolutnie pewien, że nie wygenerowałem. Oczywiście przeprowadziłem śledztwo i jego wynikami dzielę się poniżej.

Kart kredytowych używam przynajmniej od 15 lat. Przez długi czas jednej, prywatnej, od paru lat także drugiej, firmowej. Oczywiście nie płacę nimi, gdzie popadnie, a jedynie tam, gdzie to wygodne, praktyczne lub wymagane.

Chcesz wiedzieć więcej?
Jak dbam o bezpieczeństwo swoich płatności online? Będę o tym (i o innych mechanizmach bezpieczeństwa, których używam) opowiadał na żywo podczas dwóch webinarów, na które możecie się zapisać poniżej.

13 maja w samo południe:

14 maja o godzinie 20:

Dodatkowo będzie fajna nagroda do wygrania – ale o tym przeczytacie poniżej.

To się nigdy wcześniej nie zdarzyło

Przez kilkanaście lat regularnie czytałem wyciągi z transakcji kartowych i nigdy nie znalazłem tam żadnej pozycji, której nie kojarzyłem. W zasadzie to nawet żałowałem, że nikt mnie próbuje okraść – byłby to przecież ciekawy temat do artykułu. Płaciłem w hotelach, w wypożyczalniach samochodów, w sklepach online – i ciągle nic. Aż do ostatniej środy. Około godziny 16:30 na moim telefonie pojawił się taki oto komunikat z mojego banku.

Komunikat o obciążeniu karty

To oczywiście jedna z wielu zalet posiadania aplikacji banku na telefonie – możliwość obserwowania na żywo wszystkich transakcji. Ale o tym w innym artykule. Tym razem problem polegał na tym, że nie dokonywałem żadnych zakupów na Amazonie. Co gorsza, minutę później pojawiła się druga, prawie identyczna transakcja. Prawie – bo na ok. 140 PLN, z tym samym opisem. Szybki kontakt z jedyną osobą, która oprócz mnie posiada dostęp do konta – nie, nie robiła żadnych zakupów (a przynajmniej się nie przyznaje). Czas na panikę.

Adam, nie panikuj, będzie artykuł

To, że do nieautoryzowanych transakcji może dojść mimo zachowania dużej ostrożności, nie jest dla mnie tajemnicą – sam o tym opowiadam na swoich szkoleniach. Przypomniałem sobie swój monolog na temat transakcji kartowych i zastosowałem się do swoich rekomendacji – czyli wszedłem ponownie do aplikacji i zablokowałem tymczasowo kartę (kolejna zaleta posiadania aplikacji – zajęło mi to pewnie 10 sekund). Teraz czas na śledztwo.

Moja pierwsza refleksja to nietypowe transakcje. Z reguły obciążenia oszustów zaczynają się od małych kwot (testowanie, czy karta działa) i systematycznie rosną (testowanie limitu). Tu były dwie transakcje o podobnych, średnich kwotach. Dziwne.

Może to nie dane karty wyciekły, a ktoś dobrał się do mojego konta Amazona? Może ja zaliczyłem epizod nagłej demencji?

Zero zamówień za ostatnie pół roku

To status z konta amerykańskiego. Na koncie niemieckim zakupów nie brakuje, ale wszystkie miały miejsce co najmniej 2-3 tygodnie wcześniej i w żadnym nie pasuje kwota. Na koncie UK też pusto (swoją drogą do tej pory nie rozumiem, dlaczego największy sklep w internecie zmusza mnie do posiadania osobnego konta w każdej z osobnych domen). No dobrze, to nie są moje zakupy z Amazona. Zatem czyje?

