Topic: [GUIDA] Carte prepagate: problemi di sicurezza (Read 9542 times)

Sembra che non sia più possibile ricaricare la carta paypal di altra persona ma solo la propria tramite esercente.
Rimane la possibilità di fare ricarica da carta a carta.
confermate?

Carding Postepay
a nulla serve il servizio verified by VISA per proteggere dagli usu fraudolenti la carta, basta conoscere il codice fiscale e si riesce a sostituire la password senza conoscere la precedente (testato)

grazie per la guida!! non ci sto capendo ancora molto ma l'hai scritta bene

Scusa ma se un acquirente deve ricaricarmi la carta paypal, non lo può fare tramite bonifico?
Dovrà semplicemente inserire il mio nome, cognome indirizzo e IBAN, c/o CARTALIS ISTITUTO DI MONETA ELETTRONICA S.p.A., e il gioco è fatto! 
Che rischio c'è in questo caso?

Aggiunti mirrors della guida per renderla più decentralizzata:

Il vantaggio più importante imho è il fatto che con superflash tu al tabacchino per ricaricarla dai un codice scritto dietro alla carta (esatto, non il codice a 16 cifre tipico della postepay o della prepagata paypal): questo rende impossibile il carding perché un malintenzionato come unica info utile si ritrova l'intestatario

Fonte: https://bitcointalksearch.org/topic/come-entrare-nel-mercato-bitcoin-online-300456

grazie per i consigli,
hai nominato la Superflash, puoi spiegare brevemente quali sono i vantaggi, grazie

Grazie, apprezzo molto! 

Guida Imperiale#2 !
Credo che anche il tuo post "Scam (truffe): come difendersi?" (la Guida Imperiale#1) debba essere messa tra gli stickies.

Grazie!

PS: inviata una piccola tip.

[EDIT]
Ho visto ora che esiste un thread "indice" in cui è listata l'altra guida:
https://bitcointalksearch.org/topic/domande-frequenti-e-raccolta-guide-indice-23173

Questa guida nasce con l'intento di informare la comunità sui problemi più gravi e compromettenti che le principali prepagate presentano: sono sicuro che più gente verrà a conoscenza di questi metodi di truffa, più saranno difficili da attuare per gli scammer che già li sfruttano o li sfrutteranno. Un buon modo per proteggersi sin da subito è utilizzare carte prepagate che rendono più difficile l'utilizzo degli exploit sotto elencati, al momento quella che mi sento di raccomandare è la superflash di intesa san paolo. Buona lettura!

Postepay

Postepay è la carta prepagata più diffusa d'italia, emessa da posteitaliane parecchi anni fa, è diventata popolarissima per la facilità di ottenimento e di ricarica. Non ha canoni mensili o annuali, ma commissioni su ogni transazione fatta (in entrata o in uscita). Come possiamo leggere da wikipedia: Nonostante l'impossibilità di inserire una causale, postepay è comunque largamente utilizzata per i pagamenti, perché facilmente ricaricabile da tabaccheria/punto sisal; con il tempo, quindi, è stata utilizzata anche dalla moltitudine di trader che comprano e soprattutto vendono bitcoin ogni giorno.

Blocco della carta

Premessa: l'argomento è ancora parecchio incerto ed ogni suggerimento fondato e dimostrabile per migliorare il paragrafo è ben accetto

> Tipo di transazione: Vendita di bitcoin

> Gravità: 6/5

> Funzionamento: Viene ricevuta sulla propria postepay una ricarica da un conto bancoposta impresa online (BPIOL), qualche ora dopo, la carta con i fondi al suo interno viene bloccata. Il servizio clienti delle poste come spiegazione riuscirà solamente a dirvi qualcosa come "tentativo di phising", senza la possibilità di ritirare i soldi presenti. Aprire un reclamo non servirà a molto, dopo svariate esperienze di più utenti con carte bloccate, infatti, si è arrivati alla conclusione che le poste semplicemente se ne fregano dei vostri soldi e non fanno nulla. Attualmente non è mai capitato, ne personalmente, ne a miei conoscenti, di riuscire a sbloccare una carta freezata per ricarica BPIOL

