Sajber kriminalci smišljaju nove načine da ukradu novac sa platnih kartica. Koriste pristupne podatke ukradene fišingom putem interneta ili telefona. Čak je i čuvanje ili nošenje kartice blizu telefona ponekad je dovoljan razlog da ostanete bez novca. Zato se bavimo temom kako zaštititi platne kartice od krađe i prevara u oflajn/onlajn transakcijama i prilikom podizanja novca.
Sigurnost platnih kartica se konstantno poboljšava, ali i napadači pronalaze nove načine da ukradu novac. Nekada su, nakon što bi prevarili žrtvu da preda podatke sa kartice na lažnoj onlajn prodavnici ili putem druge prevare, sajber kriminalci pravili duplikat kartice upisivanjem ukradenih podataka na magnetnu traku. Takve kartice su se zatim mogle koristiti u prodavnicama, pa čak i na bankomatima bez problema. Pojava čip kartica i jednokratnih lozinki (OTP, one time password) značajno je otežala posao prevarantima. Potpuno očekivano – oni su se prilagodili.
Prelazak na mobilna plaćanja putem telefona povećao je otpornost na neke vrste prevara, ali je otvorio nove prilike za druge. Sada, nakon što ukradu broj kartice, prevaranti pokušavaju da je povežu sa sopstvenim Apple Pay ili Google Wallet nalogom. Kada to urade, koriste ovaj nalog sa pametnog telefona da plate robu koristeći karticu žrtve. To može biti u regularnoj prodavnici ili na lažnom prodajnom mestu sa NFC terminalom.
Krađa podataka sa kartice pomoću fišinga
Internet je preplavljen mrežom lažnih sajtova čiji je cilj fišing, tj. krađa podataka sa platnih kartica. Ovi sajtovi mogu imitirati usluge dostave, velike onlajn prodavnice, pa čak i portale za plaćanje komunalnih računa ili saobraćajnih kazni. Sajber kriminalci takođe kupuju desetine pametnih telefona. Prave Apple ili Google naloge na njima i instaliraju aplikacije za beskontaktna plaćanja.
Kada žrtvu namame na sajt, od nje se traži da poveže karticu ili izvrši obavezno malo plaćanje. Ovo zahteva unos podataka o kartici i potvrdu vlasništva kartice unosom OTP koda. U ovom trenutku se novac još uvek ne skida sa računa.
Zapravo, podaci žrtve se gotovo odmah prenose sajber kriminalcima, koji povezuju karticu sa mobilnim novčanikom na svom pametnom telefonu. OTP kod je potreban da bi se autorizovala ova operacija. Da bi ubrzali i pojednostavili proces, napadači koriste specijalan softver koji uzima podatke koje je žrtva unela i generiše sliku kartice koja joj savršeno odgovara. Nakon toga, dovoljno je samo da se uslika ova slika koristeći Apple Pay ili Google Wallet. Tačan proces povezivanja kartice sa mobilnim novčanikom zavisi od konkretne zemlje i banke, ali obično nije potrebno ništa osim broja kartice, datuma isteka, imena vlasnika kartice, CVV/CVC koda i OTP-a. Svi ovi podaci mogu biti ukradeni u jednoj sesiji i odmah upotrebljeni.
Dodatni trikovi sajber kriminalaca
Stručnjaci kompanije Kaspersky su otkrili i dodatne trikove koje sajberkriminalci koriste kako bi bi napadi bili još efikasniji.
Prvo, ako žrtva posumnja pre nego što pritisne dugme Pošalji, svi već uneti podaci se prosleđuju kriminalcima. Ovo se dešava čak i ako je to samo nekoliko karaktera ili nepotpun unos. Drugo, lažni sajt može da prijavi da je uplata neuspešna i podstaći žrtvu da pokuša sa drugom karticom. Na taj način, kriminalci mogu ukrasti podatke za dve ili tri kartice u jednom pokušaju.
Novac se ne skida odmah, a mnogi ljudi, ne videvši ništa sumnjivo u izvodu/aplikaciji banke, zaborave na ceo incident.
