Gdy ginie nam karta kredytowa

Przekręty Series kwie 21, 2012 at 5:23 pm

Kiedy ginie karta kredytowa, większość jej właścicieli może zameldować ten fakt telefonicznie wydawcy karty o każdej porze dnia i nocy. Ważne aby to uczynić jak najszybciej, gdyż ewentualny złodziej wie, że ma niewiele czasu na użycie jej w niecnych celach. A może dokonać zakupów na tysiące dolarów.

Co bardziej podejrzliwi handlowcy mogą wprawdzie zażądać dodatkowego dokumentu z fotografią (karty kredytowe z fotografią to wciąż rzadkość), ale takie żądanie nie jest zupełnie legalne. Mało tego. Gdzieniegdzie (np. w Kalifornii) jest wręcz zakazane prawem żądanie od klienta dodatkowych danych personalnych, nawet kodu pocztowego! Handlowiec może być tam ukarany grzywną w wysokości do 100 dol. za domaganie się takich informacji.

Wydawcy kart kredytowych stosują skomplikowane oprogramowanie komputerowe, które analizuje wydatki poczynione kartą, aby wykryć potencjalne nadużycie. Duża transakcja dokonana z daleka od miejsca zamieszkania właściciela karty może być przyczyną zablokowania karty przez system, a nawet przytrzymania jej w bankomacie. Wówczas prawowity właściciel musi skontaktować się z wydawcą, aby odzyskać swą kartę.

W przypadku transakcji typu CNP (card not present), a więc dokonywanych internetowo lub telefonicznie, handlowcy muszą polegać na informacjach przekazanych przez nabywcę i nie zawsze odróżnią właściciela od kogoś podszywającego się pod niego. Gdy oprócz karty ginie nam cały portfel istnieje duże prawdopodobieństwo, że złoczyńca znajdzie w nim wszelkie potrzebne dane potwierdzające (adres, datę urodzenia, PIN, kod pocztowy). Z tego powodu transakcje CNP są zwykle wyżej oprocentowane przez firmy wydające karty.

Internet służy też przestępcom do sprawdzania ważności skradzionych przez nich kart. Dokonują oni wówczas minimalnych transakcji, takich jak np. wykupienie miesięcznej subskrypcji na stronie internetowej czy mała dotacja. Jeżeli rejestracja przebiegła bez zakłóceń i transakcja się odbyła (np. na 1 dolar) jest to dla nich sygnał, że mogą wykorzystać skradzioną kartę do większych zakupów.

Fałszerze z Richmond Hill

Kolejny przekręt wykryła kanadyjska RCMP. Po dwumiesięcznym śledztwie funkcjonariusze dokonali rewizji domu w Richmond Hill i aresztowali tam dwie osoby oskarżone o fałszowanie dokumentów i gromadzenie danych osobowych z kart kredytowych.

Szajka fałszowała w swym laboratorium przede wszystkim kanadyjskie i eruropejskie paszporty. Znaleziono przy nich także 1500 podrobionych kat kredytowych, 20 tysięcy gotówki oraz fałszywe “gift cards” wartości rynkowej 30 tys. dol.

Zdaniem policji, podrabiane paszporty służyły często do usyskiwania kanadyjskich dokumentów identyfikacyjnych, jak np. prawo jazdy.

Aresztowani to 39-letni Gleb Tikhomirov I 31-letnia Halyna Borylo.

Phishing lub spoofing

Tak w branży komputerowej określa się wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej.

Atakujący hacker wysyła wiadomość do potencjalnej ofiary. Wiadomość zawiera prośbę o ujawnienie hasła, np. dla “zweryfikowania konta” lub “potwierdzenia informacji w rachunku”. Gdy ofiara podaje hasło, napastnik uzyskuje dostęp do konta i wykorzystuje je w celach zarobkowych.

Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Innym sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób – na przykład www.paypai.com zamiast www.paypal.com.

Zazwyczaj serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, zawsze warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony.

Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie (wpisanie w formularzu) jakichkolwiek danych (loginu, hasła, numeru karty), próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.

Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Stosunkowo prosto jest zmodyfikować ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, podszywającej się strony.

Należy regularnie uaktualniać system i oprogramowanie, w szczególności klienta poczty e-mail i przeglądarkę WWW.

Nie wolno przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła i loginu w mailu należy zignorować i zgłosić odpowiednim osobom.

Tom Birbojler