E momentul să răspundem la întrebarea: chiar credem tot ce ne servesc băncile sau cercetăm noi care e realitatea? Anul acesta am aflat că băncile au început din ce în ce mai mult să ofere astfel de carduri și chiar Carrefour îți dă o Cola de 0.25 gratis dacă faci plata printr-un astfel de card.

Studenți cărora li se fac carduri la început de facultate, bătrâni cărora li se fură banii din conturi, angajați care cred că sunt în siguranță chiar dacă stau cu cardul în portofel, șefi de bănci care ajung la pușcărie înaintea angajaților, sau taximetriști care nu te-ntreaba dacă plătești cu cardul. Știi și tu câțiva, prietenii tăi știu și ei câțiva. Asta inseamna că nu suntem chiar așa protejați de atacuri informatice.

Cu contactless ai acum si mai multa putere sa furi datele…

contactless

PS: Orice asemănare cu o oarecare reclamă e strict întâmplătoare.

Am citit articolul dumneavoastra referitor la serviciul de Mobile B@nking al UniCredit Tiriac Bank, aparut pe blog pe 18 octombrie. Pentru ca nu ati incercat inca serviciul nostru, am dori sa facem cateva precizari in ceea ce priveste securitatea acestuia, astfel incat sa aveti o privire de ansamblu mai larga asupra subiectului in cauza.

Astfel:

–       comunicatia este criptata, folosind protocolul MSCP proprietar de criptare a datelor si este incapsulata in trafic HTTP, de aceea la autentificare se vede in clar comunicatia HTTP. Am facut aceasta alegere pentru a suporta si terminale mai vechi care nu puteau folosi protocolul HTTPS;
–       protocolul MSCP foloseste criptografie RSA pe 1024 biti pentru schimbul chei de sesiune, cat si criptare 3DES pe 128 biti pentru criptarea traficului dintre client si server;
–       codul PIN pentru accesul si semnarea tranzactiilor prin intermediul aplicatiei de Mobile B@nking nu este stocat si nici nu este transmis explicit prin comunicatie;
–       la semnarea platilor se utilizeaza doua metode: challenge-response si MAC, pentru adaugarea unui plus de securitate informatiilor transmise.

Speram ca informatiile de mai sus va sunt de ajutor si pentru orice alte informatii referitoare la acest produs sau la alte produce ale bancii noastre, va stam la dispozitie.

Va multumim,
Echipa UniCredit Tiriac Bank

Cu alte cuvinte se folosește HTTP peste tot, însă informațiile transmise sunt criptate. Oare cheile de criptare sunt stocate în codul aplicației?

Încă de la început pot spune că prea multe nu sunt de analizat – și veți vedea de ce. Cred că cel mai mare noroc al lor e că fac parte din grupul Erste.

O luăm mai întâi pe partea de conexiune cu banca, via web. Orice încercare fie de autentificare sau de a vedea pur și simplu locațiile băncilor din apropiere (iar pentru asta nu trebuie sa fiu logat) s-a lăsat cu un mesaj de eroare de comunicare. Snifferul nu a prins absolut niciun trafic.

Inițial am zis că aplicația chiar nu funcționează, așa că am trecut la analiza codului aplicației.  Mi-am dat imediat seama de ce aplicația refuza orice trafic extern:

Aplicația verifică dacă certificatul folosit de serviciul web al 24banking este semnat de Verisign și aparține BCR. Pentru a înțelege mai bine cum stau lucrurile, pentru a putea intercepta traficul HTTPS eu folosesc fie un certificat semnat personal, deci nu de o autoritate competentă precum Verisign, ce conțtine datele de identificare al hostului (în cazul acesta 24banking.ro) fie un certificat semnat de o autoritate competentă ce însă nu mai este pentru același host. Ei bine, aplicația, făcând aceste verificări, nu mai permite conexiunea deci își dă seama dacă traficul este capturat și decriptat de către altcineva.

