Utilizzo fraudento carta di credito su sito e-commerce

[rinoferre]

Utilizzo fraudolento carta di credito su sito e-commerce

Riporto quello che mi e' successo di recente: domenica primo settembre arriva l'sms per operazione su carta di credito, che non ho eseguito, originata a fronte di un acquisto su noto sito e-commerce. Li contatto per chiedere conferma se è partito da loro, e mi confermano la data ed importo, l'ordine è stato fatto alle ore 03.00 circa, ma originato da altro account e quindi per motivi di privacy non possono dirmi a chi è intestato l'account ne a chi è destinato l'ordine.

Blocco la carta, ma l'addebito è ormai partito, contestuale alla spedizione della merce, merce che non conosco in quanto non posso vedere l'ordine, anche se il metodo di pagamento fa riferimento alla mia carta di credito reale.

Beh in sintesi, da quanto sono riuscito a ricostruire, se qualcuno riesce a fare una foto del front della vs. carta di credito nell'utilizzo tradizionale (e qui è stata la mia ingenuità), es. alla cassa del supermercato in cui andare abitualmente e conoscono la località di residenza, riesce ad aprire un account "fasullo" sul sito e-commerce associato ad una mail "fasulla", fare l'ordine e dare come metodo di pagamento la carta reale, di cui viene chiesto solo il numero, scadenza ed intestazione. Se a questo si unisce la possibilità di avere l'ordine in pocchissimo tempo (1 giorno) e la possibilità di ritirare l'oggetto in un dispositivo (c.d. locker) in cui il destinatario non è identificato, il gioco è fatto (e non si rischia praticamente nulla).

Sono piccole somme, si possono recuperare con una denuncia alle autorità, ma intanto il sito e-commerce continua ad operare e non si ritiene responsabile della mancata identificazione del cliente che inserisce l'ordine, si limitano a verificare che ci siano i soldi sul metodo di pagamento selezionato: mi hanno parlato al telefono di account "correlato" al mio, ma ciò è annegato negli algoritmi che usano e non è data visibilità di questa "correlazione" all'account "genuino".

Occorre fare molta attenzione nell'uso tradizione della carta di credito, ci sono oggi dei dispositivi minuscoli che possono fare delle foto/video senza essere visti.

Spero la mia esperienza possa essere d'aiuto ad altri per non incappare nella stessa disavventura, ho suggerito (per quello che possa valere) al sito di e-commerce di chiedere almeno il CVV2 della carta di credito (che sta nella parte inferiore), e di affinare gli algoritmi di identificazione (ma questo potrebbe portare ad una riduzione del business ...)

Un utente che ha chiuso l'account sul sito e-commerce

 

[ido]

guarda che il nome del sito lo puoi pure scrivere, tanto si sa che è amazon (ed è successo anche a me)

come prima cosa per fortuna è stata abbassata la franchigia (passata da 150 a 50 euro) quindi al massimo dovrai pagare 50 euro, quando è successo a me la franchigia era di 150 euro (su un ordine totale superiore di poco a 200 euro) e chebanca me l'ha fatta pagare.

amazon non richiederà mai il cvv2 (tranne se non verrà obbligata per legge) perché loro hanno calcolato che il guadagno che hanno nella vendita non richiedendo il cvv2 è superiore alle perdite che loro hanno dall'utilizzo fraudolento.

tra l'altro nel mio caso nella denuncia fatta ai carabinieri ho anche indicato precisamente dove probabilmente è stato preso il numero della carta (prenotazione su booking) ma figurati se in questo paese qualcuno fa qualcosa.

 

[Andrés de Fonollosa]

E se si coprisse con del sottile nastro adesivo parte del numero della carta di credito quando la si utilizza nei dispositivi pos dei commercianti?

 

[rinoferre]

E se si coprisse con del sottile nastro adesivo parte del numero della carta di credito quando la si utilizza nei dispositivi pos dei commercianti?

Si questo sicuramente sarebbe una contromisura efficace, penso anch'io di farlo sulla nuova carta, ma nel momento che va in mano al cassiere, lui non avrebbe il "diritto" di toglierlo?
Per un operatore "attento", una carta di credito con sopra del nastro adesivo non potrebbe destare qualche "sospetto"? (E' regolare ?-)

 

[rinoferre]

guarda che il nome del sito lo puoi pure scrivere, tanto si sa che è amazon (ed è successo anche a me)

come prima cosa per fortuna è stata abbassata la franchigia (passata da 150 a 50 euro) quindi al massimo dovrai pagare 50 euro, quando è successo a me la franchigia era di 150 euro (su un ordine totale superiore di poco a 200 euro) e chebanca me l'ha fatta pagare.

amazon non richiederà mai il cvv2 (tranne se non verrà obbligata per legge) perché loro hanno calcolato che il guadagno che hanno nella vendita non richiedendo il cvv2 è superiore alle perdite che loro hanno dall'utilizzo fraudolento.

tra l'altro nel mio caso nella denuncia fatta ai carabinieri ho anche indicato precisamente dove probabilmente è stato preso il numero della carta (prenotazione su booking) ma figurati se in questo paese qualcuno fa qualcosa.

