Zločinci dokážou vyprázdnit účet, i když karta celou dobu leží ve vaší peněžence.
Stačí jeden nepozorný nákup nebo výběr hotovosti.
Už několik let narůstá vlna útoků na platební karty – jak u bankomatů, tak v internetových obchodech. Metody jsou čím dál důmyslnější, pro běžného uživatele často naprosto neviditelné. Výsledek bývá stejný: z účtu zmizí tisíce korun a majitel karty to zjistí až zpětně.
Od primitivních nástavců k neviditelným zařízením
První způsoby odcizení dat z karet se týkaly především bankomatů a samoobslužných terminálů, například u čerpacích stanic. Zločinci na ně montovali speciální překryvy napodobující originální součásti zařízení. Nástavec načítal data z magnetického proužku a miniaturní kamera nad klávesnicí zaznamenávala zadávaný PIN.
V modernějších variantách tato zařízení odesílají zachycené informace přes Bluetooth nebo jiné bezdrátové připojení. Zloděj se tak nemusí pro vybavení vracet – data mu průběžně přicházejí přímo do telefonu nebo notebooku.
Tenké jako papír: nová generace útoků na čip
Karty s čipem výrazně ztížily prosté kopírování magnetického proužku. Čip generuje pro každou transakci jedinečný kód, takže jednoduché klonování uložených dat málokdy stačí. Zločinci proto vymysleli přechodné řešení – ultratanké moduly zasouvané do čtečky karty, zvenku naprosto neviditelné.
Tyto moduly odposlouchávají komunikaci mezi kartou a terminálem v okamžiku platby. Získaná data pak slouží k výrobě falešných karet s magnetickým proužkem, které se používají v zemích nebo bankomatech, jež stále umožňují transakce v nouzovém režimu bez plné verifikace čipu.
V Evropě policie pravidelně provádí akce proti organizovaným skupinám specializujícím se na tento typ krádeží. Schéma bývá podobné: infikované bankomaty nebo terminály na čerpacích stanicích, přičemž výběry hotovosti či nákupy probíhají v jiné zemi – nezřídka na jiném kontinentu.
Největší výhodou zločinců je dnes to, že jejich vybavení je pro uživatele bankomatů a terminálů prakticky neviditelné.
Nová fronta: krádež dat karet v internetových obchodech
Výrazným trendem posledních let je přesun podvodů z „fyzických" bankomatů do online prostředí. Internetové obchody se staly ideálním cílem, protože jediná úspěšná infekce umožní zachytit data karet tisíců zákazníků najednou.
Mechanismus je překvapivě prostý. Kyberzločinci vloží škodlivý skript na platební stránku. Může jít doslova o několik řádků kódu v JavaScriptu, které na první pohled nejsou vidět. Když zákazník zadá údaje karty – číslo, datum platnosti, třímístný bezpečnostní kód – skript je potajmu odešle na server ovládaný útočníky.
Útok prostřednictvím externích poskytovatelů služeb
Mnoho internetových obchodů využívá hotové e-commerce platformy, analytické a reklamní doplňky. Pro zločince je to obrovská příležitost. Místo aby napadali jeden obchod za druhým, pokoušejí se převzít kontrolu nad poskytovatelem takového rozšíření.
Pokud se podaří infikovat nástroj používaný tisíci webů, škodlivý kód se dostane naráz do celé sítě obchodů. V posledních letech byly popsány útoky, při nichž bylo tímto způsobem odcizeno stovky milionů čísel karet, včetně těch z evropských obchodů.
| Kde útočníci zasahují | Co se snaží zachytit | Jak to provádějí |
|---|---|---|
| Bankomaty a terminály | Data proužku a PIN | Nástavce, kamery, moduly ve čtečce |
| Internetové obchody | Číslo karty, datum platnosti, kód CVC | Skryté skripty na platební stránce |
| Poskytovatelé služeb pro e-commerce | Data zákazníků mnoha obchodů | Útok na doplňky a externí nástroje |
Skripty schované v obrázcích a na chybových stránkách
Aby útočníci ztížili odhalení, vymýšlejí stále kreativnější způsoby maskování kódu. Někdy jsou škodlivé fragmenty ukryty v malých ikonkách webu (favikonách) nebo se vydávají za populární analytické nástroje.
Byly popsány i kampaně, při nichž byla nenápadně upravena stránka chyby „404 – stránka nenalezena". Takováto podstránka obvykle nevzbuzuje podezření správců a systémy zabezpečení ji sledují jen slabě. Zákazník při platbě viděl zdánlivě normální formulář, ale po zadání údajů byla karta již zkopírována. Nakonec se zobrazila zpráva o „chybě relace", která vysvětlovala nutnost transakci zopakovat.
Uživatel vidí jen nepříjemnou chybu platby. Ve skutečnosti jeho karta právě možná skončila v databázi prodávané na zločineckých fórech.
Jak platit kartou u bankomatu a terminálu s nižším rizikem
I když tato hrozba zní vážně, několik jednoduchých návyků výrazně snižuje šanci, že někdo zachytí data vaší karty v offline světě.
- Používejte bezkontaktní platby – když není nutné vkládat kartu do čtečky, většina fyzických nástavců ztrácí smysl.
