Złodziej zbliżeniowy
Jak się zabezpieczyć przed coraz bardziej wyrafinowanymi złodziejskimi atakami na nasze karty płatnicze? Dziś oszust nawet nie dotykając obcego portfela z kartą jest w stanie „wyciągnąć” z cudzego konta pieniądze. Czy płatności zbliżeniowe są bezpieczne? Co zrobić, żeby złodziej nie zdobył numeru naszej karty wraz z kodem zabezpieczającym?
Płatności zbliżeniowe są bardzo powszechne. Przede wszystkim dlatego, że są wygodne. Bez konieczności wystukiwania czterocyfrowego PIN-u można zapłacić za drobne zakupy, bo z reguły na kartę nałożony jest 50-złotowy kaganiec. O tym, jak zgubne mogą być skutki utraty karty z taką właśnie możliwością płacenia, przekonał się niedawno kierowca z Torunia, który na dachu swojego auta zostawił portfel i odjechał. Zgubę znalazł 32-letni mężczyzna, który wspólnie z kompanem wykorzystał cudzą kartę, płacąc nią za zakupy w sklepach i posiłki w restauracjach - wykonał 22 transakcje o łącznej wartości 800 złotych!
- Wystarczy wprowadzić limity na karcie i nie byłoby takiego problemu - wymądrzali się internauci. Okazuje się, że oszuści mają i na to sposoby.
Jako narzędzie do nabijania na nasz rachunek większych kwot służą złodziejom popularne biletomaty, w których, oprócz biletu, można wykupić np. doładowanie do telefonu.
Jednak i bez fizycznej utraty karty można paść ofiarą złodzieja. Fama głosi, że w tłocznych miejscach publicznych (tramwaju czy autobusie) złodziej może zeskanować nasz portfel, torbę czy plecak, wykorzystując do tego bezprzewodowy terminal. Chodzi o rozpoznanie, czy ktoś ma przy sobie kartę z opcją płatności zbliżeniowych.
Różne metody
Taki atak jest jednak wyjątkowo niepraktyczny dla oszusta. Przede wszystkim terminale łatwo zidentyfikować, bo każde urządzenie jest zakontraktowane przez operatora. W dodatku pieniądze z banku do oszusta nie trafią natychmiast, ale dopiero po weryfikacji banku. Czy to oznacza, że tego typu ataki nie są możliwe? Niestety, są możliwe i w dodatku z wykorzystaniem dwóch telefonów komórkowych. To tzw. metoda na przedłużenie terminala. Gdy jeden oszust płaci w sklepie telefonem, połączony jest z drugim, który wyszukuje w dowolnym miejscu ofiarę z aktywną kartą zbliżeniową.
W sieci można znaleźć instrukcje, jak podobnym atakom, m.in. odczytywaniu danych z kart z wykorzystaniem łączności radiowej, zapobiec. Mówi się m.in., że można w tym celu przeciąć antenę, wtopioną w kartę. Niestety, nie dość, że w ten sposób można uszkodzić kartę, to przecięcie anteny jedynie osłabia sygnał, ale nie go dezaktywuje, dlatego najlepszym wyjściem jest schowanie karty w porządne etui.
Na każdej karcie jest umieszczony jej wypukły numer i trzycyfrowy kod zabezpieczającym z tyłu, przy podpisie. W wielu sytuacjach beztrosko podajemy swoją kartę np. sprzedawcy lub przy bramkach na autostradzie. Tymczasem ktoś nieuczciwy może zapamiętać dane - to raczej trudne, ale możliwe - lub skorzystać z zapisu monitoringu - te znajdują się w wielu sklepach nad kasami - i odtworzyć niezbędne dane. Posługując się nimi może dokonywać zakupów w sklepach internetowych.
Znane są też przypadki, kiedy w wypożyczalniach samochodów lub w hotelach pracownicy spisują wszystkie dane z kart płatniczych!
Ci którzy tak robią, tłumaczą, że w ten sposób gromadzą dane niezbędne do zwrócenia kaucji. Niektórzy sami naiwnie podają tego typu dane w Internecie. Jak donoszą użytkownicy branżowego portalu „Niebezpiecznik.pl”, pewien sklep internetowy, który handluje okularami, zachęca klientów do prezentacji przed kamerą karty, zwróconej paskiem magnetycznym w stronę obiektywu. Chodzi o pomiar rozstawu oczu. Problem w tym, że po tej stronie znajduje się również trzycyfrowy kod zabezpieczający. Gdyby znalazł się nieuczciwy pracownik lub zdjęcia przejęliby oszuści, łatwo odczytać również pozostałe dane. Zresztą już tylko sam numer karty daje oszustom duże pole do popisu. Jak ostrzegają eksperci branżowego portalu, po kilku nieudanych próbach weryfikacji karta powinna się blokować. Niestety, jest to funkcja opcjonalna i nie wszystkie sklepy ją wprowadzają, więc możliwe są sytuacje, kiedy oszuści metodą prób i błędów są w stanie ustalić pozostałe dane - twierdzą eksperci „Niebezpiecznika”.
