-
1. Data: 2009-08-15 09:20:14
Temat: travelstart.de - phishing scam?
Od: greggorio <g...@h...com>
W wyszukiwarce lotów travelstart.de znalazłem bardzo tani lot.
Rezerwacja przeszła bez niespodzianek. Zdziwiło mnie tylko to, że w
przeciwieństwie do większości transakcji dokonywanych kartą kredytową,
zostałem dodatkowo przeniesiony do strony mojego banku i musiałem
wpisać wszystkie dane, potrzebne przy dokonywaniu przelewu, włącznie z
użyciem tokena. No cóż, pomyślałem, to dla mojego bezpieczeństwa.
Wkrótce emailem otrzymałem potwierdzenie o rezerwacji.
Godzinę później otrzymałem emaila od pracownika firmy, w którym było
napisane, że komputer wygenerował komunikat ostrzegawczy, w związku z
czym dla potwierdzenia mojej tożsamości muszę zeskanować lub
sfotografować moją kartę kredytową z OBYDWU STRON, mój dokument
tożsamości lub paszport i przesłać im skany emailem.
Zacząłem się zastanawiać, co tak naprawdę wiem o tej firmie. Otóż nie
wiem nic. Widzę ich ładną stronkę internetową, na stronce podany jest
tylko numer faxu do Szwecji, adres w Malmo, który co prawda da się
zidentyfikować w Google Maps, jednak tak naprawdę nie mam żadnych
instrumentów weryfikacji, czym naprawdę jest ich przedsięwzięcie.
Od razu pomyślałem o ataku phishingowym. Zapytałem, na czym dokładnie
polega problem i czy zdają sobie sprawę, że o ile sama transakcja była
szyfrowana, o tyle teraz żądają danych, które pozwolą osobom trzecim
na dostęp do mojej karty kredytowej. Wyraziłem też wątpliwość, czy
takie postępowanie jest legalne w świetle prawa.
Otrzymałem odpowiedź, że system zakwestionował moją rezerwację
prawdopodobnie z tego powodu, że wpisałem adres domowy w Polsce, z
wylecieć zamierzałem z Berlina. Osoba z którą korespondowałem napisała
też, że często zdarza się, że bilety kupowane są za pomocą
skradzionych kart, dlatego firma zachowuje szczególną ostrożność.
To tylko wzmogło moją podejrzliwość. Założenie, że musi być zgodność
między miejscem zamieszkania a miejscem odlotu jest kompletnie
niedorzeczne w dzisiejszych czasach - nie ma o czym mówić... Z kolei
upieranie się przy konieczności potwierdzenia tożsamości przy pomocy
zeskanowanych dokumentów w świetle przekierowania podczas transakcji
na strony banku i wiążącą się z tym koniecznością znania wszystkich
NIKów, PINów, potwierdzenia transakcji za pomocą tokena, zakrawa na
paranoję... Oni mają wątpliwość co do tożsamości osoby, która nie
tylko fizycznie ma kartę, ale zna także wszystkie dane dostepu do
konta, do którego przypisana jest karta, a ja nie mam prawa mieć
wątpliwości co do ich tożsamości i tego, że np. pracownik nie będzie
sobie dorabiał na boku i nie odsprzeda komuś danych z mojej karty...
Poprosiłem o kontakt do szefa firmy lub managera. Niestety, dyskusja
emailowa z "szefem" była jeszcze krótsza: to jest polityka firmy,
która ma na celu dobro klienta, nie zgadzam się z nią, trudno, muszą
anulować moją rezerwację. Zero jakiegokolwiek ustosunkowania się do
moich uwag. Ostatecznie moja rezerwacja została anulowana.
Osobiście widzę możliwość, że firma travelastart.de jest w
rzeczywistości przykrywką dla nielegalnego biznesu wyłudzania numerów
kart kredytowych - dlatego może sobie pozwolić na oferowanie tak
korzystnych cen.
Jako że w mojej pracy też mam bezpośredni kontakt z klientami, ale
wiem, że żądanie od nich dowodu lub paszportu (nie mówiąc o karcie
kredytowej!) jest NIELEGALNE, chciałbym spytać, czy działania tamtej
firmy są legalne i ewentualnie komu mógłbym zgłosić nadużycie.
