foto: pixabay.com
Kao i svake godine, protekla praznična euforija donela je sa sobom povećanu internet kupovinu, a proporcionalno sa njom i povećan broj različitih prevara sa sličnim ciljem – da se ukradu podaci sa bankovnih kartica. Na koje sve načine kartice mogu biti kompromitovane
Jedan od članova foruma “Bezbedan Balkan” objavio je nedavno link ka prepisci na društvenoj mreži Redit, gde se razgovara o neobičnim transakcijama sa bankovnog računa. Naime, korisnik koji je pokrenuo diskusiju dobio je od svoje banke niz SMS poruka o plaćanjima koja nije sam inicirao. U nekoliko sekundi sa računa mu je skinuto oko dve stotine evra što je, kako je napisao, sve što je i bilo raspoloživo. Novac je nestao u seriji manjih transakcija, iniciranih jednom za drugom. Na temu se nadovezalo još nekoliko korisnika koji tvrde da im se slično dogodilo u različitim bankama, te da su im sa računa uglavnom nestajala sva raspoloživa sredstva iako su se kartice za vreme svih transakcija nalazile u njihovom posedu., piše vreme.com
S obzirom da su kartice kompromitovane, jedini način da se transakcije zaustave jeste da se kartica blokira u banci. U suprotnom će se plaćanja nastaviti dok god na računu ima sredstava. Međutim, novac se uglavnom potroši vrlo brzo, za svega nekoliko sekundi, eventualno nekoliko minuta. Podaci sa kompromitovanih kartica najčešće se dele u Telegram, Viber ili Whatsapp grupama gde korisnici poput lešinara vrebaju kada će se pojaviti nova kartica, te je onda iscede u nekoliko sekundi. Da bi iskoristili ukradene kartice, imaju unapred pripremljene internet narudžbine, koje samo finalizuju unošenjem podataka za plaćanje.
GRUPE ZA PREVARU
Autor ovog teksta je pre dve godine imao uvid u jednu takvu grupu na Whatsapp-u koja je brojala više od sto hiljada članova iz različitih država. Administratori su savetovali da se koriste kupovine sa manjim iznosom, uglavnom do stotinu evra, s obzirom da se onda smanjuje verovatnoća da se uđe u trag transakcijama. Drugim rečima, kada se novac razdeli na desetine, odnosno stotine plaćanja, vrlo verovatno je da niko neće ni pokušati da se bavi time, pogotovo što su korisnici rasuti širom sveta. Kartice su stizale na svakih nekoliko sekundi, a isto tako brzo i nestajale.
Naprednom pretragom interneta može se u svakom trenutku doći do grupa ovog tipa, pogotovo na Telegramu, a linkovi iz jedne obično vode u bezbroj drugih.
Ukradene kartice, pogotovo one sa većom likvidnošću, prodaju se i na DarkVebu, ali njihovo pronalaženje zahteva određene veštine. Grupama i kanalima na društvenim mrežama je mnogo jednostavnije pristupiti.
FIŠING NAPADI
Sa druge strane, ne dolazi samo do kompromitovanja kreditnih ili debitnih kartica. U fišing napadima žrtve neretko ostave kredencijale i od naloga na drugim platformama za plaćanje, poput PayPal-a. U nekoj od već dobro poznatih prevara, na koje ljudi i dalje nasedaju, napadač od žrtve izvuče podatke za logovanje na PayPal nalog, uglavnom tako što se ona sama uloguje preko pristupnog linka verujući da ulazi na regularan sajt. Kao i kod kartica, nalog se potom koristi za plaćanje na internetu. Nekada se ovi nalozi i preprodaju, tako što se traži manji novac od raspoloživog balansa, ali na taj način haker u potpunosti minimizira svoj rizik da bude lociran.
Međutim, i prodaje PayPal naloga sa balansom su često prevare, koje takođe služe za krađu podataka sa kartica ili drugih naloga na platformama za plaćanje.
Ista procedura važi i za “gift” kartice, poput onih koje nudi GooglePay sistem.
U nekim slučajevima, ako žrtva odmah prijavi prevaru, banka može stornirati plaćanja i inicirati povraćaj novca. Takođe, vlasnik kartice ili nekog platnog naloga može direktno kontaktirati sa platformom na kojoj je izvršeno plaćanje, te uz relevantne dokaze pokušati povrat novca. Međutim, postoji niz sajtova koji nude manje sigurna plaćanja, imaju niži stepen zaštite, a i politika im je takva da nisu prijateljski nastrojeni prema žrtvama internet prevara. Šanse da se tu ostvari povrat novca prilično su male. U pomenutim grupama, administratori upravo njih često preporučuju.
PUT DO KOMPROMITACIJE
Ovakve prevare nisu retkost, niti su nova pojava; postoje već godinama. Pa ipak, broj žrtava se ne smanjuje. To samo govori o nepostojanju elementarne svesti o pretnjama na internetu, kao i o neodržavanju bazične sajber higijene.