Tot pe partea de cod am observat că întrega comunicație se face în mod securizat și nu se permit altfel de conexiuni.

Am zis că vreo scăpare tot trebuie să aibă așa că nu am mai folosit propriul certificat ci am folosit un tool care acționează ca un proxy și forțează comunicarea prin HTTP din partea clientului (aici al aplicației) iar mai departe transmite prin HTTPS la destinație. Dar pentru a funcționa este nevoie de cel puțin un redirect din HTTP către HTTPS din partea aplicației. Gândiți-vă ca scrieți în browser http://www.bancamea.ro iar banca transmite browser-ului că această comunicație ar trebui să fie criptată, astfel încât veți fi redirecționat către https://www.bancamea.ro. Ori, în cazul acestei aplicații totul se face din start pe HTTPS din start deci nu ai ce captura. Ca o paranteză, acesta este unul din motivele pentru care mereu tastez manual https când e vorba să accesez conturile bancare, contul de email, Paypal și altele. Așadar nici aici nu am găsit o problemă.

Ce a mai rămas de analizat sunt datele stocate local, pe dispozitiv, de către aplicație. Ideea era următoarea: mă conectez cu un cont valid, nu fac deloc sniffing și las contul conectat să vedem dacă sunt automat deconectat și ce date mai rămân după.

După conectare și aproximativ 5 minute aplicația mă anunța că am fost deconectat pentru a-mi fi protejate datele. Lucrurile sunt din ce în ce mai bune. Pot spune că am întâlnit aplicații care nu făceau acest lucru. Imediat am copiat datele stocate în cache de către aplicație și…

… NIMIC! Toate informațiile au fost șterse în momentul de-autentificării. De ce e foarte important acest aspect? După cum observați, avem mai multe câmpuri iar unul dintre ele este „expires”. Acum gândiți-vă că v-ați conectat prin aplicația mobilă a băncii, nu ați dat log-off (sau ați dat, e mai puțin important) iar după câteva minute v-ați pierdut dispozitivul mobil. Puteți bloca într-adevăr SIM-ul, cardul, dar nu puteți bloca și datele aflate pe smartphone de exemplu. În cache-ul telefonului se află informațiile despre o sesiune de-a dumneavoastră cu banca. Atunci când o persoană rău-voitoare va încerca să deschidă aplicația bancară, i se va cere să se conecteze întrucât sesiunea precedentă e expirată. Asta doar dacă nu cumva modificăm valoarea expired a acelei înregistrări și o setăm la o data ulterioară. Astfel, la următoarea deschidere a aplicației acea persoană va fi conectată automat la contul dumneavoastră, fără a i se cere user, parolă – chiar dacă acea parolă e generată de un token ce se află încă în posesia dumneavoastră. Degeaba ați blocat cardul, tranzacțiile din contul de online banking tot funcționează. Cred că nu mai e necesar să spun că am gasit aplicații bancare ce nu șterg datele din cache și că exemplul dat anterior nu e SF, ci chiar funcționează

Concluzia: felicitări BCR! Este cea mai sigură aplicație bancară dintre cele testate.

PS: Din motive evidente nu voi da numele aplicațiilor bancare care au probleme exterm de mari cu securizarea datelor așa cum aminteam anterior.

Întrucât nu am cont la ei nu pot spune ceva despre modul în care sunt stocate datele pe dispozitiv deoarece nu mă pot loga în aplicație. Însă un simplu sniffing de trafic arată asta:

Traficul este HTTP, necriptat (port 80) și a fost făcut la încercarea de autentificare.