> Come difendersi:
  - Tenete pochi soldi sulla carta, prelevando in continuazione, nell'eventualità di minimizzare la perdita in caso di blocco.
  - Appena un cliente vi ricarica la carta, controllate dall'interfaccia web il tipo di ricarica che ha effettuato: se risulta fatto da BPIOL correte ad un ATM a ritirare al più presto tutto quello che potete prelevare dalla postepay, è probabile che dopo poco venga bloccata!
  - In caso di avvenuto blocco, se non avevate cifre alte buon per voi, quelle briciole rimaste sulla carta hanno scarsissime speranze di essere recuperate. Se invece avete avuto la sfortuna di avere sopra somme forti consiglio di aprire inizialmente un (inutile) reclamo presso poste italiane, dopodiché provare a contattare l'arbitro bancario finanziario e provare a risolvere con lui la controversia


Uso fraudolento (carding)

Il rischio di trovarvi in una situazione del genere aumenta in modo esponenziale se si ha facile accesso ai vostri estremi di ricarica, è sempre bene stare attenti a chi inviare questi dati

> Tipo di transazione: Vendita di bitcoin

> Gravità: 4/5

> Funzionamento: Quando un venditore invia all'acquirente gli estremi della postepay che deve ricaricare, quest'ultimo entra in possesso delle seguenti informazioni: numero della carta, nome dell'intestatario e codice fiscale, sempre dell'intestatario. Quest'ultimo è un dato inutile a fini fraudolenti, mentre i primi due sono essenziali per lo scammer che vuole fare carding con prepagate trovate in questo modo.
Ora, per semplificarsi la vita, lo scammer quasi sempre va a spendere soldi presenti sulla carta del venditore su qualche sito di beni o servizi che non richiede l'inserimento del cvv2 nei campi d'aggiunta di una carta di credito/prepagata (Amazon per esempio, anche se sarebbe stupido da parte dello scammer inserire il suo vero indirizzo di spedizione di un bene perché verrebbe rintracciato). Non gli resta che "indovinare" la data di scadenza della carta, un informazione che, inutile dirlo, non richiede nemmeno un brute force informatico per essere trovata, ma un semplice "andare a tentativi".
E' più dispendioso e rischioso per lo scammer un brute force del cvv2, perché in linea teorica deve richiedere fino a 1000 autorizzazioni di pagamento su un pos online per trovare il codice a 3 cifre necessario per realizzare acquisti dove è richiesto. Spesso brute force su metodi di pagamento online con carte di credito/prepagate equivalgono a blocchi automatici della vostra carta.

> Come difendersi:
  - Sicuramente va citato uno dei consigli dati in precedenza: tenete pochi soldi sulla carta, prelevando in continuazione, nell'eventualità di minimizzare la perdita in caso di utilizzo fraudolento da parte di terzi.
  
Prepagata Paypal

La prepagata Paypal è una ricaricabile da poco creata dall'omonima azienda di pagamenti online e emessa da Lottomatica, apparentemente più comoda visti i limiti di deposito più alti, in realtà favorisce in maniera esponenziale il carding.

Uso fraudolento (carding)

Data la mole di informazioni richieste per la ricarica, possiamo facilmente concludere che la prepagata paypal non è nata, ne tantomeno è adattabile ad essere utilizzata per ricevere pagamenti

> Tipo di transazione: Vendita di bitcoin

> Gravità: 5/5

> Funzionamento: Analogo a quello di una postepay, su una prepagata paypal il rischio è molto più elevato per voi. Infatti quando date gli estremi per ricaricare la vostra carta, l'acquirente necessita pure della data di scadenza. Un potenziale truffatore quindi, ha già tutte le carte in regola per poter spendere i vostri fondi su un sito che non presenta nel metodo di pagamento il controllo del codice cvv2.
Ciliegina sulla torta, paypal ad ogni ricarica che fate (o che vi viene fatta), sulla ricevuta indica il saldo presente sulla carta, ergo uno scammer può anche avere il "lusso" di sapere quanto effettivamente potrà rubarvi! Questo rende la carta estremamente insicura per trattative con sconosciuti che vi comprano bitcoin.

> Come difendersi:
  - Oltre ai consigli già dati per difendersi dal carding su postepay, qui bisogna fare ancora più attenzione a chi dare gli estremi della propria prepagata Paypal. In generale è bene inviarli solamente a persone estremamente fidate.

Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5
La paternità dell'opera deve essere riportata ed essere visibile in modo chiaro qualora tale guida venga riprodotta su altri siti web o in altri formati.