Kako se novac krade sa kartica
Sajber kriminalci u nekim slučajevima povežu desetine kartica sa jednim telefonom i ne potroše odmah novac sa njih. Ovaj telefon, pun brojeva kartica, zatim se preprodaje na dark vebu. Često prođe nekoliko nedelja, pa čak i meseci između fišinga i potrošnje. Ali kada taj neprijatan dan konačno dođe, kriminalci mogu odlučiti da kupe luksuzne predmete u prodavnici jednostavno obavljanjem beskontaktne transakcije sa telefona punog ukradenih brojeva kartica.
Mogu da postave i svoju lažnu prodavnicu na legitimnoj platformi za elektronsku trgovinu i naplate novac za nepostojeće proizvode. U Srbiji se čak može podići gotovina sa bankomata pomoću pametnog telefona sa NFC podrškom. U svim navedenim slučajevima, nije potrebna potvrda transakcije putem PIN-a ili OTP-a. Na taj način novac može biti preusmeren dok žrtva ne blokira karticu.
Zašto je opasno prislanjanje kartice na telefon
Krajem 2024, stručnjaci kompanije Kaspersky otkrili su prevaru koja zloupotrebljava NFC tehnologiju za krađu novca sa računa povezanih sa karticom. U ovoj prevari, od žrtava se ne traže podaci sa kartice. Umesto toga, napadači ih socijalnim inženjeringom navode da instaliraju „korisnu aplikaciju“ na telefonu, pod izgovorom administrativne, bankarske ili druge usluge. Žrtva zatim bude upitana da prinese svoju karticu na telefon i unese PIN kod za autorizaciju ili verifikaciju.
Instalirana aplikacija, naravno, nema nikakve veze sa svojim opisom. U prvom talasu ovih napada, žrtvama je očitavana kartica kada je bila prislonjena uz telefon. Prenosila je podatke sa PIN-om napadačima koji su ih koristili za kupovinu ili podizanje gotovine sa bankomata koji podržavaju NFC.
Kako zaštititi platne kartice od krađe
Stručnjaci kompanije Kaspersky izdvojili su nekoliko osnovnih saveta i koraka koje korisnici mogu preduzeti kako bi se zaštitili. Pročitajte ih u nastavku.
- Koristite virtuelne kartice za onlajn plaćanja. Nemojte držati velike iznose novca na njima i dopunite ih samo neposredno pre onlajn kupovine. Ako vaša banka to omogućava, onemogućite oflajn plaćanja i podizanje gotovine sa takvih kartica.
- Koristite internet platnu karticu sa ograničenim sredstvima. Stavljajte na nju novac neposredno pred plaćanje. Tako ćete, čak i da kartica bude kompromitovana izbeći krađu svog ostalog novca sa računa.
- Nabavite ili kreirajte novu virtuelnu karticu i blokirajte staru barem jednom godišnje, predostrožnosti radi.
- Za oflajn plaćanja, povežite drugu karticu sa Apple Pay, Google Wallet ili sličnom uslugom. Nikada ne koristite ovu karticu onlajn. Ako je to moguće, koristite mobilni novčanik na telefonu prilikom plaćanja u prodavnicama.
- Budite veoma oprezni sa aplikacijama koje traže da prislonite platnu karticu na pametni telefon, a kamoli da unesete PIN kod. Ako je to aplikacija banke od poverenja, onda je to u redu. Međutim, ako se radi o nečemu sumnjivom što ste tek instalirali sa nepoznatog linka ili van zvanične prodavnice aplikacija, bolje je da se držite podalje.
Pročitajte još:
- Koristite kartice na bankomatima, a ne telefon sa NFC-om.
- Instalirajte bezbednosno rešenje na sve računare i telefone kako biste minimizovali rizik od posete fišing sajtovima i instalacije zlonamernih aplikacija.
- Omogućite opciju Safe Money, koja je dostupna u svim Kaspersky bezbednosnim rešenjima. Tako ćete zaštititi sve finansijske transakcije i onlajn kupovine.
- Aktivirajte najbrža moguća obaveštenja o transakcijama (SMS i push) za sve platne kartice. Odmah kontaktirajte banku ili izdavaoca ako primetite bilo šta sumnjivo. Blokirajte karticu privremeno predostrožnosti radi čim posumnjate u nešto.
Od kada je platnih kartica od tada se priča i o tome kako zaštititi platne kartice od krađe i prevara. Budite proaktivni, uradite sve što je do vas da se to ne dogodi vama. Zdrava doza sumnje je uvek dobrodošla.
