KWP: Jak bezpiecznie korzystać z kart płatniczych
Data publikacji 14.12.2008
Rozwój technologiczny elektronicznych instrumentów płatniczych, w tym karty bankowej, pociągnął za sobą wykształcenie i rozwój nowej formy przestępczości, jaką w odniesieniu do plastikowego pieniądza jest skimming, czy jeszcze młodsze zjawisko – phishing. Polica przestrzega, jak uchronić się przed tego typu przestępstwami i na co zwracać uwagę przy korzystaniu z kart płatniczych.
Rozwój technologiczny elektronicznych instrumentów płatniczych, w tym karty bankowej, pociągnął za sobą wykształcenie i rozwój nowej formy przestępczości, jaką w odniesieniu do plastikowego pieniądza jest skimming, czy jeszcze młodsze zjawisko – phishing. Polica przestrzega, jak uchronić się przed tego typu przestępstwami i na co zwracać uwagę przy korzystaniu z kart płatniczych.
Fakt, że urządzenia oraz umiejętności potrzebne do uprawiania takiego procederu są coraz bardziej dostępne i łatwiejsze do uzyskania, sprawia, że korzyści z popełniania przestępstw na szkodę systemów kart płatniczych są większe od nakładów poniesionych na przygotowanie i dokonanie tych przestępstw.
„Skimming” to termin zaczerpnięty z języka angielskiego i odnosi się do przestępczego wykorzystania kart płatniczych. Przestępstwo to polega na bezprawnym skopiowaniu zawartości paska magnetycznego karty bankowej (bankomatowej, płatniczej, kredytowej itp.) w celu wytworzenia duplikatu oryginalnej karty, która w środowisku elektronicznym zachowywać się będzie identycznie jak karta oryginalna. Transakcje dokonane przy użyciu kopii kart obciążają prawowitego posiadacza karty, niejednokrotnie przy jego nieświadomości.
W ostatnim czasie, czego przykładem jest również Polska, skimming i przestępcze wykorzystanie skopiowanych kart (wypłaty bankomatowe) należą do najgroźniejszych przestępstw związanych z wykorzystaniem kart płatniczych.
Skopiowanie karty jest niezwykle łatwe i przestępcom zajmuje kilka sekund. Karty mogą być kopiowane w sklepach, restauracjach, na stacjach benzynowych, w zasadzie w każdym punkcie gdzie można dokonywać płatności kartami. Nieuczciwy sprzedawca może skopiować pasek karty na zapleczu, pod ladą, a nawet na oczach nieświadomego klienta. Szczególnie groźną odmianą skimmingu jest skimming bankomatowy. W tym przypadku przestępcy instalują specjalistyczne urządzenia, służące do pozyskiwania danych z paska magnetycznego kart oraz kodów „PIN”. Urządzenia te mogą być montowane zarówno na bankomatach, jak i w ich wnętrzu.
Istotnymi elementami, na jakie należy zwrócić uwagę przy bankomacie są:
-wlot urządzenia do obsługi karty płatniczej (tzw. slot) – oryginalny czytnik kart,
- klawiatura do autoryzacji transakcji kodem „PIN”,
- górna część bankomatu – różnego rodzaju listwy i nakładki z logo kart płatniczych, gadżety z logo bankomatu; mogą one ukrywać miniaturową kamerę, która skierowana na klawiaturę bankomatu ma za zadanie „zarejestrować” wprowadzany kod „PIN”:
Urządzenia skanujące karty – pospolicie nazywane skimmerami – mogą pozostać zainstalowane na bankomacie przez kilkadziesiąt godzin. Czas ich pracy uzależniony jest od zastosowanego zasilania oraz ilości dostępnej pamięci.
Alternatywną metodą zdobycia kodu „PIN” jest zastosowanie nakładki z minikamerą. Taką nakładkę umieszcza się nad klawiaturą numeryczną bankomatu w ten sposób, aby była widoczna ręka klienta „wstukująca” kod „PIN”. Najczęściej stosuje się w tym celu specjalnie dopasowane banery reklamowe lub listwy z logo systemów kart płatniczych. W ich wnętrzu umieszcza się mikrokamerę, której „oczko” ukrywane jest dla zamaskowania np. w miejscu po mocowaniu śrubki.