Acum dacă e să analizăm și partea de cod ne este confirmat încă odată acest lucru:

hr.asseco.android.remoting.d locald = new hr.asseco.android.remoting.d(new hr.asseco.android.remoting.a.d(„http://mobro.unicreditbanking.net/PS”, „1000333”, str1, arrayOfString1[0], arrayOfString1[1]));

Din păcate se pare că absolut toată comunicația se face necriptat:

String str1 = localRowData.c;
if ((str1.toLowerCase().startsWith(„http://”)) || (str1.toLowerCase().startsWith(„https://”)))
continue;
str1 = „http://” + str1;

:try_start_0
const-string v0, „http://mobro.unicreditbanking.net/d/<CONFIG_ID>/MobileBanking.cfg”

Cu alte cuvinte, dacă din greșeală ajungi pe HTTPS mai bine du-te pe HTTP (e mai sigur pentru bancă).

Din păcate pentru utilizatori nu mai este deloc sigur. Gândiți-vă doar că sunteți conectați pe o rețea wireless publică și vă accesați contul bancar, iar cineva vă interceptează datele. Întrucât comunicația nu este criptată nu mai e nevoie de alte trucuri pentru vedea datele în clar, cu un banal WireShark. Iar de aici până la a vă dispărea banii din cont mai e un singur pas.

Sigur, poate că nu voi ați făcut tranzacția respectivă, dar încercați să demonstrați asta băncii, mai ales că băncile după cum am văzut nu prea își dau mare interes dacă pierderea e de partea clientului.

Este inacceptabil ca o bancă să nu cripteze traficul ce vine către ea. Ca o notă de subsol, acum vreun an am trimis un mail la top 10 bănci din România în care am întrebat dacă traficul dintre POS și bancă este criptat, iar cele 4-5 bănci care mi-au răspuns au spus că această informație este confidențială. Mi se pare normal, nu trebuie eu să știu dacă datele mele sunt în siguranță, trebuie să am încredere oarbă că banca mă protejează pe mine.

The researchers conducted an attack that succeeded in tricking a card reader into authenticating a transaction, even though no valid PIN was entered. In a later test, they managed to authenticate transactions, without the correct PIN, with valid cards from six different card issuers.
In particular, the terminal can record that a PIN verification has taken place, while the card itself receives a verification message that does not specify that a PIN has been used. The resultant authorization by the terminal is accepted by the bank, and the transaction goes ahead.

This means that while a PIN must be entered, any PIN code would be accepted by the terminal, the researchers said in a paper entitled Chip and PIN is Broken.

Asta înseamnă că atât pe acea chitanță cât și în jurnalele băncii va apărea faptul că a fost o tranzacție verificată cu PIN. Vedeți și demo cu tot cu explicații plus explicațiile stupide ale băncilor:

Acum mai demonstrează că nu tu ai scos banii.

Alții au afirmat că fără poliție nu poți face nimic, că mai întâi trebuie să faci o plângere la poliție. Mai mult sau mai puțin adevărat. Iată un răspuns venit chiar din partea BRD în care spune cum fac ei investigațiile, de aici:

Aici trebuie precizat ca notiunile de neglijenta, rea-credinta sau intentie de frauda sunt interpretate de banca, impreuna cu procesatorul de carduri (MasterCard, Visa), cu ajutorul politiei.

Legal, într-adevăr, banca este acoperită, conform normelor BNR în care se precizează următorul lucru:

Art. 26. – Prin derogare de la prevederile art. 25, detinatorul nu este raspunzator pentru tranzactiile executate, daca instrumentul de plata electronica a fost utilizat fara a fi prezentat fizic sau fara identificarea electronica a acestuia (PIN, coduri de acces).

… conform Regulament BNR nr. 6 din 11/10/2006 privind emiterea și utilizarea instrumentelor de plată electronică și relațiile dintre participanții la tranzacțiile cu aceste instrumente. Așadar, teoretic, chiar dacă ați face o tranzacție în țară iar după câteva minute o alta într-o altă țară, atâta timp cât aceste tranzacții au fost verificate cu PIN, singurul răspunzător ești tu! Consider că acest regulament ar trebui adaptat la noile tipuri de atacuri existente în acest moment.