Negli acquisti o prenotazioni on-line, il rischio si può ridurre molto utilizzando le carte virtuali, di solito uso questa tecnica, in questo modo possono solo conoscere il nome e cognome del titolare della carta, ma non il numero e scadenza. Inoltre con la carta virtuale e' possibile stabilire un limite di importo.

 

[mrm]

caspita, in effetti ormai tutti hanno il cell che fa le foto... (tranne me).

io utilizzo paypal il più possibile, proprio per evitare di inserire il numero della cdc, ma in effetti con amazon non si può

però non ho capito, per la privacy uno non ha diritto di sapere chi gli ha rubato i soldi??
e la polizia, almeno, ha diritto di saperlo?

 

[ido]

Negli acquisti o prenotazioni on-line, il rischio si può ridurre molto utilizzando le carte virtuali, di solito uso questa tecnica, in questo modo possono solo conoscere il nome e cognome del titolare della carta, ma non il numero e scadenza. Inoltre con la carta virtuale e' possibile stabilire un limite di importo.

metti caso che fai una prenotazione su booking con una carta virtuale, comunque l'importo per coprire la stanza devi tenerlo sulla virtuale (perché da regole l'albergo può prelevare l'importo per verifica) e nel momento in cui hanno il numero virtuale con quello acquistano lo stesso su amazon.

 

[umiki]

l'uso delle carte virtuali protegge solo da "furti" sui siti, mentre la stragrande maggioranza delle truffe con le carte di credito hanno origine dall'uso in negozi/hotel/etc... fisici e li' c'e' poco da fare, oltre ad avere una carta di credito che ti tutela in questi casi. Io uso le carte di credito online da quando e' stata introdotta questa possibilita', ma gli unici "addebiti impropri" hanno avuto origine da furti di dati da parte di impiegati disonesti di hotel (successivamente arrestati). Per fortuna ho avuto i soldi riaccreditati sulla carta prima ancora che mi venissero prelevati dal conto corrente. Secondo me è impossibile azzerare il rischio, meglio avere una buona tutela in caso di problemi

 

[rinoferre]

caspita, in effetti ormai tutti hanno il cell che fa le foto... (tranne me).

io utilizzo paypal il più possibile, proprio per evitare di inserire il numero della cdc, ma in effetti con amazon non si può

però non ho capito, per la privacy uno non ha diritto di sapere chi gli ha rubato i soldi??
e la polizia, almeno, ha diritto di saperlo?

La Polizia credo proprio di si.
Fatta la denuncia ai Carabinieri (necessaria per contestare l'addebito alla banca), mi hanno consigliato di fare denuncia anche alla Polizia Postale.

Dubito però che per cifre poco rilevanti (parliamo di 100 euro) saranno poi svolte indagini molto approfondite,
perché se chi ha commesso la truffa ha preso qualche precauzione, risalire, prima tramite Amazon poi tramite il provider, al dispositivo e quindi alla connessione/SIM con cui si è agito sull'account "fasullo" al momento dell'ordine potrebbe essere laborioso.

Ed anche se venisse individuato ... cosa rischierebbe ?

 

[rinoferre]

metti caso che fai una prenotazione su booking con una carta virtuale, comunque l'importo per coprire la stanza devi tenerlo sulla virtuale (perché da regole l'albergo può prelevare l'importo per verifica) e nel momento in cui hanno il numero virtuale con quello acquistano lo stesso su amazon.

Si sono d'accordo, ma in quel caso sei hai dato la carta virtuale solo a loro ... si restringe il cerchio dei possibili "utilizzatori fraudolenti".
No so poi se per le prenotazioni su booking si possono utilizzare le carte virtuali monouso, quelle cioè che consentono un unico addebito.

 

[mrm]

Se a questo si unisce la possibilità di avere l'ordine in pocchissimo tempo (1 giorno) e la possibilità di ritirare l'oggetto in un dispositivo (c.d. locker) in cui il destinatario non è identificato, il gioco è fatto (e non si rischia praticamente nulla).

anche questa nuova meravigliosa "comodità", insieme a tante altre, non fa altro che togliere sicurezza alla tanto decantata sicurezza, che invece è un'inkiulata

 

[mrm]

La Polizia credo proprio di si.
Fatta la denuncia ai Carabinieri (necessaria per contestare l'addebito alla banca), mi hanno consigliato di fare denuncia anche alla Polizia Postale.

