Tip na článok
Na očiach: Platobnú kartu stále sledujte. Nedovoľte, aby ňou prešiel zamestnanec pod pultom alebo si z nej, nebodaj, odpisoval údaje.

Platobnú kartu si nedajte z rúk: Zlodej nepotrebuje čip, stačia údaje

Internetová mafia vás môže pripraviť o tisíce za pár minút a ani si to nevšimnete.

V posledných týždňoch prišli o svoje peniaze desiatky klientov rôznych bánk po celom Slovensku. Páchatelia pritom neboli žiadni maskovaní lupiči s pančuchami na hlavách, nepoužili zbrane či násilné prepady. Vykrádanie účtov v modernej dobe nadobudlo úplne iné rozmery. O úspory vás môže obrať z pohodlia domova hoci aj šikovnejší tínedžer.

Vybielený účet

„Ráno som sa zobudil a v mobile som mal šesť SMS notifikácií z banky. Od polnoci do štvrtej rána som mal platiť kartou vo viacerých spoločnostiach. Tri platby po 150 eur išli do nejakého salónu krásy, ďalšie sumy boli v desiatkach eur z amerického internetového obchodu. Dohromady som prišiel o viac ako šesťsto eur. Vyslovene mi vybielili účet,“ sťažuje sa pán Daniel z Bratislavy.

Čo sa mohlo stať? Okradnutý muž naposledy vyberal hotovosť z bankomatu na Slovensku. To však zrejme nebol pôvod jeho problémov. Nedávno bol v New Yorku a tam platil kartou. Je možné, že si niekto okopíroval jeho údaje a teraz vďaka nim veselo nakupuje?

„Pri platení cez internet nepotrebuje zlodej obsah magnetického prúžku alebo čipu, ale len údaje z karty. To znamená, že ten pán niekde zaplatil kartou a niekto potom údaje ukradol a platil kartou inde. Ale môže to byť pokojne aj dva roky stará platba. Ak sa údaje nezmenili, je jedno, kedy a kde to bolo,“ vysvetľuje odborník na bezpečnosť platobných a kartových systémov Rastislav Turek. Možností, ako získať informácie z vašej platobnej karty, je veľa. Na čo si dať pozor?

Infikované bankomaty

Niet pochýb, že nedávne kopírovanie platobných kariet má na svedomí organizovaná zločinecká skupina. Peniaze našincov sa vinou zneužitých údajov vyberali z bankomatov v Austrálii a v Mexiku. Predtým dokonca aj v Keni, Dominikánskej republike a Ekvádore. Páchatelia použili takzvaný skimming, teda metódu, pri ktorej oskenujú údaje z platobnej karty, keď ju vložíte do bankomatu upraveného podvodníkmi. Jeden taký bol v Bratislave, druhý v Košiciach.

Dômyselní: Supertenkú falošnú klávesnicu bežný človek nemá šancu rozpoznať. Foto: Europol

„To, že miznú karty na Slovensku, znamená, že tu operujú gangy ešte z chudobnejších krajín. Podľa mojich znalostí z Bulharska, Rumunska či Moldavska,“ domnieva sa špecialista. Pre týchto podvodníkov sme podľa neho zaujímaví vďaka vývoju životnej úrovne. „Bežná karta u nás má disponibilný zostatok päťsto eur, čo býva často aj jej limit. To je pre zlodejov celkom atraktívne, lebo krádežou stovky kariet sa razom dostanú teoreticky na 66-tisíc dolárov. Na čiernom trhu sa všetko počíta v dolároch,“ dodáva Turek.

Ako samotný skimming funguje? Magnetický prúžok vašej karty prečíta špeciálne zariadenie namontované v otvore, kde sa karta vkladá. K tomu je zároveň v priestore bankomatu nainštalovaná miniatúrna kamera, ktorá sníma zadanie PIN kódu. Práve preto je dôležité tlačidlá pri vyťukávaní kódu prikryť druhou rukou. Ani to vám však nemusí pomôcť, ak namontovali ešte niečo sofistikovanejšie, a to klávesnicu PinPad. „Je to supertenká klávesnica, ktorá sa kladie na originálnu. Tým, ako ju stláčate, zapisuje si PIN kód. Nemáte šancu odhaliť ju. Vyrábajú ich v Číne ako na bežiacom páse, na čiernom trhu stojí asi šesťtisíc dolárov,“ objasňuje Rastislav Turek.