Blokada kontra obciążenie

Reklamowanie transakcji kartowych ma swoje wady i zalety. Zalety: istnieje procedura obciążenia zwrotnego, która pozwala często nie tylko odzyskać skradzione pieniądze, ale nawet przeprowadzić szybki proces reklamacji kupionego produktu czy usługi. Wady: praktycznie (chyba?) niemożliwe jest reklamowanie blokady, dopóki nie pojawi się docelowe obciążenie. To problem często zgłaszany nam przez klientów, którzy widzą już szykujące się nieautoryzowane obciążenie na karcie w formie blokady, a bank informuje, że muszą z reklamacją poczekać, aż karta zostanie obciążona, a blokady nie da się zablokować ani usunąć.

Zacząłem od treści blokady – AMZN.COM/BI SEATTLE. Wydedukowałem sobie, że to /BI to ucięty ciąg /BILL i wszedłem na amazon.com/bill. Znalazłem tam taki oto cytat:

If the charge isn’t explained by any of these situations, please contact us by phone and have the following information available:

Charge ID, a unique 9-digit alphanumeric code that Customer Service can use to locate your charge.

Example: Amazon.com*A123B4CD5, Prime Now*B123B4CD5, AMZN Mktp US*C123B4CD5

Note: This ID only appears when the card is charged. It is not present on Pending charges (Authorizations). 

W mojej blokadzie faktycznie nie było jeszcze „Charge ID”, który pojawi się dopiero, gdy karta zostanie obciążona. Trzeba zatem poczekać. Karta jest zablokowana, zatem nic gorszego nie powinno się wydarzyć. Zatem czekam.

Jadą paczki, jadą

Już po kilkunastu godzinach historia się rozwija. W czwartek rano znajduję na telefonie dwie wiadomości od DHL-u.

Komunikat o przesyłkach od DHL-u

Co więcej, w śledzeniu przesyłki widzę, że zmierza ona na mój prawdziwy adres domowy. Widzę teraz dwie możliwości:

  • ktoś o niezwykle dużej pomysłowości i talencie jakimś cudem zdobył nie tylko mój adres domowy, ale też dane mojej karty kredytowej i zmierza do mnie właśnie jakaś „zabawna” przesyłka z Amazona (to byłby piękny artykuł, ale prawdopodobieństwo niskie – ciężko, bardzo ciężko zdobyć dane karty konkretnej osoby bez dostępu fizycznego),
  • tym kimś jestem ja i sam sobie zrobiłem ten dowcip – tylko jak i co jest w paczce?

Po kilku minutach mam pewną hipotezę. Zdarza mi się mianowicie kupować książki w przedsprzedaży. Nie lubię wpisywać do kalendarza „w sierpniu sprawdź, czy książka wyszła i jak wyszła, to kup”. Jest w przedsprzedaży – kupuję od razu, po co sobie zaśmiecać kalendarz. To moja ostatnia deska ratunku – jeśli to nie ja coś zamówiłem, to się poddaję i czekam na dwie tajemnicze paczki. No właśnie, dwie paczki – musiałbym zamówić dwie książki i to tego samego dnia są wysyłane? Mega dziwne. Ale spójrzmy na historię starszych zamówień (ostatnie pół roku było puste).

Moje starsze zamówienia

No tak… Oszukałem sam siebie. W czerwcu zamówiłem tak dobrą książkę, że gdy ponownie w sierpniu sobie o niej przypomniałem, kupiłem ją jeszcze raz, bo zapomniałem o zamówieniu z czerwca. Skleroza zabiera coraz młodszych. Pozycji nie było w historii z ostatnich 6 miesięcy, co mnie mocno zmyliło. Na szczęście wszystko się wyjaśniło. A jeśli jesteście rozczarowani tym rozstrzygnięciem, to dla osób, które dotarły do tego miejsca lektury, mam nagrodę pocieszenia. Książka jest naprawdę świetna – a ja mam o jedną za dużo.