-
2. Data: 2009-08-15 09:50:32
Temat: Re: travelstart.de - phishing scam?
Od: Marcin Debowski <a...@I...ml1.net>
On 2009-08-15, greggorio <g...@h...com> wrote:
> W wyszukiwarce lotów travelstart.de znalazłem bardzo tani lot.
> Rezerwacja przeszła bez niespodzianek. Zdziwiło mnie tylko to, że w
> przeciwieństwie do większości transakcji dokonywanych kartą kredytową,
> zostałem dodatkowo przeniesiony do strony mojego banku i musiałem
> wpisać wszystkie dane, potrzebne przy dokonywaniu przelewu, włącznie z
> użyciem tokena. No cóż, pomyślałem, to dla mojego bezpieczeństwa.
> Wkrótce emailem otrzymałem potwierdzenie o rezerwacji.
Zdarzyło mi się ze 3x przy zakupach w Stanach, że żądano ode mnie skanów
karty i jakiegoś ID (zawsze dawałem PJ). Posyłałem, ale to nie były
jakieś mało znane, półanonimowe firmy. Nigdy natomiast nie zdarzyło mi
się płacić kartą kredytową z przekierowaniem do mojego banku. Albo to
nie jest karta kredytowa, która się posługujesz albo coś tu faktycznie
śmierdzi. Jest to bez sensu już choćby z takiego prostego powodu, że
możesz się posługiwać k. kredytową banku w którym nie masz żadnego
internetowego konta.
--
Marcin
-
3. Data: 2009-08-15 10:42:21
Temat: Re: travelstart.de - phishing scam?
Od: bim-bom <j...@g...pl>
greggorio pisze:
> W wyszukiwarce lotów travelstart.de znalazłem bardzo tani lot.
> Rezerwacja przeszła bez niespodzianek. Zdziwiło mnie tylko to, że w
> przeciwieństwie do większości transakcji dokonywanych kartą kredytową,
> zostałem dodatkowo przeniesiony do strony mojego banku i musiałem
> wpisać wszystkie dane, potrzebne przy dokonywaniu przelewu, włącznie z
> użyciem tokena. No cóż, pomyślałem, to dla mojego bezpieczeństwa.
> Wkrótce emailem otrzymałem potwierdzenie o rezerwacji.
> ...
A może sprawdź, ile kosztuje ten sam lot (tej samej linii lotniczej o
tej samej godzinie) na innej wyszukiwarce lotów. Jeśli różnica cen
będzie duża, to może to być podejrzane.
-
4. Data: 2009-08-15 17:10:13
Temat: Re: travelstart.de - phishing scam?
Od: Rafal M <r...@g...com>
On 15 Sie, 11:20, greggorio <g...@h...com> wrote:
> W wyszukiwarce lotów travelstart.de znalazłem bardzo tani lot.
Zobacz sobie ceny tych lotow orbitz.com, expedia.com, kayak.com
(zwykle linie) i skyscanner.pl (tanie linie) - te www sa sprawdzone :)
Pozdrawiam
Rafal
-
5. Data: 2009-08-15 18:39:48
Temat: Re: travelstart.de - phishing scam?
Od: <s...@a...pl>
> jakieś mało znane, półanonimowe firmy. Nigdy natomiast nie zdarzyło mi
> się płacić kartą kredytową z przekierowaniem do mojego banku.
Jak masz, zapłać KK BZ WBK :) Wtedy zobaczysz, że są takie praktyki.
-
6. Data: 2009-08-15 18:41:27
Temat: Re: travelstart.de - phishing scam?
Od: <s...@a...pl>
> Jako że w mojej pracy też mam bezpośredni kontakt z klientami, ale
> wiem, że żądanie od nich dowodu lub paszportu (nie mówiąc o karcie
> kredytowej!) jest NIELEGALNE,
Dlaczego? Ja mogę żadać choćby tego, by Twoja żona przespała się ze mną. To, czy
ona to spełni to już inna bajka.