Úterý 17. října. Svátek má Hedvika.

Útoky na platební karty aneb Jak nepřijít o peníze

Banky 23.12.2016 | 16:41 0 Komentářů

Útoky na naše finanční prostředky jsou považovány za jednu z největších hrozeb digitální doby. Na rozdíl od odcizení přístupových údajů do sociálních sítí nebo do emailové schránky, při napadení našeho bankovního účtu se jedná o přímé napadení našeho majetku.

Kromě napadení webové aplikace internetového bankovnictví je často útok mířený na platební karty. Zde můžeme útoky rozlišit na dva typy. Prvním typem je útok mířený přímo na fyzickou kreditní kartu. Druhá možnost je útok vedený proti kartě, která není v danou chvíli přítomná a je napadena zprostředkovaně přes informace, které uživatel dobrovolně poskytne.

Odcizení samotné karty vede po odhalení této skutečnosti k jejímu zablokování vlastníkem a karta se tím stává bezcenná. Odcizení dat bez vědomí vlastníka je pro zloděje za mnohem výhodnější, protože vlastník v této situaci nepodnikne žádné kroky ke zneplatnění karty. Díky získaným datům může nakupovat například v internetových e-shopech, nebo lze vytvořit takzvanou „counterfeit card“ – padělanou kartu.

Banky se kromě prevence útoků snaží i útoky aktivně odhalovat. K odhalování takových útoků slouží složité algoritmy, do kterých banky investují vysoké částky. Vynaložené prostředky se bankám vrací velmi dobře nejen spokojeností klientů a jejich důvěrou. Pokud počítačové systémy naleznou podezřelou transakci, kterou vyhodnotí jako zneužití kary, oznámí tuto informaci bance, která v takových situacích přímo u klientů ověřuje podezřelé transakce a až v tuto chvíli je karta blokována.

Oproti fyzickému odcizení karty je v situaci virtuální krádeže faktor času na straně zlodějů. Mají dostatečný čas na provedení transakcí, kterými převedou finanční prostředky na vlastní účet. Užívání algoritmů se dá jistě považovat za průlomovou inovaci, nicméně algoritmy mohou vyhodnocovat pouze transakce již provedené. Algoritmus sice transakci odhalí dříve než člověk, ale nejlepší způsob, jak bránit útokům je dostatečná opatrnost samotných držitelů karet.

Phishing

Nejrozšířenější technikou, kterou je od uživatele získána důvěrná informace, je takzvaný phishing. Uživateli je jménem důvěryhodné instituce doručena zpráva žádající o osobní informace. Nejčastěji se tyto útoky provádí e-mailovou zprávou, ale i přes služby přenosu digitalizovaného hlasu, neboli přes VoIP. V obou případech je cílem dostat uživatele na stránky útočníka a získat jeho údaje.

Přes e-mail je například uživatel vyzván ke změně přihlašovacích údajů ke svému účtu. Stránka kterou uživatel navštíví je pod kontrolou útočníka a většinou je nerozeznatelná od originálních stránek. Ve druhém případě se útočník snaží uživatele dostat na stránky přes telefon. Útočník přes své stránky získá citlivé údaje, které později může velmi jednoduše zneužít k převedení prostředků na svůj účet.

Pharming

Druhá, podstatně složitější, metoda se nazývá pharming. Tento útok je založený na manipulaci s DNS (Domain Name System) záznamy. Uživatel zůstane v domnění, že skutečně navštěvuje stránky své banky, ale místo toho je přesměrován na stránky útočníka. Tyto stránky opět vypadají jako stránky banky, ale slouží pouze k získání údajů uživatele.

Kromě odcizení údajů jsou hackeři tímto způsobem schopni manipulovat s konkrétními transakcemi. Tomuto typu útoku se snaží bránit banky tím, že instalují na své stránky nejrůznější bezpečnostní certifikáty, které mají bránit možnému přesměrování.

Uživatel by si v obou zmíněných případech měl před přihlašováním do webové aplikace důkladně ověřit, že údaje vyplňuje do stránek banky a ne do stránek útočníka.

Spyware

Méně rozšířenou počítačovou hrozbou je speciální druh programu nazvaný Spyware. Tento program uživatel sám nespouští, naopak nemá tušení, že v jeho počítači Spyware má. Lidé tento typ útoku znají spíše jako pod pojmy vir a trojský kůň.

Spyware se do počítače dostává přibalený k jinému programu, který uživatel instaluje, nebo třeba součástí e-mailu jako příloha. Nejsilnější obranou proti tomuto typu útoku je mít aktualizovaný operační systém a veškeré programy v počítači a aktivní antivirus.

Vzhledem k rozšířenosti operačního systému Windows se jedná o nejvíce napadané prostředí. V poslední době se hackeři stále více zaměřují na chytré mobilní telefony, které jsou stále častěji používané pro přístup k internetu. Nejhorší je falešný pocit bezpečí, pokud uživatel má v počítači nainstalovaný antivirový program. Neznamená to, že se může chovat neopatrně.