Banca ar fi putut face mai multe investigații? Cu siguranță! Dar de ce să îți pese de client?

Bineînțeles că a făcut și o plângere către banca în cauza BRD și răspunsul primit a fost următorul:

Stimate Domn (Doamnă) (oare nu puteau oferi un răspuns personalizat?)

Referitor la avizul de refuz de plată întocmit pentru o operațiune de eliberare numerar din data de 30/12/2011 în valoare de 1000 RON efectuată la ATM BRD […]

vă facem cunoscut faptul că s-au întreprins măsurile necesare în vederea soluționării contestației Dvs., însă, pe baza jurnalului și a balanței ATM-ului mai sus menționat a rezultat faptul că această operațiune a fost finalizată. ATM-ul eliberând numerarul solicitat.

Menționăm faptul că această tranzacție a fost efectuată în mediu electronic (ATM) cu un card electronic. În această situație tranzacția nu putea fi efectuată decât prin utilizarea simultană a cardului și a codului PIN, care este unic și care trebuie cunoscut doar de Dvs.

În aceste condiții considerăm contestația Dvs. nejustificată și ca urmare contul Dvs. a fost debitat cu suma de 6 RON, reprezentând comisionul aferent pentru inițierea nejustificată a unui refuz de plată.

Bineînțeles că banca nu mai are imaginile de la ATM și nici nu s-a sinchisit măcar să facă investigații mai amănunțite. Știrea e mai jos:

Întâmplarea face să am și eu un card ca al doamnei în cauză. Cardul respectiv e cu chip EMV care, cu un reader banal poate fi citit și se pot vedea informațiile stocate pe el. Informațiile nu pot fi șterse sau modificate întrucât e necesar un certificat de securitate.

Așadar, dacă banca ar fi fost interesată să afle cu adevărat ce s-a întâmplat ar fi putut cere și cardul pentru a verifica ce s-a întâmplat. Pe acest chip sunt trecute câteva informații ajutătoare:

Application Transaction Counter (ATC) și Last Online ATC Register – prima informație arată câte citiri ale chip-ului au fost făcute, iar ultima câte tranzacții (inclusiv citiri) au fost sincronizate cu serverul. Cu alte cuvinte, eu daca citesc o singură dată acest chip, valoarea ATC va fi valoarea LOATC + 1. După ce merg și îl pun într-un bancomat, valorile vor fi egale.

Mai mult decât atât, pe chip există inclusiv un log cu ce tranzacții au fost făcute, valoarea, data și modalitatea de autentificare (dacă a fost folosit PIN-ul spre exemplu). Iată ce am eu:

Transaction Log:
Log Format:
Cryptogram Information Data (1 byte)
Amount, Authorised (Numeric) (6 bytes)
Transaction Currency Code (2 bytes)
Transaction Date (3 bytes)
Application Transaction Counter (ATC) (2 bytes)
Upper Cumulative Domestic Offline Transaction Amount (6 bytes)
Log Record(s):
Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 00 20 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 06 22
Application Transaction Counter (ATC): 01 17
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00
Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 04 00 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 05 28
Application Transaction Counter (ATC): 01 14
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00
Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 16 00 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 05 21
Application Transaction Counter (ATC): 01 13
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00

Astea sunt doar câteva exemple, că logul e plin. Să luăm a2a înregistrare:

Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 04 00 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 05 28
Application Transaction Counter (ATC): 01 14
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00

Am facut o tranzactie de valoare 400, în moneda RON, pe data de 28-05-2012, tranzactie cu codul 14. Ultima valoare indică cât mi se poate lua într-o tranzacție offline (de exemplu când plătesc la un POS din avion, în timpul zborului, când nu există conexiune directă cu serverul).

Upper Cumulative Domestic Offline Transaction Amount: Issuer specified data element indicating the required maximum cumulative offline amount allowed for the application before the transaction goes online.

