12 października 2022

Cyberprzestępcy wykorzystują metodę card-not-present. Profilaktyka kluczowa dla bezpieczeństwa naszych pieniędzy

Nawet kilka tysięcy złotych mogła stracić  mieszkanka Katowic w efekcie wykradzenia danych jej karty kredytowej, które okazjonalnie podawała w sklepach internetowych i na jednym z portali rezerwacyjnych. Szybka reakcja pozwoliła ograniczyć szkody poczynione przez przestępców. Eksperci cyberbezpieczeństwa firmy ESET wskazują, że wobec powszechności takich incydentów kluczowe znaczenie ma profilaktyka i radzą co zrobić, aby zminimalizować skutki podobnych zdarzeń.

Szacuje się, że w darknecie mogą być dostępne miliony nielegalnie pozyskanych numerów kart, nazw użytkowników i haseł. Skala tego rynku jest trudna do oszacowania, jednak działania cyberprzestępców przynoszą im ogromne zyski. Szacuje się, że administratorzy największego nielegalnego serwisu handlującego skradzionymi danymi kart płatniczych w darknecie, zarobili na swojej działalności przestępczej ponad 350 milionów dolarów. Przestępcy, którzy znajdą się w ich posiadaniu najczęściej wykorzystują metodę płatności card-not-present, która nie wymaga obecności fizycznej karty przy dokonywaniu transakcji. W ten sposób mogą korzystać ze skradzionych danych kart kredytowych.

Taka sytuacja przytrafiła się jednej z mieszkanek Katowic. Wieczorem (ok. godz. 21.00) otrzymała sms z banku o obciążeniu jej karty na kwotę 160 AUD (dolary australijskie). Jak się okazało ktoś na Facebooku podał dane karty kredytowej w koncie reklamowym, najprawdopodobniej w wyniku ich kradzieży.

Oczywiście kartę od razu zablokowałam, a po kontakcie z bankiem okazało się, że sms informował o pierwszej z kilku planowanych transakcji tego typu. Szybka reakcja uniemożliwiła przeprowadzenie kolejnych, które były już zgłoszone i oczekiwały w kolejce. Łączna ich wartość to kilka tysięcy złotych

mieszkanka Katowic

W kontakcie z przedstawicielem banku złożona została reklamacja, a karta unieważniona. Dodatkowo zmienione zostały hasła oraz ustawienia płatności w serwisach, gdzie karta była użytkowana. Niestety z poziomu użytkownika w relacji z Facebookiem nie było możliwości w jasny i czytelny sposób dowiedzieć się szczegółów, jak i czy w ogóle można zgłosić fakt wykorzystania wykradzionych danych portalowi.

Cyberprzestępcy nie próżnują

Cyberprzestępcy nie próżnują, rozwijając techniki i technologie pozwalające na kradzież danych kart kredytowych. Jak informuje ESET, w najnowszej edycji raportu ESET Threat Raport T2 (maj-sierpień 2022), operatorzy trojana Emotet opracowali moduł pozwalający wyodrębnić zapisane informacje o danych karty kredytowej z przeglądarki Google Chrome . Jednocześnie w okresie od stycznia do końca maja odnotowano niezwykle udaną operację cyberprzestępców, gdzie co najmniej 50 tys. numerów kart kredytowych klientów z kilkuset restauracji zostało wykradzionych. Za te operacje odpowiadał Magecart, trzecie najczęściej wykrywane szkodliwe oprogramowanie typu Infostealer (kradzież danych), jedyne z kategorii bankowej, które znalazło się w pierwszej dziesiątce raportu ESET.

Co zrobić, aby jeszcze bardziej zminimalizować skutki kradzieży danych kart?

Czasami pomimo starań w obszarze ochrony danych kart kredytowych czy płatniczych może dojść do nieautoryzowanych transakcji. To możliwe w sytuacji, gdy dane w wyniku ataku cyberprzestępców zostaną skradzione np. z systemów rezerwacji w hotelach. Niestety jako klienci nie mamy dużego wpływu na taki proceder, jednak możemy podjąć kilka profilaktycznych działań pozwalających znacząco ograniczyć potencjalne zagrożenia i straty

Beniamin Szczepankiewicz,
specjalista ds. cyberbezpieczeństwa ESET
  1. Warto stosować limity transakcyjne na kartach, a jeśli nie kupujemy w internecie, to optymalnym rozwiązaniem jest wyłączenie takiej opcji, podobnie jak możliwości realizacji transakcji zza granicy.
  2. Do płatności internetowych warto stosować karty typu pre-paid.
  3. Niektóre banki oferują stosowanie jednorazowych kart płatniczych. Po transakcji karta staje się nieaktywna i nie można jej wykorzystać ponownie.
  4. Warto sprawdzić czy bank i wystawca karty oferuje usługę typu 3D secure, która wymaga, aby transakcje były potwierdzane np. w aplikacji mobilnej. Taka forma uwierzytelniania znacząco podnosi bezpieczeństwo użytkownika.
  5. Jeśli serwis internetowy oferuje nowoczesne formy płatności typu Apple Pay / Google Pay, to warto z nich korzystać, gdyż są o wiele bezpieczniejsze od klasycznej formy, gdzie podajemy komplet danych kart.

Z perspektywy klienta najważniejsza jest jednak usługa Chargeback, którą oferują banki i wystawcy kart. Każdą transakcję, która nie była przez nas wykonana należy zgłosić bankowi, a ten powinien zwrócić nam pieniądze, za nieautoryzowane transakcje. Dobrą praktyką w sytuacji, gdy mimo podjętych działań staniemy się ofiarą kradzieży, byłaby również profilaktyczna zmiana haseł dostępowych do najbardziej istotnych usług, typu główne adresy email czy hasło w banku

Beniamin Szczepankiewicz,
specjalista ds. cyberbezpieczeństwa ESET

Grzegorz Klocek
product manager ESET

Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34