Základní rada zní – neotevírat podezřelé přílohy emailů, nestahovat programy z internetu a podobně podezřele vypadající obsah. Jelikož Spyware operuje přímo v počítači, má daleko větší dosah než dříve zmíněné útoky – dokáže například i celkem jednoduše odeslat certifikáty. V České republice tímto typem viru bylo napadeno bankovnictví i těch největších bank (Komerční bankyČeské spořitelny).

Libanonská smyčka

Kromě útoku spojených s platbami na internetu případně internetovým bankovnictvím známe i další způsoby jak se zmocnit finančních prostředků na našem bankovním učtu. Tento typ odcizení prostředků se odehrává při výběrech z bankomatu. Nazýváme ho „libanonská smyčka“ a spočívá v umístění naříznuté pásky videokazety do štěrbiny pro platební karty v bankomatu. Páska kartu zachytí a znemožní jí vysunout i zasunout.

Útočník předstírající pomoc poradí oběti znovu zadat svůj PIN, který si zapamatuje. Oběť která odejde problém reklamovat do banky nechává zdánlivě zaseknutou kartu v bankomatu. Té se pak zmocní útočník a za pomoci zjištěného PINu z karty odcizí finanční prostředky ještě dříve než kartu stačí vlastník zablokovat.

Hradecká lišta

Od roku 2008 známe i druhý způsob, který souvisí s výběry z bankomatu. Poprvé tento způsob, spočívající v umístění falešné lišty do otvoru pro výdej peněz, byl objeven v Hradci Králové, a podle toho ho nazýváme „Hradecká lišta“.

Na liště je umístěna lepící páska, která není předem viditelná. Osoba, která přijde uskutečnit výběr si tedy ničeho nemůže všimnout. Proběhne standardní postup výběru prostředků, tedy vložení karty, zadání požadované částky a PINu. Potíž je v tom, že vybírané bankovky se přilepí k lepící pásce a nemohou vyjet ven. V momentě kdy oběť odejde problém reklamovat do banky, pachatelé lištu odtrhnou a zmizí i s penězi. Nezměněným postupem pak čekají na další a další lidi, kteří přicházejí vybírat z daného bankomatu.

Skimming

Z anglického slova skimming, které znamená „sbírání dat“, vzniklo pojmenování dalšího útoku na bankomaty. Oproti předchozím dvěma útokům na bankomaty se jedná o nejsložitěji proveditelný útok. Cílem tentokrát není zmocnění se vybírané hotovosti nebo karty samotné, ale útočník kopíruje magnetický proužek platební karty.

Ke kopírování magnetického proužku dochází buď přímo uvnitř v bankomatu, nebo ve čtečce dodatečně umístěné na bankomatu. PIN útočník získává buď instalací repliky klávesnice, která zaznamenává zadané piny. Druhou možností je odpozorování PINu přes kameru, nebo z určité vzdálenosti a za určitých okolností i osobně. Není tedy z tohoto pohledu špatnou ochranou zakrývat klávesnici bankomatu dlaní ruky při zadávání PINu. Každý by se určitě měl před obsluhou bankomatu přesvědčit, že na něm nejsou instalované žádné podezřele vypadající komponenty.

Na štěrbiny určené pro vkládání karet do bankomatu jsou jako obrana proti tomuto typu útoku instalována speciální ochranná zařízení, tzv. FDI (Fraudulent Device Inhibitor). Neinformované zákazníky banky instalace těchto zařízení často může mást, protože není jasně patrné, zda se jedná o zařízení banky, či útočníka.

Další méně používané techniky

Nesmíme zapomínat ani na fyzické odpozorování PINu a následné zcizení karty. Další možností je strhávání finančních prostředků přes takzvané bezkontaktní čipy v platebních kartách. Útočníkovi stačí se přiblížit se čtečkou dostatečně blízko a strhávat si částky do 500 Kč, které ve většině případů není potřeba potvrzovat PINem. K tomu ale často nedochází, neboť takto stržené peníze jsou snadno dohledatelné.

Závěr

Platební karty a jejich široké uplatnění v každodenním životě je dnes realitou. Například nákupy v e-shopech, rezervace v autopůjčovnách či hotelích nelze bez karty provést vůbec, proto se nelze bránit zneužití nevyužíváním karet jako takových.

Velká vynalézavost a další nové a nové způsoby útoků a metod zcizení přístupových dat platebních karet představují vzhledem k množství karet a karetních operací vysoké riziko, kterému lze čelit pouze neustálým zdokonalováním kontrolních mechanismů a preventivních opatření ze strany banky, stejně jako opatrností ze strany klientů. Důležitým prvkem prevence je dostatečná míra informovanosti uživatelů karet o obecných zásadách ochrany proti zcizení a zneužití dat karet.

Okradl vás někdo pomocí vaší platební karty?

Zobrazit výsledky

Nahrávání ... Nahrávání ...

Napsat komentář

Vaše emailová adresa nebude zveřejněna.