Dwie książki Thomasa Rida

Profesor Rid to niezwykle dociekliwy badacz, który dokumentując historię dezinformacji, sięgnął do nieprzekopanych do tej pory archiwów służb wielu krajów i skrupulatnie udokumentował wszystkie swoje odkrycia. To mój idol, jeśli chodzi o pracę śledczą i badawczą w tym obszarze. Chciałbym, aby książka trafiła w dobre ręce, dlatego oddam ją osobie, która podczas czwartkowego webinaru, pod jego koniec, odpowie najszybciej (i prawidłowo) na jedno pytanie, które zadam, a które będzie dotyczyło kwestii dezinformacji. Wysyłka na paczkomat, na mój koszt. Dla przypomnienia, widzimy się w środę i czwartek, a rejestrować się możecie pod tym linkiem.

Do zobaczenia! I czytajcie wyciągi ze swoich kart :)

Powrót

Komentarze

  • 2020.05.12 12:45 xH

    doczytałem, ale podziękuję ;)

    Odpowiedz
  • 2020.05.12 13:19 Michał

    Dlatego polecam dedykowane karty – w mBanku eKartę, albo Revolut lub Dipocket.

    Natychmiastowe powiadomienia jako zaleta apki bankowej? Ależ powiadomienia SMS były już 15-16 lat temu i do dziś ich przewaga polega na dostępności zawsze i wszędzie (szczególnie podczas podróży poza UE).

    Karta zablokowana, więc nic gorszego nie może się zdarzyć? Ależ może: rozliczenie tej transakcji (wcale nie musi być na tę samą kwotę) albo jakiejś, o której jeszcze nie wiesz…

    Odpowiedz
    • 2020.05.12 13:22 adamh

      1. Bywam w miejscach, gdzie nie ma zasięgu GSM, ale jest WiFi – wolę powiadomienia w apce, które na dokładkę nie kosztują (w przeciwieństwie do SMS-ów)
      2. Na rozliczenie transakcji nie mam już i tak wpływu – ono po prostu będzie. A jeśli o jakiejś transakcji nie wiem, to przy zablokowanej karcie nie jest to już problemem – bo obciążenie się na niej nie pojawi.

      Odpowiedz
      • 2020.05.12 14:34 Michał

        W kraju bez różnicy, ale porównaj pokrycie GSM i WiFi, jeśli ktoś jeździ poza UE to net ma tylko w hotspotach, a SMS wszędzie. Nie w każdym banku powiadomienia SMS kosztują.

        Odpowiedz
        • 2020.06.21 08:52 Kellu

          W UE jak słusznie zauważasz transmisja to nie problem, byłem okazjonalnie w szwajcarii i tam akurat bez większego problemu można mieć wifi na każdym dworcu, w sklepach itd.

          Odpowiedz
  • 2020.05.12 14:15 mpan

    Odpowiadając na pytanie, czemu masz dwa oddzielne konta: bo to dwie różne firmy, które współdzielą znak towarowy i infrastrukturę, ale twoje relacje z jedną są regulowane prawem Waszyngtonu, a drugiej ­— Luksemburga. Tak samo jak sprawy podatkowe ich i ich klientów.

    Nie mam zamiaru rozważać, czy jest to jedyna lub najlepsza opcja, a jedynie stwierdzam stan istniejący. Nie jest to jednak przypadek odosobniony i np. Allegro za czasów ekspansji na Europę też miało podobny model. Farnell i TME *chyba* nadal też tak mają. Dla odmiany eBay współdzieli dane konta, ale cała reszta generalnie też działa oddzielnie.

    Odpowiedz
    • 2020.05.12 18:09 Marcin

      Oddzielne firmy i oddzielne konta, ale uwierzytelnienie wspólne. Wiem, że prawo luksemburskie mocno ogranicza przekazywanie danych finansowych poza granice, ale już z danymi o uwierzytelnieniu nie ma problemu najwyraźniej?

