Gde curi novac? Sveobuhvatan vodič kroz sigurnost platnih kartica

Kada nekome „nestaje novac sa tekućeg računa”, u ogromnom broju slučajeva problem nije u tome da banka nasumično skida novac, nego u tome da je kartica negde već dobila pristup: kroz pretplatu, lažni link, kompromitovan nalog, digitalni novčanik, sačuvanu karticu kod trgovca ili neku aplikaciju.

Najvažnije je da osoba pronađe način na koji je kartici dat pristup, jer će i sa novom karticom posle nekog vremena vrlo moguće biti isto ako se ne zatvori izvor problema.

Sigurnost kartica

Nova kartica je samo gašenje požara. Pravo pitanje je: gde curi?

1. Aktivne pretplate i probni periodi

Ljudi često zaborave da su negde ostavili karticu: Netflix, Google, Apple, Microsoft, Canva, razne aplikacije, igrice, VPN servisi, dating aplikacije, cloud servisi, e-commerce sajtovi, „free trial” ponude i slične usluge.

Ako je pretplata aktivna, promena kartice ne mora uvek da je prekine. Potrebno je ući u samu aplikaciju ili sajt i otkazati pretplatu na izvoru.

2. Automatsko ažuriranje kartice kod trgovaca

Visa i Mastercard imaju servise koji omogućavaju da određeni trgovci sa sačuvanom karticom dobiju ažurirane podatke kada banka izda novu karticu. To postoji da legitimne pretplate ne bi pucale svaki put kada kartica istekne ili se zameni.

Zato nekome deluje kao „imam novu karticu, a opet mi skidaju”. Nije magija. Moguće je da trgovac i dalje ima pravo naplate jer je kartica ranije bila sačuvana kod njega.

Rešenje: otkazivanje pretplate kod trgovca, uklanjanje kartice iz naloga i, ako treba, zahtev banci da blokira konkretnog trgovca ili proveri da li postoji mogućnost blokade automatskog ažuriranja kartice.

3. Google, Apple, PayPal i digitalni novčanici

Ako je kartica dodata u Google Pay, Apple Pay, PayPal, App Store, Google Play ili neki drugi nalog, problem možda nije sama kartica nego nalog.

Ako neko ima pristup mejlu, telefonu, Apple ID-u ili Google nalogu, može imati pristup i plaćanjima, pretplatama, istoriji kupovina i povezanim karticama.

Obavezno proveriti:

• Koji su uređaji prijavljeni na Google ili Apple nalog
• Da li postoji nepoznat telefon, računar ili lokacija
• Koje kartice su sačuvane
• Koje pretplate su aktivne
• Da li je uključena dvofaktorska zaštita

4. Phishing preko SMS-a, mejla i oglasa

Ovo je najčešća realna rupa.

Stigne poruka od „Pošte”, „DHL-a”, „Netflix-a”, „banke”, „kurirske službe”, „carine” ili nekog lažnog oglasa. U poruci piše da treba platiti 30, 100 ili 200 dinara. Link izgleda uverljivo. Osoba unese broj kartice, datum, CVV i kod iz SMS-a.

Problem je što taj kod često nije za „sitnu uplatu”, nego za aktivaciju plaćanja, dodavanje kartice u digitalni novčanik ili potvrdu transakcije.

Pravilo: kartica se nikada ne unosi preko linka iz SMS-a. Ako postoji sumnja da je poruka stvarna, ide se ručno na zvaničan sajt ili se zove zvaničan broj korisničke podrške, ne broj iz poruke.

5. Sačuvane kartice u browseru

Chrome, Edge, Safari i drugi browseri mogu čuvati kartice. Ako računar koristi još neko, ako je browser sinhronizovan na više uređaja ili ako je nalog kompromitovan, kartica može ostati dostupna i posle zamene.