Dubito però che per cifre poco rilevanti (parliamo di 100 euro) saranno poi svolte indagini molto approfondite,
perché se chi ha commesso la truffa ha preso qualche precauzione, risalire, prima tramite Amazon poi tramite il provider, al dispositivo e quindi alla connessione/SIM con cui si è agito sull'account "fasullo" al momento dell'ordine potrebbe essere laborioso.

Ed anche se venisse individuato ... cosa rischierebbe ?

beh, rischierà anche poco, ma con tutti i mezzi che ci sono va individuato.
io continuo ad allibirmi: uno usa la TUA carta di credito su amazon e per la privacy non ti dicono niente???? ma dai... è folle.
come la telecom che ti mette i numeri con gli asterischi sulla bolletta del TUO telefono, oh, ma scherziamo? la privacy sul MIO numero, che pago IO?
sì, scherziamo.

 

[Lupak]

E se si coprisse con del sottile nastro adesivo parte del numero della carta di credito quando la si utilizza nei dispositivi pos dei commercianti?

Si fa molto prima a "digitalizzare" la carta, cioè ad usarla con uno smartphone con applicazioni come Wallet/Apple Pay, Google Pay etc etc
Andare col nastro adesivo in un negozio...c'è chi lo fa ma se in molti negozi se ne fregano in altri possono pensare a qualcosa di sospetto e rifiutarsi di fare l'operazione.

 

[Jackthesnake]

il problema è che stiamo diventando amazondipendenti

 

[rinoferre]

beh, rischierà anche poco, ma con tutti i mezzi che ci sono va individuato.
io continuo ad allibirmi: uno usa la TUA carta di credito su amazon e per la privacy non ti dicono niente???? ma dai... è folle.
come la telecom che ti mette i numeri con gli asterischi sulla bolletta del TUO telefono, oh, ma scherziamo? la privacy sul MIO numero, che pago IO?
sì, scherziamo.

Purtroppo non è uno scherzo, anche a fronte dell'evidenza che si tratta di truffa, loro non posso fornire dati di altri account, anche se hanno usato la mia carta, e me lo hanno anche scritto (vedi i 2 allegati, la prima è firmata da uno specifico operatore, ho cancellato i riferimenti specifici, ho lasciato solo il "core" delle mail rappresentativo per la fattispecie).
Anche se fornissero i dati dell'altro account, probabilmente si scoprirebbe che sono dati falsi; l'unica cosa reale è locker in cui ritirare ed il relativo codice ... figurati se te lo danno.

Nella prima mail mi hanno scritto che hanno dato indicazione all'altro account di contattarmi ... Ah Ah ... ancora aspetto !-)
Sono talmente "forti" (e forse abituati a questo tipo di inconveniente) che nella seconda mail "predicono" anche ciò che avverrà e che faranno gli altri (loro non fanno nulla).

Su Telecom invece posso dire che la sicurezza sul metodo di pagamento è più considerata, se faccio una ricarica con carta di credito, almeno il CVV2 viene chiesto.

 

[Andrés de Fonollosa]

L'unica è disabilitare l'utilizzo e-commerce della carta principale, come io ho fatto da tempo.
Per gli acquisti online utilizzo una carta collegata ricaricabile che tengo a zero e ricarico solo all'occorrenza dell'ammontare necessario alla transazione.

 

[Kadath Dragon]

Beh in sintesi, da quanto sono riuscito a ricostruire, se qualcuno riesce a fare una foto del front della vs. carta di credito nell'utilizzo tradizionale (e qui è stata la mia ingenuità), es. alla cassa del supermercato in cui andare abitualmente e conoscono la località di residenza, riesce ad aprire un account "fasullo" sul sito e-commerce associato ad una mail "fasulla", fare l'ordine e dare come metodo di pagamento la carta reale, di cui viene chiesto solo il numero, scadenza ed intestazione. Se a questo si unisce la possibilità di avere l'ordine in pocchissimo tempo (1 giorno) e la possibilità di ritirare l'oggetto in un dispositivo (c.d. locker) in cui il destinatario non è identificato, il gioco è fatto (e non si rischia praticamente nulla).

Infatti nei paesi corretti (tipo UK) la tua carta non la prendono in mano mai. Ti passano il POS e la carta rimane sempre in mano a te.