      Odpowiedz
    • 2020.05.12 19:59 Rafal

      ale kupujac z amazona de, uk itp.kupujesz od tej samej spolki, nadawca paczki jest amazon eu sarl luxemburg

      Odpowiedz
      • 2020.05.13 03:58 mpan

        Amazon jest też zarejestrowany w Londynie i w Monachium jako normalnie działające tam firmy. Jak to wszystko sobie potem rozdzielają to już ich wewnętrzna sprawa. Ja jedynie wskazuję, skąd biorą się tego rodzaju „niespodziewane” podziały. Może i mogliby podjąć wysiłek i to ujednolicić, ale to jest już pytaniem do Amazona. Ja mogę tylko gdybać: może obawiają się problemów z podatkami i ustalaniem jurysdykcji przy sporach, może utrudniałoby to geodyskryminację, może po prostu kosztuje za dużo w porównaniu do potencjalnych zyków? Tego już nie wiem.

        Odpowiedz
  • 2020.05.12 14:19 Twój nick

    Napięcie jak w tanim kryminale, a pląta rozczarowująca. Skleroza dopada coraz młodszych ludzi. Mimo to zawsze warto mieć możliwość doładowania karty płatniczej, a nie podpinać ja do głównego konta gdzie leży gruba mamona.

    Odpowiedz
    • 2020.05.12 15:25 Alan Grant

      Kto znów coś pląta, a to puenta.

      Odpowiedz
  • 2020.05.12 14:55 musk

    Niby afera a tu nic, po co pisać taki artykuł, który pokazuje tylko, że ktoś powinien zacząć brać bilobil…

    Odpowiedz
  • 2020.05.12 15:07 Grzegorz

    Czyli kłania się jakiś rejestr książek posiadanych ;) Goodreads, lubimyczytać, albo jakiś inny, bardziej prywatny :)

    Odpowiedz
  • 2020.05.12 16:52 Kuba

    Ja do zakupów internetowych jeśli muszę użyć karty, to wybrałem Revolut. To co najbardziej mi się w tej usłudze podoba, to możliwość dowolnej kombinacji stanów włączenia/wyłączenia poniższych rzeczy:

    a) płatności zbliżeniowe
    b) bezpieczeństwo oparte na lokalizacji
    c) płatności za pomocą paska magnetycznego
    d) wypłaty z bankomatu
    e) transakcje online

    Wszystko wyłączone, włączam na moment przed wykonaniem transakcji. Może to już paranoja, ale póki nie jest zbytnio uciążliwa, to czemu by nie? :)

    P.S.
    To nie jest moje jedyne, a tym bardziej główne konto. Ja wiem, że jest chargeback, ale wolę unikać użerania się z bankami.

    Odpowiedz
  • 2020.05.12 17:42 Andrzej

    W mojej sytuacji było tak, że APPLE.COM/BILL zabrało z karty 100 zł bez mojej wiedzy (nie mam z tą firmą nic wspólnego) kilka dni temu a potem niespodziewanie oddało 100 zł. Oczywiście, że trzeba się cieszyć z zwrotu ale sam fakt pobrania kwoty jest niepokojący.
    Gdybym miał telefon tej firmy, coś kupował w APPS to jeszcze rozumie.
    Może miał ktoś podobny przypadek?
    Jest to niepokojąca sprawa?

    Odpowiedz
  • 2020.05.12 19:55 Roman

    „nie rozumiem, dlaczego największy sklep w internecie zmusza mnie do posiadania osobnego konta w każdej z osobnych domen” – w jakim sensie „osobnego”? Bo konto założone na amazon.co.uk działa i na amazon.de, i na amazon.fr, na amazon.es itd itp… Chyba, że to nie o to chodzi?

    Odpowiedz
    • 2020.05.12 19:56 adamh

      Historii zakupów .de nie widzę w .com i na odwrót.

      Odpowiedz
  • 2020.05.12 20:33 marek

    Słabe. Nie dość, że historia geja to jeszcze bez puenty.

    Odpowiedz
  • 2020.05.12 22:56 michu

    Łeeee…. Panie…. nastawiłem się na megaprzekręt, ktoś porobił speca od bezpieczeństwa! Z tego mógłbym coś wyciągnąć dla siebie, może przekonałbym się do grzebania w banku za pomocą telefonu (na co w życiu się jeszcze nie poważyłem) A tu ino problem z pamięcią.