Podvodník nemusí takzvané skimmovacie zariadenie inštalovať len na bankomate. Kartu treba strážiť napríklad aj pri platbe v reštaurácii. „Čašníčka môže mať toto zariadenie pod sukňou, kartu cezeň pretiahne za sekundu,“ dodáva Turek.

Skimming: Zariadenie odčíta údaje z karty. Podvodníci ho inštalujú na otvor, do ktorého kartu vkladáme. Foto: Profimedia.sk

Bleskové kópie

„Ukradnuté údaje používajú podvodníci pri výrobe falzifikátu karty. Tou potom robia výbery peňazí z účtu klienta, ku ktorému bola karta pôvodne vydaná, v bankomatoch krajín, ktoré nedokážu čítať čipovú technológiu,“ vraví hovorca Slovenskej sporiteľne Štefan Frimmer. „Na vrchole rebríčka krajín sa udržuje Thajsko, kde sa podľa dostupných štatistík deje až sedemnásť percent všetkých podvodov na svete,“ dodáva hovorkyňa Sberbank Slovensko Ľubomíra Chmelová.

Profesionálom stačí na vyrobenie falošnej karty len chvíľa. Skopírované informácie napália na prázdne karty priamo z výrobne, ktoré sa predávajú na čiernom trhu a sú na nerozoznanie od originálov. Niektorým to trvá niekoľko dní, iným hodiny a tí špičkoví to zvládnu za pár minút. „Ak sú šikovní, z karty, ktorá bola odkopírovaná o 15.50 v talianskom hoteli, o 15.54 vyťahujú peniaze v Thajsku. Sú extrémne dobrí, extrémne rýchli, vyrába to obrovské straty,“ varuje bezpečnostný analytik.

Malou útechou podľa Frimmera môže byť fakt, že podvodníci nevedia použiť takto ukradnuté údaje na platbu cez internet. Skimmingom totiž nedokážu získať trojmiestny číselný kód (CVV, CVV2, pozn. red.), ktorý je na zadnej strane karty a ktorý spolu s dátumom exspirácie pri takejto platbe spravidla zadávate. Rastislav Turek však varuje, že CVV kód mnoho e-shopov, ako napríklad jeden z najväčších, amazon.com, nepýta.

Nakaziť bankomat sa dá aj inak. V minulosti napríklad zločinci nahrali do bankomatov vírus cez platobnú kartu. Keď k nemu podišiel klient a vložil vlastnú kartu, nainštalovaný program dokázal okrem odčítania údajov vypnúť nahrávanie bezpečnostnej kamery, otvoriť trezor a sám sa vedel aj z bankomatu zase vymazať.

Lovci hesiel

Medzi ďalšie metódy podvodov patrí napríklad takzvaný phising, pharming a vishing. V prvom prípade vám príde fiktívny e-mail, ktorý vás žiada napríklad o zmenu hesla do bankového účtu. Navedie vás na falošnú stránku a keď naťukáte svoje údaje, otvoríte dvere zlodejom. „V Taliansku sa objavil phising, ktorý mali problém identifikovať aj samotní zamestnanci banky. Úspešnosť mal okolo 27 percent a zmizli milióny eur,“ opisuje jeden z podvodov Rastislav Turek. Najviac zasahovanou je pritom podľa neho platobná služba PayPal.

V druhom prípade vás heker presmeruje na cudziu stránku z vašej banky, keď sa snažíte pripojiť do internetbankingu. Aj takéto weby vyzerajú ako dokonalé kópie originálov. Pri prihlasovaní do elektronického bankovníctva si preto vždy všímajte, či sa stránka začína písmenami https.