Nazwa „phishing”, wywodząca się z języka angielskiego, jest skrzyżowaniem słów „fishing” – łowić ryby, z „personal data” – dane osobowe. Phishing polega na tworzeniu oszukańczych wiadomości e-mail i witryn WWW, które wyglądają identycznie jak serwisy internetowe znanych firm, aby skłonić klientów tych firm do podania swoich danych osobowych, numeru karty kredytowej lub informacji o elektronicznym rachunku bankowym – kodów i haseł potrzebnych do zalogowania i autoryzacji transakcji. Typowy atak phishingowy składa się zazwyczaj z dwóch głównych elementów: autentycznie wyglądającej wiadomości e-mail oraz fałszywej strony WWW.
Dane te są najczęściej pozyskiwane przy wykorzystaniu:
- rozsyłanych fałszywych e-maili z odnośnikami – linkami – do spreparowanej strony WWW e-banku, serwisu płatności lub serwisu aukcyjnego,
- złośliwego oprogramowania komputerowego.
Pozyskane w ten sposób dane wykorzystywane są do oszukańczych transakcji internetowych lub kradzieży pieniędzy z rachunków bankowych.
Wykorzystując niewiedzę użytkowników w zakresie bezpiecznego korzystania z usług bankowości internetowej, przestępcy tworzą tzw. strony phishingowe banków. Polega to na stworzeniu i podstawieniu klientowi serwisu bankowości elektronicznej niemal identycznej strony jak bankowa w celu stworzenia mylnego przeświadczenia, że użytkownik łączy się z autentyczną stroną WWW e-banku. Następnie ofiara „loguje się” do fałszywego serwisu, podając swój login i hasło, umożliwiając tym samym przestępcy przejęcie kontroli nad rachunkiem bankowym i przeprowadzenie oszukańczych operacji. Świadomy i „obyty” użytkownik Internetu, przy zachowaniu minimum ostrożności w większości przypadków jest w stanie uniknąć roli ofiary.
W momencie „logowania się” do fałszywej strony WWW danego banku, pojawia się informacja dotycząca błędu na stronie czy też błędu na serwerze, co często nie wzbudza podejrzeń przyszłej ofiary. Należy pamiętać, że każde połączenie on-line z bankiem powinno być szyfrowane. Widoczne jest to w pasku adresów przeglądarki internetowej w postaci rozpoczęcia adresu URL od protokołu: „https://” oraz ikony zamkniętej „kłódki”, widocznej w prawym dolnym rogu lub przy pasku adresów. przeglądarki (w zależności od rodzaju i wersji przeglądarki). Literka „s” dodana do standardowego adresu URL oznacza, że połączenie z takim adresem jest szyfrowane. Ponadto, przed skorzystaniem z usług bankowości elektronicznej i innych szyfrowanych połączeń, każdorazowo należy sprawdzić dane o certyfikacie SSL danej strony WWW.
Ponadto w ostatnim czasie cyber-przestępcy, działający na terenach państw zachodnich stosują nową metodę sczytywania kart bankomatowych. Dane te sczytywane są przy zamku otwierającym drzwi do pomieszczenia gdzie znajduje się bankomat. Numer PIN rejestrowany jest za pomocą kamery zainstalowanej wewnątrz pomieszczenia, w którym znajduje się bankomat.
Jedyną możliwością uchronienia się przed zeskanowaniem karty i kradzieżą środków z konta jest:
- Dokładne obejrzenie czytnika kart, umieszczonego na drzwiach wejściowych do pomieszczenia w którym znajduje się bankomat.
- Używanie dwóch osobnych kart, z których jedna służy do otwarcia drzwi do pomieszczenia, a druga bezpośrednio do podejmowania gotówki z bankomatu.
- Zasłanianie klawiatury bankomatu w taki sposób, który uniemożliwia podejrzenie wprowadzanego PIN-u przez inne osoby, lub urządzenie do rejestracji obrazu.
Urządzenie służące do sczytywania danych z paska magnetycznego karty – SKIMMER:
Nakładka na klawiaturę bankomatu wraz z blatem (należy zwrócić uwagę, że „fałszywka” będzie odstawać na wysokość kilku milimetrów nad obudowę bankomatu, widoczne szpary po bokach blatu):
