Zločinci dokážou vyčistit účet, i když máte kartu stále u sebe
Stačí jeden nepozorný nákup nebo výběr hotovosti. Vlna útoků na platební karty roste už několik let – jak u bankomatů, tak v internetových obchodech. Metody jsou čím dál rafinovanější a pro běžného uživatele prakticky neviditelné. Výsledek bývá stejný: z účtu zmizí tisíce korun a majitel karty to zjistí až zpětně.
Od primitivních nástavců k neviditelným zařízením
První způsoby krádeže dat z karet se zaměřovaly především na bankomaty a samoobslužné terminály, například na čerpacích stanicích. Zločinci na ně montovali speciální překryvy, které napodobovaly originální součásti zařízení. Překryv četl data z magnetického proužku a miniaturní kamera nad klávesnicí zaznamenávala zadávaný PIN.
V novějších verzích tato zařízení odesílají informace přes Bluetooth nebo jiné bezdrátové připojení. Zloděj tak vůbec nemusí pro vybavení chodit zpátky – data mu průběžně přitékají do telefonu nebo laptopu.
Tenké jako papír: nová generace útoků na čip
Karty s čipem výrazně zkomplikovaly jednoduché kopírování magnetického proužku. Čip generuje pro každou transakci unikátní kód, takže prosté klonování uložených dat nestačí. Zločinci proto vymysleli mezičlánek – ultratenkémoduly zasunované do čtečky karty, zvenku naprosto neviditelné.
Takové moduly odposlouchávají komunikaci mezi kartou a terminálem v okamžiku platby. Získaná data pak umožňují vytvořit falešné karty s magnetickým proužkem a používat je v zemích nebo bankomatech, kde jsou stále povoleny transakce v nouzovém režimu bez plného ověření čipem.
V Evropě policie pravidelně provádí akce proti organizovaným skupinám, které se na tento typ krádeží specializují. Schéma bývá podobné: infikované bankomaty nebo terminály na čerpacích stanicích, přičemž výběry hotovosti či nákupy probíhají v jiné zemi – nezřídka na jiném kontinentu.
Největší výhoda dnešních zločinců spočívá v tom, že jejich vybavení je pro běžné uživatele bankomatů a terminálů prakticky nerozpoznatelné.
Nová fronta: krádež dat karet v internetových obchodech
Zřetelným trendem posledních let je přesun podvodů z fyzických bankomatů do online prostoru. Internetové obchody se staly ideálním cílem – jediná úspěšná infekce totiž umožňuje zachytit data karet tisíců zákazníků najednou.
Mechanismus je překvapivě jednoduchý. Kyberzločinci vloží škodlivý skript na platební stránku. Může jít doslova o několik řádků JavaScriptu, které na první pohled nikdo nevidí. Jakmile zákazník zadá údaje karty – číslo, datum platnosti, třímístný bezpečnostní kód – skript je potajmu odešle na server ovládaný útočníky.
Útok skrze poskytovatele externích služeb
Mnoho internetových obchodů využívá hotové e-commerce platformy, analytické doplňky a reklamní nástroje. Pro zločince je to obrovská příležitost. Místo toho, aby napadali obchod po obchodě, pokoušejí se převzít kontrolu nad poskytovatelem takového doplňku.
Pokud se podaří infikovat nástroj používaný tisíci webů, škodlivý kód se okamžitě dostane do celé sítě obchodů. V posledních letech byly popsány útoky, při nichž bylo tímto způsobem odcizeno stovky milionů čísel karet, včetně těch z evropských obchodů.
| Kde útočí zločinci | Co se snaží získat | Jak to dělají |
|---|---|---|
| Bankomaty a terminály | Data proužku a PIN | Nástavce, kamery, moduly ve čtečce |
| Internetové obchody | Číslo karty, datum platnosti, kód CVC | Skryté skripty na platební stránce |
| Poskytovatelé služeb pro e-commerce | Data zákazníků mnoha obchodů | Útok na doplňky a externí nástroje |
Skripty schované v obrázcích a na chybových stránkách
Aby útočníci zztížili odhalení, vymýšlejí stále kreativnější způsoby skrývání kódu. Škodlivé části bývají někdy zabudovány do malých ikon stránky (favikon) nebo se maskují jako populární analytické nástroje.
Byly popsány také kampaně, při nichž byl nenápadně upraven obsah chybové stránky „404 – stránka nenalezena". Taková podstránka většinou nevzbuzuje podezření administrátorů a bezpečnostní systémy ji slabě monitorují. Zákazník při platebním procesu viděl zdánlivě normální formulář, ale po zadání údajů byla karta již zkopírována. Nakonec se zobrazila zpráva o „chybě relace", která vysvětlovala nutnost zopakovat transakci.
Z pohledu uživatele jde jen o otravnou chybu platby. Ve skutečnosti jeho karta mohla právě zamířit do databáze prodávané na zločineckých fórech.
Jak platit kartou u bankomatu a terminálu s menším rizikem
I přes znepokojivě znějící hrozby dokáže několik jednoduchých návyků výrazně snížit šanci, že někdo zachytí data vaší karty v offline světě.