Totodată mai observați că între prima și a2a tranzacție, contorul sare de la 14 la 17, ceea ce înseamnă că am avut câteva tranzacții de tipul Card Not Present, în cazul meu fiind vorba de tranzacții online. Dar chiar și acestea au fost înregistrate undeva, deci contorul nu a sărit de la 14 la 15.

Din păcate astea sunt băncile de la noi, iar BRD-ul dă încă odată dovadă de nepricepere, durere în fund, servicii proaste.

Chiar și în condițiile de mai sus e foarte posibil ca banca tot să nu-și fi recunoscut vinovăția întrucât câți știu că pe chip se scriu loguri?

Ca recomandări:

• folosiți o bancă mai serioasă – până acum cea mai sigură pentru mine e ING
• activați notificare prin mesaje scrise pentru tranzacțiile ce depășesc o anumită sumă
• setați pragul maxim așa cum considerați pentru tranzacțiile la POS, ATM, făcute atât la banca proprie cât și la alte bănci
• schimbați PIN-ul lunar
• țineți sumele mari într-un alt cont ce nu are atașat un card

BRD fură, BRD face fraudă, BRD înșeală clienții, BRD are comisioane mari, BRD are cele mai dotate fătuci la front-office.

UPDATE: câteva precizări noi găsți aici.

Se da o banca mare al cărei nume nu-l voi dezvălui. Să zicem BCR. Întrucât doream (nu eu, dar nu mai are importanță) să fac un alt tip de card, mă duc liniștit la bancă și cer acest lucru.

– Nu se poate deoarece aveți un pachet activat și ar trebui să dezactivăm tot pachetul.
– Cum, pe același cont nu pot avea două carduri diferite?
– Nu. Iar pentru a-l dezactiva trebuie să mergeți la agenția unde l-ați făcut.

O cred pe cuvânt pe tanti (mare greșeală) și merg la cealaltă agenție să închid pachetul. Acolo aflu că aș fi putut face același lucru la orice altă agenție. Cardul dorit era unul contactless și vine prima întrebare stupidă

– Dar de ce vreți cardul astă?

După ce încerc să-i explic frumos că nu e treaba ei, finalizîm procedurile de închidere a pachetului. De aici pornesc înapoi la agenția inițială pentru a deschide un nou cont și cardul aferent. Iar vine o întrebare stupidă:

– Dar de ce nu ați deschis la cealaltă agenție contul?
– Pentru că aici e mai aproape de locuință.
– Așadar vreți Visa Electron
– Nu, vreau cardul *******
– Inițial așa mi-ați spus
– Nu, nu v-am spus asta
– Sigur? [Deja nu îmi venea să cred că începe să caute fuga de responsabilitate și tare i-aș fi zis ceva de dulce]
– Foarte sigur
– Stați să văd. [Aici stă pe site și caută informații despre card] Văd că acest card are inclus un card de transport la RATB.
– Da…
– Ăsta e pentru București
– Nu scrie nicăieri faptul că acest card îl pot avea doar cei din București
– Și totuși de ce îl vreți?
– Pentru că pot face plăți contactless
– Nu am mai făcut cerere pentru acest tip de card și nu știu cum se face…
– … [ce aș fi putut să-i zic?]

Încearcă să deschidă un nou cont și surpriză! Nu reușește!

– Văd că apare de 2 ori același cod unic de client. De ce aveți același cod unic de 2 ori? [iar aici se uită la mine]
– Eu de unde să știu?
– Dar de ce vreți acest card?
– V-am mai spus, pentru că suportă plăți contactless

Aici intervine un coleg de-al ei (atenție, ea era șefa de birou!) și încearcă să-i rezolve problema. Nu reușește așa că mergem la el. Bineînțeles că întâmpină aceeași problemă cu codul unic. Soluționarea: trimis prinscreen la helpdesk, urmând a fi contactat în zilele următoare.

