Zločinci dokážou vyprázdnit účet, i když karta celou dobu leží ve vaší peněžence
Stačí jeden nepozorný nákup nebo výběr z bankomatu. Během několika sekund může být hotovo.
Útoky na platební karty narůstají už několik let – a to jak u bankomatů, tak v internetových obchodech. Metody jsou čím dál rafinovanější, často zcela neviditelné pro běžného uživatele. Výsledek bývá stejný: z účtu zmizí tisíce korun a majitel karty to zjistí až se zpožděním.
Od primitivních nástavců k neviditelným zařízením
První způsoby krádeže dat z karet se týkaly především bankomatů a samoobslužných terminálů, například u čerpacích stanic. Zločinci na ně montovali speciální nástavce napodobující původní součásti zařízení. Nástavec přečetl data z magnetického proužku a miniaturní kamera nad klávesnicí zaznamenala zadávaný PIN.
Modernější verze takových zařízení odesílají informace přes Bluetooth nebo jiné bezdrátové připojení. Zloděj se tedy pro vybavení vůbec nemusí vracet – data mu plynule přicházejí do telefonu nebo notebooku.
Tenké jako papír: nová generace útoků na čip
Karty s čipem výrazně zkomplikovaly prosté kopírování magnetického proužku. Čip totiž generuje jedinečný kód pro každou transakci, takže prosté klonování uložených dat většinou nestačí. Zločinci proto vymysleli kompromisní řešení – ultratence moduly zasunuté do čtečky karet, z vnějšku zcela neznatelné.
Tyto moduly odposlouchávají komunikaci mezi kartou a terminálem v okamžiku platby. Získaná data pak umožní vyrobit falešné karty s magnetickým proužkem a používat je v zemích nebo u bankomatů, které stále povolují transakce v nouzovém režimu bez plné ověření čipu.
V Evropě policie pravidelně provádí akce proti organizovaným skupinám specializujícím se na tento typ krádeží. Schéma bývá zpravidla podobné: nakažené bankomaty nebo terminály na čerpacích stanicích, přičemž výběry hotovosti či nákupy pak probíhají v jiné zemi, nezřídka na jiném kontinentu.
Největší výhodou dnešních zločinců je to, že jejich vybavení bývá pro uživatele bankomatů a terminálů prakticky neviditelné.
Nová fronta: krádež dat z karet v internetových obchodech
Zřetelným trendem posledních let je přesun podvodů z „fyzických" bankomatů do online prostředí. Internetové obchody se staly ideálním cílem, protože jediná úspěšná infekce umožní zachytit data karet tisíců zákazníků najednou.
Mechanismus je překvapivě jednoduchý. Kyberzločinci vloží škodlivý skript na platební stránku. Může jít doslova o několik řádků JavaScriptu, které na první pohled vůbec nejsou vidět. Když zákazník zadá údaje karty – číslo, datum platnosti, třímístný bezpečnostní kód – skript je tajně odešle na server ovládaný útočníky.
Útok přes poskytovatele externích služeb
Mnoho internetových obchodů využívá hotové e-commerce platformy, analytické a reklamní zásuvné moduly. Pro zločince je to obrovská příležitost. Namísto útoku na jeden obchod za druhým se snaží převzít kontrolu nad poskytovatelem takového doplňku.
Pokud se podaří nakazit nástroj používaný tisíci webů, škodlivý kód se okamžitě dostane do celé sítě obchodů. V posledních letech byly popsány útoky, při nichž bylo tímto způsobem odcizeno stovky milionů čísel karet, včetně těch z evropských obchodů.
| Kde útočí zločinci | Co se snaží zachytit | Jak to provádějí |
|---|---|---|
| Bankomaty a terminály | Data proužku a PIN | Nástavce, kamery, moduly ve čtečce |
| Online obchody | Číslo karty, datum platnosti, kód CVC | Skryté skripty na platební stránce |
| Poskytovatelé služeb pro e-commerce | Data zákazníků mnoha obchodů | Útok na zásuvné moduly a externí nástroje |
Skripty schované v obrázcích a na chybových stránkách
Aby útočníci ztížili odhalení, vymýšlejí stále kreativnější způsoby skrývání kódu. Stává se, že škodlivé fragmenty jsou zašity v malých ikonkách stránky (favikony) nebo se maskují za populární analytické nástroje.
Byly popsány také kampaně, při nichž byla nenápadně upravena stránka chyby „404 – stránka nenalezena". Taková podstránka obvykle nevzbuzuje podezření správců a je slabě monitorována bezpečnostními systémy. Zákazník viděl zdánlivě normální platební formulář, ale po zadání údajů byla karta již zkopírována. Nakonec se zobrazila zpráva o „chybě relace", která vysvětlovala nutnost opakování transakce.
Z pohledu uživatele jde jen o nepříjemnou chybu platby. Ve skutečnosti mohla jeho karta právě skončit v databázi prodávané na zločineckých fórech.
Jak platit kartou u bankomatu a terminálu s menším rizikem
Ačkoli hrozby znějí děsivě, několik jednoduchých návyků výrazně snižuje šanci, že někdo zachytí data vaší karty v offline světě.