    Słabo, Panie Adamie! Słabo!!!11oneone ;)

    Odpowiedz
  • 2020.05.13 01:29 Szymon

    Artykuł mi się podoba pomimo, że końcówka trochę rozczarowuje. A od siebie polecam glinko biloba (z jakiejś herbaciarni typu czajnikowy), którą właśnie piję i mam nadzieję nie skończyć jako młody-zapominalski kolejny ;-)

    Odpowiedz
  • 2020.05.13 07:53 Greg

    Adam! Zrobiłeś mi dzień! :D
    Uśmiałem się co nie miara :D i chcę Ci też bardzo podziękować bo pokazałeś mi, że nie jestem sam na świecie w kwestii (nie)ogarniania życia :D
    P.s. jak masz dwie to z chęcią jedną bym przytulił ;)

    Odpowiedz
  • 2020.05.13 08:06 Ben

    Szkoda, do końca miałem nadzieję, że Cię jednak okradli :(

    Odpowiedz
  • 2020.05.13 08:45 ja

    ja tak kiedyś kupiłem raspberry pi
    zamówiłem na samym początku najpierw w jednym sklepie a w drugim ustawiłem powiadomienie o dostępności
    przyszło powiadomienie że jest to zamówiłem
    tydzień później przyszło drugie :) dobrze że szwagier przytulił :D

    Odpowiedz
  • 2020.05.13 09:05 ZwyklyPieniacz

    1. Zakladka „orders” na stronie Amazona nie pokazuje zamowien na produkty cyfrowe. Te mozna zobaczyc tylko w zakladce „digital orders”. To wypadaloby wiedziec i w takich sytuacjach zawsze trzeba sprawdzac obie strony.

    2. Jezeli inna osoba ma dostep do Pana karty, to mogla ta osoba uzyc karty na podejrzanej stronie, lub uzyczyc jej zaufanej ciotce czy kuzynowi w naglej potrzebie.

    Odpowiedz
  • 2020.05.13 12:59 anonimowy malkontent

    Ja tam podziękuję, bo życiorys autora wskazuje na modnego teoretyka posługującego się fajnie brzmiącymi pojęciami, które potem nie wytrzymują zderzenia z rzeczywistością, podobnie jak w przypadku pewnego wiceministra obrony narodowej czy adwokata, który przez pewien czas był szefem lotniska.

    Odpowiedz
  • 2020.05.13 15:59 maruda

    Hmm… skoro pan taki bezprzewodowy, to dla KK może Pan wyłączyć płatności on-line w apce, używać wg potrzeb. Co do polecanych tu C i R, dla kart pierwotnych i tak należy mieć włączone płatności internetowe… więc wiem co lepsze. Może osobna KK tylko do on-line wyłączana po płatności? 99% ludzi i tak jedzie na żywca z pełnym numerem karty na domyślnych limitach po 10k i więcej…. więc co tam. Może male limity dzienne??? Nawet dla World MC da się ustalić 500+ dzienne…
    Osobiście (dzięki że dotarłeś do tego miejsca czytając moje wypociny) mam przedłużkę C do płatności on-line.

    Odpowiedz
  • 2020.05.13 16:24 łoku

    A ja jednak wolę szybkie przelewy. Dzięki temu, w ogóle nie śledzę wyciągów.
    Raczej starcza mi intelektu by nie zalogować się na fałszywym PayU/DotPay, a przed wyciekiem chroni drugi składnik w postaci SMS-a.

    Odpowiedz
  • 2020.05.13 16:40 Czytacz

    Gdyby nie to, że autor podpowiedział fajną lekturę, to zastanawiałbym się nad celem tego tekstu. BTW, może pan Adam podrzuci jakieś inne tytuły z tej działki. Co warto przeczytać?

    Odpowiedz

Zostaw odpowiedź do Greg

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nieautoryzowane obciążenia na mojej karcie i nietypowy wynik śledztwa

Komentarze