Rămâne de văzut dacă vor reuși să îmi deschidă contul și să atașeze acest tip de card. Din păcate, din diferite motive, sunt obiligat să merg cu această bancă. Altfel plecam de mult.

Vă las pe voi să comentați atitudinea foarte profesională angajaților acestei bănci al cărei nume nu-l voi da (să zicem că e BCR)

Există însă posibilitatea de a o instala chiar dacă nu eşti în US. Nu, nu e prin a avea conexiune de US întrucât, la deschidere, aplicaţia detectează reţeaua de telefonie mobilă în care eşti. Pentru asta trebuie instalată o altă aplicaţie, Market Enabler pe numele ei, ce schimbă reţeaua anunţată, mai exat setează gsm.sim.operator.numeric la un alt cod al ţării şi reţelei. Din păcate pentru asta e nevoie de root. Procedura întreagă de instalare o găsiţi aici – click me.

După ce am rootat telefonul şi instalat Google Wallet, am primit chiar 10$ bonus pentru a-i folosi. Aceşti bani sunt pe un card preplătit virtual, pe care îl puteţi alimenta cu cardul vostru – orice card folosit pentru PayPal va funcţiona. Se pot adăuga inclusiv detaliile de pe un card real, însă momentan Google acceptă doar cardul de la Citi Mastercard US plus ceva Gift card.

Nu prea credeam că va funcţiona vreo tranzacţie deoarece eu pe cardul prepay am dolari americani, iar plata o fac în lei. Ei bine, azi am avut ocazia să testez funcţionalitatea plăţii.

Ştiam că există destul de multe magazine ce au un dispozitiv special pentru plăţile contactless şi, dacă tot am ieşit la cumpărături, am mers până la InMedio. Am cerut un pachet de ţigări şi am specificat că vreau să fac plata prin contactless. Am scos telefonul din standby şi l-am apropiat – bip şi gata!

– A mers?
– Da, acum vă dau chitanţa

WOW! Superb, mai vreau încă un pachet însă acum voi înregistra. Vânzătoarea a fost de acord şi iată ce a ieşit:

Am mai stat puţin de vorbă cu ea şi i-am explicat cum funcţionează, după care asta a fost tot. M-am făcut cu 2 pachete de ţigări pe gratis – mulţumesc Google Chitanţele arată astfel:

Abia după vreo oră am putut vedea exact câţi bani mi-au fost luaţi. Ei bine, rata de schimb e cu mult mai avantajoasă decât cea oficială. Rata oficială e de 3.4110, iar eu am fost tarifat cu o rată de 3.3430 (11.5 RON / 3.44 USD). Din ce am citit, e posibil ca la alte bănci să fie o diferenţă mai mare şi mai bună pentru cumpărător.

Iată şi ceva imagini cu aplicaţia şi tranzacţiile făcute.

Până acum nu mai ştiu alte persoane care să fi făcut asta în România. Mă gândesc să îmi alimentez contul Wallet şi să văd dacă la alte bănci e mai convenabil cursul.

Plăţi plăcute!

Bineînţeles că nu era nevoie de nicio certificare întrucât orice terminal cu NFC poate fi folosit pentru astfel de plăţi. Dar de ce să nu inventăm noi încă o emblemă pentru tipul ăsta de plată, nu că n-ar fi destule, şi de ce să nu mai încasăm noi ceva bani de la producători pentru a avea o astfel de certificare?

Cineva spunea că MasterCard certifică faptul că plăţile sunt sigure cu aceste terminale, însă nu e deloc aşa – nu sunt nici sigure şi nici nu certifică acest lucru. În comunicatul de presă spun asta:

MasterCard Worldwide today announced several near field communications (NFC) enabled smartphones have been certified for use with MasterCard PayPass® technology, providing consumers with devices capable of making fast, secure contactless payments at hundreds of thousands of PayPass merchant locations around the globe.