- Používejte bezkontaktní platby – když není třeba vkládat kartu do čtečky, většina fyzických nástavců ztrácí smysl.
- Zakrývejte klávesnici dlaní při zadávání PINu, a to jak u bankomatu, tak u pokladny.
- Vybírejte bankomaty v bankách nebo obchodních centrech, nikoli osamělá zařízení na ulici, zvláště v noci.
- Kontrolujte, zda prvky krytu nejsou uvolněné – pohybující se panel, vyčnívající kabely nebo stopy po lepidlu by měly okamžitě vzbudit podezření.
- Na čerpacích stanicích používejte terminály nejblíže budově, protože bývají lépe monitorované.
Pokud se vám něco zdá „divné" – štěrbina pro kartu vypadá jinak než obvykle, displej bliká nebo jsou kolem klávesnice čerstvě nalepené prvky – raději transakci zrušte a použijte jiné zařízení.
Bezpečné nakupování na internetu: jednoduchá pravidla pro každý den
Online obchody jsou dnes stejně důležitým bojištěm s podvodníky jako bankomaty. Velká část odpovědnosti leží na samotných provozovatelích obchodů, ale i zákazníci toho mohou hodně udělat na své straně.
Samostatná karta pro platby na internetu
Velmi účinným řešením je mít oddělenou kartu výhradně pro online nákupy. Nastavte na ní nízký denní a měsíční limit. I kdyby se data dostala ke zločincům, váš celý účet „nevyprázdní".
Mnoho bank nabízí také tzv. virtuální karty – dočasná čísla pro jednorázové použití. Po provedení nákupu takové číslo přestane fungovat. Útočníci z něj mohou nanejvýš prodat bezcennou sadu číslic.
Upozornění z bankovní aplikace
Zapněte si push nebo SMS notifikace o každé transakci kartou. Rychlá informace v telefonu vám umožní okamžitě zpozorovat platbu, kterou nepoznáváte. Pokud zareagujete rychle, banka má větší šanci zablokovat další pokusy o platbu a pomoci s vrácením peněz.
Věnujte pozornost varováním prohlížeče o nebezpečných stránkách. Při platbě by se neměla objevovat žádná podivná okna, výzvy k opětovnému zadání údajů ani přihlášení k bance ve zvláštních vyskakovacích oknech.
Každá neočekávaná změna v průběhu platby – dodatečné okno, „podivný" formulář, neobvyklá zpráva – je signálem k přerušení transakce a ověření obchodu.
Čemu se při online platbách vyhnout
- Neukládejte číslo karty v prohlížeči ani v aplikaci obchodu, zvláště na telefonech používaných ve veřejných sítích Wi-Fi.
- Nepřistupujte na platební stránky přes odkazy z podezřelých SMS zpráv nebo e-mailů – adresu obchodu raději zadejte ručně.
- Ověřujte, zda adresa začíná „https" a zda název domény neobsahuje překlepy nebo podivné přípony.
- Buďte obzvláště opatrní při „výprodeji života" z neznámých obchodů – jde o častý způsob lákání dat karet.
Co musí dělat internetové obchody a proč na tom zákazníkům záleží
Provozovatelé online obchodů mají stále podrobnější povinnosti v oblasti ochrany dat karet. Aktuální bezpečnostní standardy vyžadují, aby majitel obchodu věděl přesně, jaký kód se spouští na platební stránce a z jakých externích zdrojů pochází.
Osvědčené postupy zahrnují mimo jiné pravidelné skenování souborů na přítomnost podezřelých skriptů, omezení počtu externích zásuvných modulů a automatické alarmy při neoprávněné změně některého ze souborů na stránce.
Díky tomu má obchod šanci rychle zachytit anomálii a zastavit další únik dat i v případě, že k průniku dojde. Z pohledu zákazníků se vyplatí vybírat značky, které otevřeně hovoří o používaných zabezpečeních a aktualizacích systémů.
Proč se „neviditelná" krádež karet zločincům tak vyplácí
Data z platebních karet jsou zboží, se kterým se masově obchoduje na zločineckých fórech. V závislosti na zemi, limitu a typu karty může kompletní sada informací stát od několika do několika desítek dolarů. Kupující je využívají k objednávání zboží, výběrům hotovosti v zemích se slabším zabezpečením nebo k vybírání prostředků v online hrách a digitálních službách.
Zločinci jen zřídka cíleně útočí na jednotlivé osoby. Jde o měřítko: skript na populárním internetovém obchodě dokáže během několika týdnů nasbírat stovky tisíc čísel karet. Z takové databáze bude využita jen část, ale zisky jsou přesto obrovské.
Pro běžného uživatele se tedy klíčovým stává spojení dvou věcí: rozumné zacházení s kartou a pravidelné sledování účtu. I kdyby banka ukradené prostředky vrátila, stres a nutnost vysvětlování se mohou táhnout celé týdny.
Dobrým zvykem je krátce projít historii transakcí jednou za několik dní, nejlépe v bankovní aplikaci. Mnoho lidí si první podezřelé platby všimne teprve tehdy, když náhodou narazí na výpis. Přitom podvodníci kartu často „testují" malými částkami, než udeří větším nákupem. Rychlá reakce na takový signál může zachránit celý zůstatek účtu.
