Zločinci dokážou vyčistit účet, i když karta stále leží ve vaší peněžence
Stačí jeden nepozorný nákup nebo výběr hotovosti. Během několika let výrazně vzrostl počet útoků na platební karty – jak u bankomatů, tak v internetových obchodech. Metody jsou stále rafinovanější a pro běžného uživatele prakticky neviditelné.
Výsledek bývá vždy stejný: z účtu zmizí tisíce korun a majitel karty to zjistí až po čase.
Od primitivních nástavců k neviditelným zařízením
První způsoby odcizení dat z karet se týkaly především bankomatů a samoobslužných terminálů, například na čerpacích stanicích. Zločinci na ně montovali speciální nástavce napodobující originální součásti zařízení. Nástavec přečetl data z magnetického proužku, zatímco miniaturní kamera nad klávesnicí nahrávala zadávaný PIN.
Novější verze těchto zařízení odesílají informace přes Bluetooth nebo jiné bezdrátové připojení. Zloděj se proto ani nemusí pro vybavení vracet – data mu průběžně přicházejí přímo do telefonu nebo notebooku.
Tenké jako list papíru: nová generace útoků na čip
Karty s čipem výrazně zkomplikovaly jednoduché kopírování magnetického proužku. Čip generuje pro každou transakci jedinečný kód, takže prostá klonace uložených dat nestačí. Zločinci proto vymysleli mezistupeň – ultratence moduly zasunuté do čtečky karet, zvenku naprosto neviditelné.
Tyto moduly odposlouchávají komunikaci mezi kartou a terminálem v okamžiku platby. Získaná data pak umožňují vyrobit falešné karty s magnetickým proužkem a používat je v zemích nebo u bankomatů, které stále umožňují transakce v nouzovém režimu bez plného ověření čipem.
Evropská policie pravidelně provádí akce proti organizovaným skupinám specializujícím se na tyto krádeže. Schéma bývá téměř vždy stejné: nakažené bankomaty nebo terminály na čerpacích stanicích, přičemž výběry hotovosti či nákupy se uskutečňují v jiné zemi – nezřídka na jiném kontinentu.
Největší výhoda zločinců dnes spočívá v tom, že jejich vybavení je pro uživatele bankomatů a terminálů prakticky neviditelné.
Nová fronta: krádeže dat karet v internetových obchodech
Zřetelným trendem posledních let je přesun podvodů z fyzických bankomatů do online prostředí. Internetové obchody se staly ideálním cílem, protože jediná úspěšná infekce umožní zachytit data karet tisíců zákazníků najednou.
Mechanismus je překvapivě jednoduchý. Kyberzločinci vloží škodlivý skript na platební stránku. Může jít doslova o několik řádků kódu JavaScript, které na první pohled nejsou vidět. Když zákazník zadá údaje karty – číslo, datum platnosti a třímístný bezpečnostní kód – skript je tajně odešle na server ovládaný útočníky.
Útok skrze poskytovatele externích služeb
Mnoho internetových obchodů využívá hotové e-commerce platformy, analytické a reklamní pluginy. Pro zločince je to obrovská příležitost. Místo útoku na každý obchod zvlášť se pokusí převzít kontrolu nad poskytovatelem takového doplňku.
Pokud se podaří infikovat nástroj využívaný tisíci webů, škodlivý kód se okamžitě dostane do celé sítě obchodů. V posledních letech byly popsány útoky, při nichž bylo tímto způsobem odcizeno stovky milionů čísel karet, včetně těch z evropských obchodů.
| Kde útočí zločinci | Co se pokoušejí zachytit | Jak to provádějí |
|---|---|---|
| Bankomaty a terminály | Data proužku a PIN | Nástavce, kamery, moduly ve čtečce |
| Internetové obchody | Číslo karty, datum platnosti, kód CVC | Skryté skripty na platební stránce |
| Poskytovatelé služeb pro e-commerce | Data zákazníků mnoha obchodů | Útok na pluginy a externí nástroje |
Skripty skryté v obrázcích a na chybových stránkách
Aby útočníci ztížili odhalení, vymýšlejí stále kreativnější způsoby ukrývání kódu. Škodlivé fragmenty bývají zabudovány do malých ikon webu (favikonů) nebo se maskují za oblíbené analytické nástroje.
Byly popsány také kampaně, při nichž byla diskrétně upravena chybová stránka „404 – stránka nenalezena". Taková podstránka obvykle nevzbuzuje podezření správců a bezpečnostní systémy ji jen slabě monitorují. Zákazník viděl zdánlivě normální platební formulář, ale po zadání údajů byla karta už zkopírována. Na závěr se zobrazila zpráva o „chybě relace", která zdůvodňovala nutnost zopakovat transakci.
Pro uživatele je to jen otravná chyba platby. Ve skutečnosti mohla jeho karta právě skončit v databázi prodávané na zločineckých fórech.
Jak platit kartou u bankomatu a terminálu s menším rizikem
Přestože hrozby znějí závažně, několik jednoduchých návyků výrazně snižuje šanci, že někdo zachytí data vaší karty v offline světě.
