Klonované karty útočia

Autor: Peter Kolárik | 20.7.2010 o 12:55 | Karma článku: 13,13 | Prečítané:  10497x

Svet platobných kariet, ovládaný bankármi a kartovými asociáciami, už niekoľko rokov odráža útoky roztrúsených skupín podvodníkov. Občas sa niektorým rebelom podarí oklamať ochranné systémy a bezpečnostných analytikov, ale straty bánk sú len minimálne. Sformovali sa však aj väčšie a technologicky vyspelejšie skupiny, schopné vyrobiť dômyselnú a účinnú zbraň – kartové klony. Tieto organizácie pritom ťažia z najužšieho miesta systému – nepozornosti človeka.

Ilustračné foto - kreditka temnej stranyIlustračné foto - kreditka temnej stranyMBNA

Ani úvod, ani pokračovanie tohto článku nie je žiadna fikcia. Fraud Issuing, alebo tiež podvodné vydávanie kariet, tvorí významnú časť podvodov s platobnými kartami. Podľa dostupných údajov bolo v roku 2009 viac ako 50 % všetkých podvodných transakcií na svete realizovaných práve klonovanými kartami. Ešte v roku 2008 to bolo len 37 % všetkých podvodov. Ak chcete vedieť, čo potrebujú podvodníci na to, aby vyrobili klon Vašej karty, predali ho a aby ním veselo niekto platil na internete alebo v obchode, čítajte ďalej.

Epizóda I: Karty s magnetickým prúžkom a skimming

Magnetický prúžok je súčasťou platobných kariet už od roku 1969 a určite ňou ešte pár rokov zostane. Hlavným dôvodom je akceptácia kariet mimo krajín SEPA, kde sa s migráciou na EMV čipy neponáhľajú. Kvôli jednoduchej technológii a cene je prúžok stále populárny, zároveň je však aj veľmi kritizovaný, pretože je ľahko čitateľný a kopírovateľný.

Súčasné magnetické prúžky používané na platobných kartách majú záznamy uložené v dvoch až troch stopách - podľa typu karty. Okrem iných údajov je v nich zaznamenané aj číslo platobnej karty - tzv. PAN, exspirácia karty a meno jej majiteľa.

Ku skopírovaniu údajov z magnetického prúžku môže dôjsť prakticky v ktoromkoľvek obchode alebo bankomate. Stačí, že kartu spustíte z očí. Kopírovanie údajov z karty sa nazýva skimming, zariadenie pre kopírovanie údajov sa volá skimmer. Súčasné skimmery majú veľkosť menšieho mobilu. Sú vybavené vnútornou pamäťou, do ktorej sa ukladajú dáta prečítané z magnetického prúžku, môžu mať vstavaný bluetooth modul pre prenos dát zo skimmera do iného zariadenia, USB rozhranie alebo miniatúrnu kameru schopnú zosnímať zadávanie PIN kódu. Pri skimmovaní na bankomatoch sa často využíva kombinácia skimmera s PIN padom, t.j. zariadením, ktoré sa umiestni na pôvodnú klávesnicu bankomatu ako jej kryt, sníma zadané PIN kódy a zároveň stláča pôvodné tlačidlá bankomatu umiestnené pod ním. Získané dáta sú buď odoslané na ďalšie spracovanie (výrobu kariet) alebo sa predajú na čiernom trhu.

Skimming v reštaurácii:

Skimming v bankomate:

Epozóda II: Čipové karty a shimming

Kopírovanie čipových kariet je pre podvodníkov trochu väčší problém, nie však neriešiteľný. Zariadenia na čítanie čipov sú sofistikovanejšie a nákladnejšie ako zariadenia na čítanie magnetických prúžkov, aj kvôli tomu ich využívajú najmä väčšie organizované skupiny. Kopírovanie údajov z čipu sa nazýva shimming.

Ako biele kone slúžia podplatení obchodníci, ktorí majú prístup k PED zariadeniam (PIN Entry Device). Tí do PED zariadenia vložia veľmi tenkú pružnú doštičku - tzv. shim, ktorá nijako nebráni súčasnému vloženiu čipovej karty. Shim je tenší ako 0,1 mm, čo je menej ako hrúbka ľudského vlasu!

Shim možno vložiť aj do bankomatu, a to prostredníctvom tzv. „prepravnej karty“, na ktorej je uchytený. Karta ho prepraví dovnútra a umiestni ho na čítacie zariadenie bankomatu. Von vyjde už len prepravná karta. Problémom je, že akonáhle sa shim dostane do bankomatu, nie je z vonkajšej strany prístroja vôbec viditeľný. Následne, po vložení skutočnej platobnej karty, sa shim nachádza medzi čipom karty a čítačkou zariadenia, navzájom ich prepája a zároveň odchytáva ich komunikáciu. Získané dáta podvodníci „nahrajú“ na klonovanú kartu, pričom dokážu vyrobiť platobnú kartu so všetkými ochrannými prvkami jednotlivých kartových asociácií a hologramami. Polícii sa sem-tam podarí niekoho odhaliť, ale väčšinou sú zadržaní len „zberatelia dát“ na najnižšom stupni.

Aj keď obrana proti skimmingu a shimmingu je často nemožná, dobrá správa je, že banky v týchto prípadoch väčšinou zneužitie karty uznajú a peniaze ukradnuté z karty vrátia.

Páčil sa Vám tento článok? Pridajte si blogera medzi obľúbených a my Vám pošleme email keď napíše ďalší článok
Pridaj k obľúbeným

Už ste čítali?