Proveriti:

• Sačuvane kartice u browseru
• Sačuvane lozinke
• Prijavljene uređaje
• Sinhronizaciju naloga
• Ekstenzije u browseru

6. Sumnjive ekstenzije i programi

Neke ekstenzije za browser traže preširoke dozvole. Ako ekstenzija može da čita podatke sa sajtova, prati unos ili menja sadržaj stranica, to je ozbiljan rizik.

Treba obrisati sve što nije neophodno: kupon ekstenzije, „download helper”, čudne PDF konvertere, nepoznate adblockere, video download dodatke, lažne antivirus dodatke i sve što nije iz pouzdanog izvora.

7. Lažne aplikacije na telefonu

Ako je neko instalirao aplikaciju van zvanične prodavnice ili dao aplikaciji previše dozvola, problem može biti i telefon. Posebno ako aplikacija traži pristup SMS porukama, notifikacijama, accessibility opcijama ili čitanju ekrana.

To je opasno jer se jednokratni kodovi iz banke često dobijaju SMS-om ili kroz notifikacije.

8. Šta odmah uraditi kada krene skidanje novca

Prvo se blokira kartica u aplikaciji banke ili pozivom banci.

Zatim se ne staje na tome, nego se traži izvor:

• Proveriti sve pretplate
• Proveriti Apple, Google, PayPal i slične naloge
• Ukloniti karticu iz svih servisa
• Promeniti lozinke za mejl i glavne naloge
• Uključiti dvofaktorsku zaštitu
• Odjaviti sve nepoznate uređaje
• Obrisati sumnjive ekstenzije
• Proveriti telefon i računar
• Banci prijaviti svaku spornu transakciju
• Tražiti blokadu konkretnog trgovca ako se naplata ponavlja

Najveća greška je uzeti novu karticu i nastaviti isto ponašanje. Ako je osoba jednom unela podatke na lažan link, ostavila karticu na sumnjivom sajtu ili ima kompromitovan nalog, nova kartica rešava posledicu, ali ne rešava uzrok.

Zato nije pitanje samo „ko mi skida novac”, nego „gde sam dao pristup kartici”.

9. Virtuelne i jednokratne kartice (Najjača zaštita za online kupovinu)

Mnoge moderne banke i fintech servisi (poput Revoluta, Wise-a ili domaćih banaka u aplikacijama) nude opciju virtuelnih kartica.

• Jednokratne kartice: Nakon svake kupovine, broj kartice se automatski menja. Čak i da sajt na kojem ste kupovali bude hakovan, podaci koje imaju su neupotrebljivi za bilo kakvu dalju naplatu.
• Namenske virtuelne kartice: Možete napraviti karticu samo za Netflix ili samo za AliExpress i na njoj postaviti mesečni limit (npr. 1500 dinara). Ako neko pokuša da skine više, transakcija će biti odbijena.

10. Upravljanje limitima i geografska blokada

Uđite u podešavanja kartice u vašoj mobilnoj aplikaciji banke. Većina nudi:

• Dnevni limiti: Postavite nizak limit za online plaćanja i podizanje gotovine. Povećajte ga samo u trenutku kada zaista planirate veću kupovinu, pa ga odmah vratite.
• Geoblocking: Ako ne putujete, možete blokirati korišćenje kartice u inostranstvu ili na bankomatima van vaše regije.
• On/Off prekidač: Držite karticu „zamrznutu” (Frozen/Disabled) i „odmrznite” je samo onih 30 sekundi dok vršite plaćanje.

11. Prednost Apple Pay, Google Pay i PayPal servisa

Kada god je moguće, plaćajte preko ovih servisa umesto direktnog unosa broja kartice na sajt trgovca.

• Tokenizacija: Ovi servisi koriste „tokene” – trgovac nikada ne vidi vaš pravi broj kartice, već samo privremeni digitalni kod koji važi samo za tu transakciju.
• PayPal zaštita: PayPal nudi dodatni nivo zaštite kupaca i lakši povraćaj novca (dispute) ako roba ne stigne ili je lažna.