- Používejte bezkontaktní platby – když není nutné vkládat kartu do čtečky, většina fyzických nástavců postrádá smysl.
- Zakrývejte klávesnici dlaní při zadávání PINu, a to jak u bankomatu, tak u pokladny.
- Vybírejte bankomaty v bankách nebo obchodních centrech, nikoli osamělá zařízení na ulici, zvláště v noci.
- Kontrolujte, zda nejsou části krytu uvolněné – pohybující se panel, vyčnívající kabely nebo stopy po lepidlu by měly okamžitě vzbudit podezření.
- Na čerpacích stanicích používejte terminály nejblíže budově stanice, protože bývají lépe monitorovány.
Pokud vám něco přijde „divné" – slot na kartu vypadá jinak než obvykle, displej bliká nebo kolem klávesnice vidíte čerstvě přilepené prvky – raději transakci přerušte a použijte jiné zařízení.
Bezpečné nakupování na internetu: jednoduché každodenní zásady
Internetové obchody jsou dnes stejně důležitým bojištěm s podvodníky jako bankomaty. Velká část odpovědnosti leží na samotných provozovatelích obchodů, ale zákazníci mohou také udělat hodně ze své strany.
Samostatná karta pro platby online
Velmi účinným řešením je mít oddělenou kartu výhradně pro internetové nákupy. Nastavte na ní nízký denní a měsíční limit. I kdyby se data dostala ke zločincům, nevyčistí vám celý účet.
Mnoho bank také nabízí tzv. virtuální karty – dočasná čísla pro jednorázové použití. Po uskutečnění nákupu takové číslo přestane fungovat. Útočníci ho mohou nanejvýš prodat jako bezcennou sadu číslic.
Upozornění z bankovní aplikace
Zapněte si push notifikace nebo SMS zprávy o každé transakci kartou. Rychlá informace v telefonu vám umožní okamžitě si všimnout pohybu, který nepoznáváte. Pokud zareagujete rychle, banka má větší šanci zablokovat další pokusy o platbu a pomoci s vrácením peněz.
Věnujte pozornost varováním prohlížeče o nebezpečných stránkách. Při platbě by se neměla objevovat podivná okna, výzvy k opětovnému zadání údajů ani přihlášení do banky v samostatných vyskakovacích oknech.
Každá neočekávaná změna v průběhu platby – dodatečné okno, „podivný" formulář, neobvyklá zpráva – je signál k přerušení transakce a ověření obchodu.
Čemu se vyhýbat při online platbách
- Neukládejte číslo karty v prohlížeči ani v aplikaci obchodu, zvláště na telefonech používaných ve veřejných sítích Wi-Fi.
- Nepřistupujte na platební stránku přes odkazy z podezřelých SMS nebo e-mailů – adresu obchodu raději zadejte ručně.
- Ověřujte, zda adresa začíná „https" a zda název domény neobsahuje překlepy nebo podivné přídavky.
- Buďte zvláště obezřetní u „výprodejů života" z neznámých obchodů – jde o častý způsob, jak vylákat data karet.
Co musí dělat internetové obchody a proč to zákazníkům záleží
Provozovatelé internetových obchodů mají stále podrobnější povinnosti v oblasti ochrany dat karet. Aktuální bezpečnostní standardy vyžadují, aby majitel obchodu přesně věděl, jaký kód se spouští na platební stránce a z jakých externích zdrojů pochází.
Osvědčené postupy zahrnují mimo jiné pravidelné skenování souborů kvůli podezřelým skriptům, omezení počtu externích pluginů a automatické alarmy při neoprávněné změně jakéhokoli souboru na webu. Z pohledu zákazníků stojí za to preferovat značky, které otevřeně komunikují o používaných bezpečnostních opatřeních a aktualizacích systémů.
Proč se „neviditelná" krádež karet zločincům tak vyplácí
Data platebních karet jsou zboží, se kterým se masově obchoduje na zločineckých fórech. V závislosti na zemi, limitu a typu karty může kompletní sada informací stát od několika do několika desítek dolarů. Kupující je využívají k objednávání zboží, výběrům hotovosti v zemích se slabšími zabezpečeními nebo k podvodům v online hrách a digitálních službách.
Zločinci jen zřídka útočí cíleně na jednotlivce. Jde jim o měřítko: skript v populárním internetovém obchodě dokáže během několika týdnů shromáždit stovky tisíc čísel karet. Z takové databáze se využije jen část, ale zisky jsou přesto obrovské.
Pro běžného uživatele se proto klíčovým stává spojení dvou věcí: rozumné zacházení s kartou a pravidelné sledování účtu. I kdyby banka ukradené prostředky vrátila, stres a nutnost vysvětlování se mohou táhnout týdny.
Dobrým zvykem je krátce projít historii transakcí jednou za několik dní, nejlépe v bankovní aplikaci. Mnoho lidí si prvních podezřelých pohybů všimne až náhodou při prohlížení výpisu. Přitom podvodníci kartu často „testují" malými částkami, než udeří větším nákupem. Rychlá reakce na takový signál dokáže zachránit celý zůstatek na účtu.