Pri vishingu vám zas drzý špekulant dokonca zatelefonuje, napríklad so slovami: „Dobrý deň, na vašom účte prebehla podozrivá transakcia. Potrebujeme údaje z vašej GRID karty na jej zrušenie.“ Na takéto telefonáty zásadne nereagujte, skutoční pracovníci banky nikdy nevolajú a nežiadajú citlivé údaje.

Na trhu

Internetová mafia pracuje po celom svete. Niektorí fungujú sami za seba, iní sú organizovaní vo viacerých krajinách. Medzi najslabšie zarábajúcich v tejto hierarchii patria hekeri, ktorí získavajú údaje o platobných kartách, ale nevedia ich ďalej využiť a dostať z nich reálne peniaze. „Údaje predávajú na čiernom trhu. Je to dosť namáhavá robota, ale tieto pozície vo svete zastávajú trinásťaž pätnásťročné deti,“ prekvapuje špecialista.

Podľa cenníka je na čiernom trhu jednou z najlukratívnejších kreditná karta z Európskej únie. Najdrahšia je však karta z Hongkongu. „Majú veľmi vysoké limity, veľké sumy na kartách a veľmi malé obmedzenia. Priemerná podvodná transakcia je tam v hodnote sedemtisíc dolárov, pričom vo svete je to len šesťsto. Najnižšiu cenu majú debetné karty z USA. Keď sa predávajú vo veľkom množstve, napríklad tisíc kariet naraz, jedna môže mať hodnotu aj jeden cent.“

Pod pojmom čierny trh si pritom predstavte stovky bežných stránok či diskusných fór, kde ľudia vo veľkom predávajú platobné karty a rôzne zariadenia. „Veľmi známy bol mazafaka.cc. Boli to Číňania s Rusmi, mali okolo desaťtisíc používateľov. Vstupné na fórum bolo päťtisíc dolárov a keď ich chytili, mali na účtoch okolo 25 miliónov dolárov. Drvivá väčšina na fórach nemá ani osemnásť rokov,“ vyratúva Turek.

Najdôležitejšiu pozíciu v celej internetovej pavučine zastáva ten, kto dokáže virtuálne peniaze premeniť na skutočné. Títo ľudia napríklad nakupujú cez internetové obchody. V praxi to vyzerá tak, že na čiernom trhu si od takéhoto človeka vypýtate špičkový počítač, ktorý stojí dvetisíc eur. On ho kúpi cez účet nevinnej obete vďaka ukradnutým údajom. Od vás si zaň vypýta štyristo eur a pošle vám ho rovno domov.

Ďalšou z možností je, že si objednávajú tovar na fiktívne osoby a potom ho predávajú ďalej. „Členovia skupiny často pracujú rovno pre doručovateľské služby. Tovar naložia do auta, sami si ho preberú, hocako podpíšu a je to,“ uzatvára Rastislav Turek.

Nebezpečné aplikácie

Vyspelé smartfóny sa dnes už čoraz viac podobajú na malé počítače. Môžu cez ne nič netušiace obete vynachádzaví podvodníci okradnúť?

Odčíta údaje

Trendom medzi platobnými kartami je bezkontaktná technológia. Prechádza na ňu postupne už väčšina bánk. V obehu sú státisíce kariet. Ich majitelia môžu bez zadávania PIN kódu, teda iba priložením karty k terminálu, uhradiť malý nákup do dvadsať eur, a to len trikrát po sebe. Banky ubezpečujú, že platenie je bezpečné, zneužitie bezkontaktnej technológie z inštitúcií, ktoré sme oslovili, zaznamenala len jedna. Nedávno však prebehla médiami správa o tom, že existuje aplikácia pre smartfóny so systémom Android, ktorá dokáže z takýchto kariet údaje odčítať.

Podľa odborníka na bezpečnosť platobných a kartových systémov je to technicky skutočne možné. „Zároveň však technológia bezpečná je, pretože zlodejom sa ju neoplatí zneužívať. Nebezpečenstvo je naozaj nízke. V skutočnosti idú zlodeji po čo najmenšom riziku a najväčšom zisku,“ prízvukuje Rastislav Turek a pridávajú sa aj banky.

