Někdy před týdnem jsem otázku z titulku řešil s někým na Facebooku. U případu člověka, co ochotně předal údaje z platební karty podvodníkovi a ten mu vybílil účet. Milion korun, prý, v háji. Argument diskutujícího zněl, že by přece nikomu nedal CVV kód. Nejen že ho lidé ochotně dají, ale on není potřeba.
CVV (Card Verification Value) či CVC (Card Verification Code) je třímístný číselný kód. Najdete ho na zadní straně karty, zpravidla vedle podpisového proužku. Existuje v několika provedeních, včetně třeba i CVV2/CVC2, CSC (Card Security Code), CID (Card Identification Number). American Express má čtyřmístné CVV a najdete ho na přední straně (na zadní straně je mimochodem schválně, aby na první dobrou nebyl vidět, ale to u AmExu nepochopili).
Zatímco PIN se používá výhradně při použití karty v bankomatu nebo při platbě terminálem u obchodníka (offline využití), CVV/CVC se používá u internetových plateb (online). A zatímco PIN nikdy nikde na Internetu ani jinde používat (zadávat) nebudete, CVV (bohužel) někdy zadávat musíte. Zato ho ale nikdy nebudete nikomu dávat pro offline platbu.
TIP: Jak bezpečně nakupovat na zahraničních serverech? A na e-shopech vůbec?
CVV Musíte zadávat tam, kde “platební karta není fyzicky přítomna a kde nelze požadovat PIN platební karty”. Čili, chcete-li, je CVV online PIN.
První háček je v tom, že pokud někdo má číslo karty, platnost a CVV (ne, jméno držitele nutně nepotřebuje, ale pokud má předchozí, tak bude mít i to), tak mu nic nebrání (pokud nemáte něco víc než kartu a CVV, viz dále) v tom, aby z vaší karty na Internetu začal utrácet.
Zásadní háček ale je, že i když nemá CVV, tak mu stejně stačí číslo karty, platnost a (ne nutně) jméno držitele. Stačí najít místo, kde se dá online platba uskutečnit bez CVV – nemělo by tomu tak být, ale jsou jich mraky.
Stejně tak platí, že pokud někde platíte online, tak by si platební brána, web či obchodník neměl CVV ukládat. Jenže jak už to tak bývá, zaručit to nejde. A ověřit to není jak. U známých platebních bran není vcelku důvod k obavám, ale to je asi tak všechno, co k tomu lze dodat.
Získání údajů platební karty je bohužel dost snadné, lidé velmi snadno naletí na phishing/rhybaření, využívají se i keyloggery (software v počítači co zaznamenává co píšete na klávesnici), rozšíření do prohlížečů či obecně jakékoliv malware. Nebezpečné jsou i hacknuté e-shopy.
Takže teď už víte, že CVV vlastně až tak moc ochranou už dávno není, víte i kam či komu ho nedávat. Pokud ale chcete lepší ochranu, tak začněte zjišťovat, jestli vaše banka umí 3D Secure. Což by dnes, tedy v roce 2022, měla a velmi pravděpodobně to už používáte. Zásadně to zvyšuje bezpečnost, ale stoprocentně nikoliv.
Pokud budete chtít ještě něco lepší, nastudujte OTP (One Time Password) při placení kartami. Nebo si pořiďte takovou banku (a takové karty) kde můžete použít virtuální platební karty v “generovatelné” podobě. Umožní vám to vytvořit si “kartu” jen pro určitou platbu. Šikovné jsou i karty, kde platbu musíte pokaždé schválit v aplikaci (třeba Revolut).
Další tipy Jak na bezpečný Internet
TIP#2640: Co se stane s mým dvoufaktorovým ověřením, když přijdu o telefon?
Nějak tak není měsíc, aby se někdo neozval s tím, že přišel o telefon (krádež, ztráta, prostě odešel, skončil v práci a přišel o firemní) a teď se nemůže přihlásit tam, kam měl…
TIP#2640: Co se stane s mým dvoufaktorovým ověřením, když přijdu o telefon?