U većini slučajeva do kompromitacije je došlo putem interneta, odnosno napadač nikada nije došao u fizički posed kartice. Žrtva je upecana u nekom od masovnih fišing napada kreiranih tako da hvataju široki opseg potencijalnih žrtava. Da li je otvorila sumnjiv link koji vodi na stranicu, napravljenu tako da na prvi pogled podseća na neki postojeći vebsajt, ili pak podatke izdiktirala napadaču koji se lažno predstavio putem poziva, nije ni bitno – suština je ista. Krijući se iza lažnog sajta, napadač je ukrao podatke sa kartice i plasirao ih na crno tržište.
Sa druge strane, do kompromitacije ne tako retko dolazi i kupovinom preko malicioznih sajtova. Patike snižene sa dve stotine na deset evra i dalje privlače pažnju, a poneko i odluči da okusi sreću nadajući se da će mu stvarno biti isporučene. Naravno, umesto patika dobije niz obaveštenja od banke.
KLONIRANJE KARTICA
Još jedan od načina da podaci sa kartica budu ukradeni jeste kloniranje kartica, što se najčešće odvija putem skiminga. Skimeri su mašine za kloniranje kartica, koje se stave preko bankomata ili POS terminala za plaćanje. Na taj način, kada se kartica ubaci ili provuče, podaci ostanu sačuvani na skimeru. Napadači ih preuzimaju sa skimera i fabrikuju na drugu karticu. Skimeri se nalaze sa spoljne strane terminala ili bankomata i mogu biti primećeni iako su obično dobro kamuflirani. Oni se relativno lako nabavljaju.
Zato je kod plaćanja na terminalu uvek preporučljivo tražiti aparat, a ne davati kartice da ih neko drugi provuče.
Iako i dalje postoje, broj ovih prevara je znatno smanjen, pre svega zbog napredovanja tehnologije koja se koristi u izradi kartica. Skimeri su rezervisani za kartice sa magnetnom trakom, koje se danas sve manje koriste.
Sa razvojem čipova na karticama, koji enkriptuju svaku transakciju napravljenu karticom, napadači su osmislili nove uređaje – shimere. Oni funkcionišu na sličan način, ali se nalaze unutar bankomata ili terminala. Omogućavaju napadačima da digitalne podatke sa čipa prenesu na analogne magnetske čipove, te tako zaobiđu zaštitni mehanizam i kloniraju kartice.
Da bi došli u posed pin koda, napadači na bankomatima mogu zakačiti malu kameru, koja će gledati na tastaturu, ili pak postaviti lažnu tastaturu kako bi beležila unete brojeve.
Postoji takođe i e-skiming, gde napadači ubace maliciozni softver na neki sajt za onlajn kupovinu. Na taj način haker krade podatke za plaćanje svaki put kada se inicira transakcija. Prevara se može zaustaviti samo ako kompanija koja stoji iza sajta otkrije ubačeni softver. U većini slučajeva ne postoji način da žrtva primeti da se nešto ne odvija kako treba.
Popularizacijom beskontaktnog plaćanja, poput elektronskih novčanika, razvijeni su novi modeli u kojima može doći do kompromitacije podataka. S obzirom da se prilikom beskontaktnog plaćanja šalje neka vrsta radio-signala, postoje načini da se oni presretnu ako se maliciozni uređaj nalazi dovoljno blizu (u pitanju je oko desetak centimetara, ali to zavisi od uređaja na kome se nalazi elektronski novčanik). Ipak, potencijalna finansijska šteta je mnogo manja nego u drugim vrstama napada.
CURENJE PODATAKA
Ima situacija na koje korisnici ne mogu uticati. Kada dođe do velikih hakerskih napada u kojima procure baze podataka kompanija, može se desiti da se među njima nađu i podaci o bankovnim karticama. U tom slučaju, one masovno postaju dostupne na internetu, a žrtve uglavnom ne budu obaveštene da je do curenja podataka uopšte došlo. Kada postane jasno da nešto nije u redu, te da se transakcije iniciraju jedna za drugom bez autorizacije, obično je već kasno. Dobar pokazatelj ovoga bio je hakerski napad na lanac hotela Meriot, koji je otkriven 2018. godine. Za četiri godine, koliko su bili u sistemu, hakeri su uspeli da kompromituju ogroman broj privatnih podataka, uključujući kreditne kartice posetilaca hotela. Niti je hotelski lanac bio svestan da konstanto cure podaci, niti su žrtve, ako su i primetile neautorizovane transakcije, povezivale to sa hotelom.
Ipak, u većini slučajeva do krađe podataka sa kartice ili nekog platnog naloga dolazi usled ljudske greške, nepažnje ili nepostojanja svesti vlasnika kartice šta sve može na internetu krenuti po zlu.