„S načítanými údajmi transakciu nie je možné realizovať. Načítané údaje sú nedostatočné na verifikáciu transakcie aj na autentifikáciu klienta,“ tvrdí hovorca Slovenskej sporiteľne Štefan Frimmer. „Aplikácia načítava z platobnej karty len určité dáta, ktoré však nie sú postačujúce na zneužitie karty,“ súhlasí hovorkyňa Tatra banky Marína Smolková.Väčšie riziko Riziko môžu predstavovať i aplikácie, ktoré si ľudia sťahujú do svojich telefónov. Spomeňte si, koľkým službám ste zverili svoje osobné informácie. Jednou z takých je napríklad aj elektronická peňaženka eWallet pre iPhone, v ktorej si používatelia uchovávajú čísla kariet aj s PIN kódmi, prístupové údaje k internetbankingu a iné citlivé údaje. Rastislav Turek za možný problém označuje PIN kód, ktorý tvoria iba štyri čísla, a tak má len desaťtisíc možných kombinácií, čo pre šikovného hekera nie je problém.

„Predpokladám však, že po pár nesprávnych pokusoch dáta v aplikácii zmažú. Používajú silnú a overenú šifru na zašifrovanie dát, takže v tom zásadný bezpečnostný problém nevidím. Ak človek k svojmu telefónu začne pristupovať ako k peňaženke, tak je všetko v poriadku. Keď máte citlivé údaje v telefóne, treba ho opatrovať rovnako ako peňaženku, dávať si naň väčší pozor a nenechať ho len tak na stole v kaviarni. Krádež telefónu totiž automaticky znamená aj stratu uložených údajov, napríklad informácie o platobných kartách,“ varuje odborník.

Ako sa chrániť

  • Nedávajte svoju platobnú kartu preč z rúk do rúk niekoho iného.
  • Vždy ostaňte so svojou platobnou kartou a choďte platiť k pultu alebo obsluhu poproste, aby priniesla prenosný POS terminál. Je dôležité celý čas dávať pozor, či sa s kartou nenakladá podozrivo.
  • PIN kód zadávajte tak, že druhou rukou si zakryjete tlačidlá, prípadne obsluhu poproste, aby sa otočila.
  • V obchode sledujte celý proces platby a nedovoľte, aby predavač prešiel vašou kartou pod pultom.
  • Pri výbere peňazí v bankomatoch buďte obozretní a pri najmenšom podozrení využite iný bankomat. Skontrolujte, či nenájdete uvoľnené spoje, pohyblivé časti a pod.  Ak objavíte upravený bankomat, okamžite volajte políciu a zablokujte svoju platobnú kartu.
  • Ak zaregistrujete podozrivé platby alebo obraty z vašej karty, okamžite sa kontaktujte s bankou, zablokujte kartu a žiadajte o prešetrenie transakcií. Keď sa potvrdí zneužitie karty, banka peniaze vráti.
  • Nikde neuvádzajte svoje osobné údaje alebo identifikačné údaje platobnej karty okrem ich nevyhnutného zadania pri vykonávaní platobných operácií.
  • Pred zadaním týchto údajov sa presvedčte, či nie ste na neoverených internetových stránkach.
  • Nikdy neposielajte svoje identifikačné údaje a identifikačné údaje karty, telefonicky ich neposkytujte neznámym osobám, ani keď sa v telefóne vydávajú za zamestnancov banky.
  • Ak chcete zadať takéto informácie, overte si indikátory bezpečnosti stránky: protokol https:// v adresnom riadku, ikonka zámku, bezpečnostný certifikát SSL pripojenia.
  • Požiadajte banku o nastavenie SMS notifikácií k účtu.
  • Pravidelne si aktualizujte v banke kontakty, najmä telefonické.

Zdroj: SLSP, SBERBANK, VÚB

VIDEO Plus 7 Dní