TIP#2589: Nezapomínejte na e-maily a telefon pro obnovení v Gmailu. Ale nejenom tam
Gmail má užitečnou funkci. Můžete si přidat jiný e-mail a/nebo telefonní číslo pro obnovení účtu. Tedy pro situace kdy se na účet nemůžete dostat, ať už pro zapomenuté heslo nebo pro napadení účtu.…
TIP#2589: Nezapomínejte na e-maily a telefon pro obnovení v Gmailu. Ale nejenom tam
TIP#2584: Co je to Quishing?
V médiích teď frčí psát o quishingu, takže proč nepřipomenout něco, co probíral jeden ze zdejších tipů už v roce 2021: Jsou QR kódy bezpečné? Co hrozí při používání? (Pokračování textu…)
TIP#2523: Jak (bezpečně) chodit do internetového bankovnictví? Přes vyhledávač v žádném případě!
Připadá vám otázka “Jak chodit do internetového bankovnictví?” zbytečná? Není tomu tak, jde totiž o bezpečnost – konkrétně o to, že když někdo chce jít do své banky na Internetu, tak mu hrozí,…
TIP#2523: Jak (bezpečně) chodit do internetového bankovnictví? Přes vyhledávač v žádném případě!
TIP#2516: Nakupovat na “marketplace” jako tom od Kauflandu, Allegro či AliExpress? Co vám hrozí
Marketplace je chytré zaklínadlo pro online tržiště (obchod), které zprostředkovává prodej mezi kupujícím a prodávajícím – tím není samotné tržiště, takže i když zdánlivě kupujete něco od (například) Kauflandu či Allegro, tak tomu…
TIP#2516: Nakupovat na “marketplace” jako tom od Kauflandu, Allegro či AliExpress? Co vám hrozí
TIP#2513: Od kolika let by mělo (mohlo) mít dítě mobilní telefon? A jaký?
Někdy před pár lety, když vznikla knížka Dítě v sítí, se to tu určitě někde objevilo, ale ne jako samostatný tip. Přitom jde o poměrně časté dilema, které mají rodiče. Dilema, na které…
TIP#2513: Od kolika let by mělo (mohlo) mít dítě mobilní telefon? A jaký?
TIP#2498: Co je to vishing?
Vishing je slovo vytvořené z voice phishing. A protože už phishing je nástroj podvodníků, tak je tomu tak i u vishingu. K phishingu případně viz Co je to phishing a proč tomu říkáme…
TIP#2486: Jak rizikové je někomu sdělovat sériové číslo, IMEI a IMEI2 mého telefonu?
Sdělení sériového čísla, IMEI a IMEI2 vašeho iPhone někomu může představovat riziko, zejména pokud nemáte důvěru v danou osobu nebo organizaci, které tyto informace poskytujete. Zde jsou hlavní obavy: (Pokračování textu…)
TIP#2486: Jak rizikové je někomu sdělovat sériové číslo, IMEI a IMEI2 mého telefonu?
TIP#2325: Jak bezpečně hledat na Google? Ochrana soukromí při vyhledávání
“Bezpečně” hledat na Google? Téma posledních dnů, které má ale několik samostatných (ale zároveň i souvisejících) aspektů. Prakticky všechny jsou již v jiných tipech, ale s ohledem na množící se dotazy a diskuze…
TIP#2325: Jak bezpečně hledat na Google? Ochrana soukromí při vyhledávání
TIP#2322: Jak nenaletět podvodníkům, když něco prodáváte přes Internet. Co nikdy nedělat
Věnoval jsem tomu v září podcast Phishing, rhybaření a jak lidé přicházejí o peníze z účtu či účty na Facebooku, takže pokud máte chuť si poslechnout zhruba čtvrt hodiny, můžete začít tím. Ale…
TIP#2322: Jak nenaletět podvodníkům, když něco prodáváte přes Internet. Co nikdy nedělat