By working closely with standards bodies including EMVCo and the NFC Forum, MasterCard continues to lead the industry in testing and certification processes for mobile payment devices. Devices certified by MasterCard go through a rigorous testing process by a MasterCard-accredited laboratory to ensure devices are functionally reliable and interoperable.

Practic ei se asigură prin aceste teste că plăţile funcţionează, că sistemele comunică bine între ele. Dacă e să vorbim de securitate, atunci avem mai multe aspecte (componente) pe care cei de la MasterCard nu au cum să le testeze pe toate:

1. plata în sine, ce nu este chiar atât de sigură – vezi de ce

2. Telefonul, pentru a putea face o plată prin NFC, are nevoie de o aplicaţie care să ştie să facă acest lucru. Ori pentru a testa aplicaţia nu este chiar atât de simplu deoarece trebuie văzut ce date stochează, cum le stochează, în ce format, modul de criptare (dacă există), modul de comunicare cu un alt server (dacă există)

3. Dacă e să vorbim de o aplicaţie ce trebuie să comunice şi cu un alt server, aşa cum e Google Wallet, pentru a lua informaţii despre cardul prepaid, atunci intervine şi reţeaua de telefonie – conexiunea la reţeaua operatorului e sigura? sunt criptate datele?

4. Alte aplicaţii pot influenţa şi ele, mai ales dacă vorbim de un telefon cu drepturi de root, întrucât oricând o altă aplicaţie poate captura informaţiile din aplicaţia de plată

E simplu să spunem că tranzacţia e sigură, fără a ne gândi la toate aspectele.

Astăzi telefonul mă anunţă că mi s-au luat ceva bani din cont ca urmare a unei plăţi online. Ştiind că ultima plată online a fost luna trecută, încep să fac ceva investigaţii. Verific online contul şi observ că banii au fost luaţi pentru o tranzacţie făcută pe data de 03-04-2012 în valoare de 48.73 RON. Întrucât la momentul plăţii online primesc şi email de confirmare, fac o căutare prin mesaje după această sumă şi constat că trazacţia a fost făcută pe data de 16-03-2012, acum 3 săptămâni! Primul gând a fost că banii mi-au fost luaţi de 2 ori întrucât chiar verificasem atunci contul şi suma apărea ca fiind blocată. După rularea unui raport prin care ceream extrasul din ultimele 3 luni, surpriză! Nu exista nicio debitare către epayment cu această sumă, decât cea de astăzi.

Sun la cei de la Gecad şi le explic situaţia, iar răspunsul lor a fost că banca abia acum a autorizat tranzacţia. Ciudat, până acum nu mai păţisem asta. Aşa că sun şi la bancă să aflu cum stă treaba. Banca mi-a spus clar: pe data de 16-03-2012 am făcut tranzacţia, după care ea nu a fost finalizată întrucât Gecad nu a mai cerut banii. Pe data de 03-04-3012 banca primeşte cererea de debitare a contului meu pentru o tranzacţie de 48.73 iar suma îmi este luată azi, după 2 zile. Dreptate dau băncii întrucât pe data de 3 aprilie am primit mail de la Epayment prin care mă anunţau că produsul mi-a fost livrat (este mail standard, indiferent dacă e vorba de un produs fizic sau electronic), însă nu l-am băgat în seamă atunci.

De ce a durat 3 săptămâni până când cei de la Gecad au cerut banii nu am cum afla. Iată şi ceva imagini să vă convingeţi:

Obsevaţi data, numărul comenzii şi data livrării. M-am convins încă odată că problema e la Gecad în momentul în care am verificat contul la o altă bancă unde plata online a fost făcută pe 22-03-2012 şi încă nu mi-au fost luaţi banii şi suma nu apare nici măcar ca fiind blocată. Problema pare a fi doar pentru luna martie, întrucât o comanda făcută luna aceasta pe acelaşi site, procesatorul fiind tot PayU, a fost finalizată în 4 zile.

Way to go PayU! Voi aţi avut astfel de probleme?