12. Ne koristite javni Wi-Fi za bankarstvo

Nikada se ne prijavljujte u aplikaciju banke i ne unosite podatke kartice dok ste na besplatnom Wi-Fi-ju u kafiću, na aerodromu ili u tržnom centru. Hakeri mogu relativno lako da „presretnu” podatke na nezaštićenim mrežama. Koristite isključivo svoj mobilni internet (4G/5G).

13. SMS kod nije uvek dovoljan (Pređite na Authenticator)

Gde god je moguće (za Google, Apple ili PayPal naloge), umesto potvrde preko SMS koda, koristite aplikacije kao što su Google Authenticator ili Microsoft Authenticator. SMS poruke mogu biti presretnute (SIM swapping napadi), dok su kodovi u aplikaciji vezani isključivo za vaš fizički telefon.

14. BIN napadi (Brute-force pogađanje kartice)

Hakeri danas koriste softver koji automatski generiše i isprobava hiljade kombinacija brojeva kartica, datuma isteka i CVV kodova dok ne „pogode” ispravnu.

Znak za uzbunu: Ako vidite transakciju od 0 ili 1 dolara (ili par dinara) koju niste vi napravili, to je često „testiranje” kartice od strane botova. Odmah blokirajte karticu, jer obično sledi mnogo veći iznos čim bot potvrdi da je kartica aktivna.

15. Digitalni skimming (Magecart napadi)

Ovo je moderni ekvivalent fizičkom „skimeru” na bankomatu. Hakeri ubacuju zlonamerni kod direktno na stranicu za plaćanje nekog poznatog web shopa. Kod „snima” podatke dok ih kucate.

Zaštita: Koristite „Tap to Pay” (beskontaktno) ili Apple/Google Pay kad god možete, čak i online, jer oni šalju enkriptovani token umesto vaših stvarnih podataka koji bi mogli biti snimljeni.

16. Beskontaktno „pražnjenje” bez PIN koda

Ovo je najlakši način da ostanete bez novca ako izgubite karticu ili vam je neko „pozajmi” iz novčanika.

• Problem: Svako ko ima vašu karticu u rukama može da uđe u 10 različitih prodavnica i u svakoj kupi nešto za 4.990 dinara. Za ove iznose (do 5.000 RSD) terminal ne traži PIN.
• Realnost: Lopov može za pola sata da potroši 50.000 dinara sa vašeg računa, a da nijednom ne unese šifru. Banka će to videti kao legitimne male kupovine.
• Spas: Jedini način da se ovo spreči je da u aplikaciji banke podesite limit za beskontaktno plaćanje na minimalni iznos ili da potpuno isključite tu opciju.

17. Dina kartice i „šuplja” online zaštita

Ovde leži velika opasnost, posebno kod starijih sugrađana i osnovnih paketa računa.

• Primer: Ako neko (npr. unuk ili poznanik) uzme karticu i prepiše brojeve, može da kupuje na domaćim sajtovima (dopune za igre, oglasi, tehnika) bez ikakvih problema.
• Zašto? Za razliku od Vise i Mastercarda koji skoro uvek traže SMS kod, mnoge Dina kartice nemaju nikakvu dodatnu potvrdu transakcije. Dovoljno je uneti broj sa kartice i novac odlazi odmah – bez ikakvog SMS koda ili obaveštenja.
• Savet: Ako imate Dina karticu koju ne koristite za internet, obavezno u mobilnoj aplikaciji ili u banci tražite da se potpuno zabrani online plaćanje tom karticom.

Još jedna bitna dopuna za sigurnost: ako je transakcija zaista neodobrena, NBS navodi da pružalac platnih usluga ima obaveze u vezi sa povraćajem novca kod neodobrenih transakcija, a korisnik treba da uloži reklamaciju banci izdavaocu kartice.

Više informacija možete pronaći na zvaničnom sajtu NBS: Zloupotreba platnih kartica(https://tvojnovac.nbs.rs/sr-Latn-RS/finansijski_proizvodi/platne_kartice/zloupotreba_platnih_kartica)