- Zakrývejte klávesnici dlaní při zadávání PINu, a to jak u bankomatu, tak u pokladny.
- Vybírejte bankomaty v bankách nebo obchodních centrech, nikoli osamělá zařízení na ulici, zejména v noci.
- Kontrolujte, zda prvky krytu nejsou uvolněné – pohyblivý panel, vyčnívající kabely nebo stopy po lepidlu by měly okamžitě vyvolat podezření.
- U čerpacích stanic preferujte stojany nejblíže budově, protože bývají lépe sledovány kamerovým systémem.
Pokud se něco zdá „divné" – štěrbina pro kartu vypadá jinak než obvykle, displej bliká nebo kolem klávesnice vidíte čerstvě nalepené prvky – raději od transakce upusťte a použijte jiné zařízení.
Bezpečné nakupování online: jednoduché zásady pro každý den
Internetové obchody jsou dnes stejně důležitým bojištěm s podvodníky jako bankomaty. Velká část odpovědnosti leží na samotných provozovatelích obchodů, ale i zákazníci mohou na své straně udělat hodně.
Samostatná karta pro platby online
Velmi účinným řešením je mít oddělenou kartu určenou výhradně pro internetové nákupy. Nastavte na ní nízký denní a měsíční limit. I kdyby se data dostala ke zločincům, celý váš účet „nevyberou".
Mnoho bank nabízí také takzvané virtuální karty – dočasná čísla pro jednorázové použití. Po provedení nákupu toto číslo přestane fungovat. Útočníci ho mohou nanejvýš prodat jako bezcennou sadu číslic.
Upozornění z bankovní aplikace
Zapněte si push notifikace nebo SMS o každé transakci kartou. Rychlá informace v telefonu vám umožní ihned zpozorovat zatížení, které nepoznáváte. Zareagujete-li rychle, má banka větší šanci zablokovat další pokusy o platbu a pomoci s vrácením peněz.
Dávejte pozor na varování prohlížeče o nebezpečných stránkách. Během platby by neměla vyskakovat podivná okna, výzvy k opětovnému zadání údajů ani přihlášení do banky v samostatných vyskakovacích oknech.
Každá nečekaná změna v průběhu platby – dodatečné okno, „podivný" formulář, neobvyklá zpráva – je signálem, abyste transakci přerušili a obchod prověřili.
Čemu se při online platbách vyhnout
- Neukládejte číslo karty v prohlížeči ani v aplikaci obchodu, zvláště na telefonech používaných ve veřejných sítích Wi-Fi.
- Nepřistupujte na platební stránky přes odkazy z podezřelých SMS zpráv nebo e-mailů – adresu obchodu raději zadejte ručně.
- Ověřujte, zda adresa začíná „https" a zda název domény neobsahuje překlepy nebo podivné přípony.
- Buďte obzvláště opatrní u „výprodejů svého života" z neznámých obchodů – to je častý způsob vylákání dat karet.
Co musejí dělat internetové obchody a proč to zákazníky zajímá
Provozovatelé e-shopů mají stále podrobnější povinnosti v oblasti ochrany dat karet. Aktuální bezpečnostní standardy vyžadují, aby majitel obchodu přesně věděl, jaký kód se spouští na platební stránce a z jakých externích zdrojů pochází.
Osvědčené postupy zahrnují mimo jiné pravidelné skenování souborů v hledání podezřelých skriptů, omezení počtu externích doplňků a automatické alarmy v případě, že některý soubor na stránce byl změněn bez autorizace.
Díky tomu má obchod šanci rychle odhalit anomálii a zastavit další úniky dat i v případě průniku. Z pohledu zákazníků stojí za to vybírat značky, které otevřeně hovoří o používaných zabezpečeních a aktualizacích systémů.
Proč je „neviditelná" krádež karet pro zločince tak výhodná
Data platebních karet jsou zbožím, s nímž se masově obchoduje na zločineckých fórech. Podle země, limitu a typu karty může kompletní sada informací stát od několika do několika desítek dolarů. Kupující je využívají k objednávání zboží, výběrům hotovosti v zemích se slabšími zabezpečeními nebo k vylákání prostředků v online hrách a digitálních službách.
Zločinci zřídkakdy cíleně útočí na jednotlivé osoby. Jde o rozsah: skript na populárním internetovém obchodě dokáže za několik týdnů nashromáždit stovky tisíc čísel karet. Z takové databáze bude využita jen část, ale zisky jsou přesto obrovské.
Pro běžného uživatele je proto klíčové spojit dvě věci: rozumné zacházení s kartou a pravidelné sledování účtu. I kdyby banka ukradené prostředky vrátila, stres a nutnost vysvětlování se mohou táhnout celé týdny.
Dobrým zvykem je krátce projít historii transakcí jednou za několik dní, nejlépe v bankovní aplikaci. Mnoho lidí si první podezřelé zatížení všimne teprve tehdy, když náhodou narazí na výpis. Přitom podvodníci kartu často „testují" malými částkami, než udeří větším nákupem. Rychlá reakce na takový signál dokáže zachránit celý zůstatek účtu.