- Používejte bezkontaktní platby – když není nutné vkládat kartu do čtečky, většina fyzických nástavců ztrácí smysl.
- Zakrývejte klávesnici dlaní při zadávání PINu, a to jak u bankomatu, tak u pokladny.
- Vybírejte bankomaty v bankách nebo obchodních centrech, nikoli osamělá zařízení na ulici, zejména v noci.
- Kontrolujte, zda části krytu nejsou uvolněné – pohybující se panel, vyčnívající kabely nebo stopy od lepidla by měly okamžitě vzbudit podezření.
- Na čerpacích stanicích používejte terminály nejblíže budově, protože bývají lépe monitorovány.
Pokud se vám něco nezdá – štěrbina pro kartu vypadá jinak než obvykle, displej bliká nebo je kolem klávesnice čerstvě přilepený prvek – raději transakci přerušte a použijte jiné zařízení.
Bezpečné nakupování online: jednoduché zásady pro každý den
Internetové obchody jsou dnes stejně důležitým bojištěm s podvodníky jako bankomaty. Velká část odpovědnosti leží na samotných provozovatelích obchodů, ale zákazníci také mohou udělat mnoho na své straně.
Samostatná karta pro platby na internetu
Velmi účinným řešením je mít oddělenou kartu určenou výhradně pro online nákupy. Nastavte na ní nízký denní a měsíční limit. I kdyby se data dostala ke zločincům, celý váš účet „nevyčistí".
Mnoho bank nabízí také tzv. virtuální karty – dočasná čísla pro jednorázové použití. Po uskutečnění nákupu takové číslo přestane fungovat. Útočníci z něj mohou získat nanejvýš bezcennou sadu číslic.
Upozornění z bankovní aplikace
Zapněte si push notifikace nebo SMS o každé transakci kartou. Rychlá informace v telefonu vám umožní okamžitě zaregistrovat platbu, kterou nepoznáváte. Při rychlé reakci má banka větší šanci zablokovat další pokusy o platbu a pomoci s vrácením peněz.
Věnujte pozornost varováním prohlížeče o nebezpečných stránkách. Při platbě by se neměla objevovat podivná okna, výzvy k opětovnému zadání údajů ani přihlášení do banky v samostatných vyskakovacích oknech.
Každá neočekávaná změna v průběhu platby – přídavné okno, „podivný" formulář, nestandardní zpráva – je signálem k přerušení transakce a ověření obchodu.
Čemu se při online platbách vyhýbat
- Neukládejte číslo karty v prohlížeči ani v aplikaci obchodu, zejména na telefonech používaných ve veřejných Wi-Fi sítích.
- Na platební stránky nevstupujte přes odkazy z podezřelých SMS nebo e-mailů – adresu obchodu raději zadejte ručně.
- Ověřujte, zda adresa začíná „https" a zda název domény neobsahuje překlepy nebo podivné přípony.
- Buďte zvláště opatrní u „výprodejů století" z neznámých obchodů – jde o častý způsob, jak vylákat data karet.
Co musejí dělat internetové obchody a proč to zákazníci ocení
Provozovatelé online obchodů mají čím dál podrobnější povinnosti v oblasti ochrany dat z karet. Aktuální bezpečnostní standardy vyžadují, aby majitel obchodu přesně věděl, jaký kód se spouští na platební stránce a z jakých externích zdrojů pochází.
Dobré praxe zahrnují mimo jiné pravidelné skenování souborů v hledání podezřelých skriptů, omezování počtu externích doplňků a automatické alarmy při neoprávněné změně některého souboru na stránce. Díky tomu má obchod i v případě narušení šanci rychle odhalit anomálii a zastavit další úniky dat.
Z pohledu zákazníků se vyplatí vybírat značky, které otevřeně hovoří o používaných zabezpečeních a aktualizacích systémů.
Proč se „neviditelná" krádež karet zločincům tolik vyplácí
Data z platebních karet jsou zboží, s nímž se masově obchoduje na zločineckých fórech. Podle země, limitu a typu karty může kompletní sada informací stát od několika po několik desítek dolarů. Kupující je využívají k objednávání zboží, výběrům hotovosti v zemích se slabšími zabezpeními nebo k podvodům v online hrách a digitálních službách.
Zločinci jen zřídka cílí záměrně na jednotlivce. Jde jim o měřítko: skript v populárním internetovém obchodě dokáže za několik týdnů posbírat stovky tisíc čísel karet. Z takové databáze bude využita jen část, ale zisky jsou i tak obrovské.
Pro běžného uživatele se proto stává klíčovým propojení dvou věcí: rozumné používání karty a pravidelné sledování účtu. I kdyby banka ukradené prostředky vrátila, stres a nutnost vysvětlování se mohou táhnout týdny.
Dobrým zvykem je krátce projít historii transakcí jednou za několik dní, nejlépe v bankovní aplikaci. Mnoho lidí si první podezřelé platby všimne až tehdy, když náhodou narazí na výpis. Přitom podvodníci kartu často „testují" malými částkami, než udeří větším nákupem. Rychlá reakce na takový signál dokáže zachránit celý zůstatek účtu.