Płatności za pośrednictwem przechwyconych numerów kart bankowych w niektórych sklepach są możliwe bez jakiejkolwiek weryfikacji, tj. podawania kodów zabezpieczających. W ten sposób można kupić np. programy komputerowe, które łatwo spieniężyć na internetowych aukcjach.
Oszuści w naszym kraju mają duże pole do popisu. Według badania Mastercard, Polska jest europejskim liderem pod względem popularności płatności zbliżeniowych. Prawie co czwarty polski konsument (23 proc.) dokonuje ich codziennie lub prawie codziennie. Jest to wynik aż ponad trzykrotnie większy niż średnia europejska. Kolejne 40 proc. ankietowanych przez Mastercard płaci zbliżeniowo co najmniej raz w tygodniu, czyli ponad dwukrotnie częściej niż w Europie. Z aktualnych danych Narodowego Banku Polskiego, na koniec I kwartału 2017 r. na rynku znajdowało się 37,7 mln kart płatniczych, z czego 29,4 mln z funkcją zbliżeniową. Przy takiej popularności płatności zbliżeniowych nic dziwnego, że oszuści szukają sposobów na uszczknięcie kawałka z tego tortu.
Czytnik i kamera
Jednak mimo rozwoju technologii, która ułatwia życie klientom banków (i, jak się okazuje, jednocześnie oszustom), wciąż popularną metodą kradzieży jest tzw. skimming. To metoda odczytywania danych z karty za pośrednictwem elektronicznych przystawek do bankomatu. W miejscu do włożenia karty przestępcy instalują czytnik. W przeszłości miał on formę nakładki, ale ze względu na coraz popularniejsze zabezpieczenia, przestępcy ograniczają się do elektronicznego układu. Jego zadaniem jest skanowanie paska magnetycznego. Jednocześnie instalowana jest kamera lub klawiatura, które przechwytują kod PIN karty. Wyobraźnia przestępców naprawdę nie zna granic! Kamery instalowane są w formie „bąbla” nad klawiaturą czy paneli imitujących oryginalną obudowę.
Na podstawie tak uzyskanych danych przestępcy kopiują kartę, tworząc jej złego bliźniaka. Jak mówią eksperci „Niebezpiecznika” w jednej ze swoich audycji, wystarczy kawałek tektury, taśma na przykład z kasety wideo, na które wgrywane są dane, i konto nieświadomej ofiary obciążają transakcje wykonywane z drugiego końca świata. To powoduje, że operacje na koncie są zauważane dopiero po dłuższym okresie czasu. W dodatku w przypadku mniejszych kwot nie prowadzi się międzynarodowych śledztw. Na szczęście, banki są coraz bardziej wyczulone na tego typu przestępstwa i często szukają telefonicznego potwierdzenia transakcji zawieranych na Dominikanie czy w Tajldanii.
W opisany wyżej sposób działali przestępcy, którzy dwa lata temu wpadli w Bydgoszczy. Obywatele Bułgarii zamontowali spreparowaną nakładkę na bankomat przy ul. Gdańskiej. Mężczyźni działali m.in. w Bydgoszczy, Łodzi i Poznaniu.
Nowe sposoby oszustów
Niestety, to niejedyny sposób oszustów. W ub. roku sieć obiegło nagranie cyberprzestępców, którzy za pośrednictwem specjalnej karty zainfekowali bankomat wirusem, uzyskując do niego dostęp! Nie tylko mogli wypłacać pieniądze z kasetki, ale też kompletnie niezauważeni mogli skanować karty wszystkich klientów.
O bezczelności złodziejów najlepiej świadczy fakt, że potrafią oni wpiąć się pomiędzy bankomat a instalację. Tego typu kradzieże odnotowano w Stanach Zjednoczonych, ale podobne bankomaty funkcjonują również w Polsce. Dlatego warto zachować czujność.
Jak ostrzegają internauci, przed skorzystaniem z bankomatu warto sprawdzić różne jego elementy.
Niechlujnie zamontowane gniazdko słuchawkowe czy czytnik kart mogą sugerować, że ktoś majstrował przy urządzeniu. Zdarzają się przypadki, gdy oszuści instalują nakładkę na klawiaturę - trzeba się jej dobrze przyjrzeć, z nakładką zwykle różni się od oryginalnej. Warto rozejrzeć się także dookoła bankomatu, sprawdzić czy na przykład nie zwisają z niego luźno przewody.
W czasie wpisywania PIN-u dobrze zakryć klawiaturę ręką lub portfelem, co, niestety, nie sprawdzi się w przypadku nakładki na klawiaturę.