 

[Jackthesnake]

Purtroppo non è uno scherzo, anche a fronte dell'evidenza che si tratta di truffa, loro non posso fornire dati di altri account, anche se hanno usato la mia carta, e me lo hanno anche scritto (vedi i 2 allegati, la prima è firmata da uno specifico operatore, ho cancellato i riferimenti specifici, ho lasciato solo il "core" delle mail rappresentativo per la fattispecie).
Anche se fornissero i dati dell'altro account, probabilmente si scoprirebbe che sono dati falsi; l'unica cosa reale è locker in cui ritirare ed il relativo codice ... figurati se te lo danno.

Nella prima mail mi hanno scritto che hanno dato indicazione all'altro account di contattarmi ... Ah Ah ... ancora aspetto !-)
Sono talmente "forti" (e forse abituati a questo tipo di inconveniente) che nella seconda mail "predicono" anche ciò che avverrà e che faranno gli altri (loro non fanno nulla).

Su Telecom invece posso dire che la sicurezza sul metodo di pagamento è più considerata, se faccio una ricarica con carta di credito, almeno il CVV2 viene chiesto.

segnala ad Amazon che gli stai facendo un'ottima pubblicità
ti rimborsano in tempo zero se le cifre non sono esorbitanti
sono molto attenti su questo

però c'è qualcosa che non mi torna
quando apro un nuovo indirizzo su amazon mi chiedono si i dati della carta ma mi pare anche una mail con il link di conferma
poi magari mi ricordo male, in questo caso chiedo scusa

 

[rinoferre]

segnala ad Amazon che gli stai facendo un'ottima pubblicità
ti rimborsano in tempo zero se le cifre non sono esorbitanti
sono molto attenti su questo

Con il sito e-commerce ho chiuso l'account, si può sopravvivere anche senza !-). Diciamo che si è rotto il rapporto di fiducia (che da parte mia prima c'era, mal riposto).
Mi hanno già messo per iscritto che non possono fare nulla (certo che in questa auto-valutazione secondo me loro sono un po' di parte), e che riavrò i miei soldi dall'istituto finanziario che a sua volta si muoverà stante denuncia alle autorità, che ho già fatta (va bene sia Carabinieri che Polizia Postale, non entrambe) Quindi siamo a posto, dal loro sito e-commerce non posso pretendere nulla.

però c'è qualcosa che non mi torna
quando apro un nuovo indirizzo su amazon mi chiedono si i dati della carta ma mi pare anche una mail con il link di conferma
poi magari mi ricordo male, in questo caso chiedo scusa

Sembra tutto molto semplice, si basa sul fatto che la carta non è associata ad una mail, solo l'account del sito e-commerce è legato ad una mail (non PEC).

In una logica "di aggiramento", una volta che si hanno in mano i dati di una carta di credito "buona", uno potrebbe creare allo scopo una nuova mail con dati di fantasia (1 minuto ?), con quella nuova mail potrebbe aprire un nuovo account sul sito e-commerce con dati un po' veri e po' di fantasia (2 minuti?), se il sito invia il link di conferma sulla nuova mail, chi possiede la nuova mail ovviamente è in grado di clikkare sul link di conferma (5 secondi ?).
Poi potrebbe immettere da subito sul sito e-commerce un nuovo ordine ed indicare come strumento di pagamento uno con dati veri (altri 2 minuti ?): titolare della carta e località in qualche modo non noto sono "correlati" sulla base di altri account presenti, che in passato hanno fatto già altri ordini e quindi risultano affidabili (sarebbe ad esempio il mio, quello che poi ho chiuso).
Una volta accettato l'ordine, tutti i dati utili per ricevere la merce sono veicolati sulla mail "di aggiramento". Infine, se l'ordine si fa il primo del mese c'è più probabilità di trovare disponibilità sulla carta (a me lo hanno fatto alle 03.00 am circa del primo giorno del mese).

Quando si crea una nuova mail, qualcuno controlla che i dati immessi siano veri ? Non mi risulta
Quando si crea un nuovo account su certi siti, qualcuno controlla che i dati immessi siano veri? Nel mio caso è stato applicato un algoritmo "migliorabile" ;-)

 

[mrm]

ma poi, scusate, per quale motivo una carta di credito non è univoca, come un codice fiscale?
perchè deve essere possibile creare DUE account con UNA carta di credito??
non ha un intestatario, la carta? e allora è lui e solo lui, perchè il sig. mario rossi dovrebbe avere due account differenti?
io trovo che questa sia una falla non da poco.
mi viene in mente che con tiscali non posso avere nemmeno due numeri di telefono, ognuno la sua mail, qui è un po' una hahata, però insomma ci vorrebbe poco a non permettere due account con la stessa carta, mi pare assurdo che non sia così.

EDIT ah no, forse non avevo capito: UN account, DUE mail, giusto?