Tvá platební karta může být vykradena dřív, než si toho všimneš

Napsal /

Zobrazujte masofood.cz častěji ve výsledcích vyhledávání Google.

Přidat masofood.cz do Google

Zloději vám mohou vyčerpat účet, i když máte kartu stále u sebe

Představte si, že vaše karta klidně leží v peněžence – a přesto někdo v tu chvíli vybírá peníze z vašeho účtu. Stačí jediný neopatrný nákup nebo výběr u bankomatu a škoda je hotová.

Útoky na platební karty přibývají rok od roku. Odehrávají se jak u bankomatů, tak v internetových obchodech a metody útočníků jsou čím dál rafinovanější. Oběť se o krádeži dozvídá většinou až zpětně – když z účtu zmizí tisíce korun.

Odborníci na kybernetickou bezpečnost varují, že technologie zločinců dosáhly nebývalé úrovně sofistikovanosti. Kde dřív stačily hrubé plastové nástavce na bankomaty, dnes se používají miniaturní zařízení tenká jako platební karta nebo škodlivé skripty ukryté hluboko v kódu webových stránek. Data vaší karty dokážou odcizit během pár vteřin – zcela bez vašeho vědomí.

Dlouhodobé analýzy evropských výzkumníků zaměřených na počítačovou bezpečnost ukazují, že počet krádeží dat z karet roste každoročně o desítky procent. Zvláště zranitelné jsou menší internetové obchody, které nemají dostatečné prostředky na pravidelné bezpečnostní prověrky svých systémů.

Od hrubých nástavců k neviditelným zařízením

První vlna krádeží dat z karet cílila především na bankomaty a samoobslužné terminály – třeba na čerpacích stanicích. Zločinci na ně připevňovali speciální kryty napodobující originální součásti přístroje. Nástavec snímal data z magnetického proužku, zatímco miniaturní kamera nad klávesnicí zachycovala zadávaný PIN.

Modernější verze těchto zařízení odesílají ukradená data bezdrátově přes Bluetooth nebo podobné technologie. Zloděj tak nemusí fyzicky přijít pro přístroj zpět – informace mu průběžně proudí do telefonu nebo notebooku. Česká i zahraniční policie pravidelně odhaluje skupiny, které se na tento typ kriminality specializují.

Průměrný člověk prostě nemá šanci rozeznat originální součást bankomatu od precizně vyrobeného falešného krytu. Výrobci podvodných zařízení fungují v rámci organizovaných mezinárodních sítí a svou techniku neustále zdokonalují. Kvalita materiálů dnes dosahuje takové úrovně, že oklamou i ostražité uživatele.

Evropské policejní složky pravidelně provádějí razie proti takovým skupinám. Schéma bývá typické: napadené bankomaty nebo terminály na benzínových pumpách, zatímco samotné výběry nebo nákupy probíhají v úplně jiné zemi – často na jiném kontinentu.

Tenké jako papír – útoky nové generace cílí na čip

Karty s čipem výrazně zkomplikovaly prosté kopírování magnetického proužku. Čip totiž generuje pro každou transakci unikátní kód, takže naklonování uložených dat samo o sobě nestačí. Zločinci proto přišli s jiným řešením – ultra tenkými moduly zasunutými přímo do čtečky karet, zvenku zcela neviditelnými.

Tyto moduly odposlouchávají komunikaci mezi kartou a terminálem v okamžiku platby. Získaná data pak slouží k výrobě falešných karet s magnetickým proužkem, které se používají v zemích nebo bankomatech umožňujících transakce v nouzovém režimu bez plné verifikace čipu. Výzkumníci z univerzit v Amsterdamu a Curychu zdokumentovali ve svých studiích o platební bezpečnosti několik takových případů.

Největší výhodou zločinců je naprostá neviditelnost jejich vybavení. Zařízení jsou vyrobena s takovou přesností, že je pouhým okem téměř nelze odhalit. Někdy mají tloušťku pouhých několika milimetrů a dokonale splývají s původním designem přístroje.

Provozovatelé bankomatů přitom o instalaci podvodného zařízení mnohdy nevědí týdny i měsíce. Během té doby mohou útočníci získat data stovek až tisíců karet. Teprve když se začnou hromadit stížnosti zákazníků na neoprávněné transakce, začíná provozovatel prošetřovat.

Nové bojiště: krádež dat karet v internetových obchodech

Výrazným trendem posledních let je přesun podvodů z fyzických bankomatů do online prostředí. Internetové obchody představují ideální cíl – jediná úspěšná infekce umožňuje zachytit data karet tisíců zákazníků najednou. Kybernetičtí zločinci se zaměřují zejména na menší e-shopy bez dedikovaných IT týmů.

Mechanismus je překvapivě přímočarý. Útočníci vloží škodlivý skript do platební stránky – může jít doslova o několik řádků JavaScriptu, na první pohled naprosto nenápadných. Jakmile zákazník zadá údaje karty – číslo, datum platnosti, třímístný bezpečnostní kód – skript je potichu odešle na server pod kontrolou útočníků.

Vědci z mnichovské univerzity analyzovali stovky takových útoků a zjistili, že průměrná doba od napadení obchodu do odhalení problému činí šest až osm týdnů. Za tu dobu mohou zločinci nashromáždit desítky tisíc kompletních sad údajů o kartách. Tato data se pak prodávají na podzemních fórech za pět až padesát dolarů za kus – podle výše limitu karty.

  • Útočníci napadají e-commerce platformy využívané tisíci obchodů současně
  • Škodlivý kód se maskuje jako běžné analytické nástroje, například Google Analytics
  • Data karet putují na servery v zemích s benevolentní legislativou
  • Zločinci nejprve testují ukradené karty drobnými platbami, než přistoupí k větším výběrům
  • Falešné karty se využívají v zemích s nižšími bezpečnostními standardy
  • Obchody zjišťují napadení často až po měsících, díky stížnostem zákazníků
  • Průměrná škoda na jednoho postiženého zákazníka se pohybuje mezi třemi a osmi tisíci korunami
  • Policie odhaduje, že se podaří odhalit pouze asi dvacet procent všech těchto útoků

Útok skrze dodavatele externích služeb

Většina internetových obchodů využívá hotové e-commerce platformy, analytické nástroje a reklamní pluginy od různých dodavatelů. Pro zločince je to obrovská příležitost. Místo aby napadali jeden obchod po druhém, snaží se převzít kontrolu nad samotným poskytovatelem takového doplňku – přístup, který se ukázal jako mimořádně výnosný.

Podaří-li se infikovat nástroj používaný tisíci webů, škodlivý kód se okamžitě rozšíří do celé sítě obchodů. V posledních letech byly zdokumentovány útoky, při nichž bylo tímto způsobem odcizeno stovky milionů čísel karet včetně těch z evropských obchodů. Výzkumníci z londýnské univerzity Queen Mary zmapovali několik takovýchto masivních kampaní.

Problém je ještě závažnější v tom, že mnozí majitelé malých e-shopů vůbec nevědí, jaký kód na jejich stránkách běží. Spoléhají na dodavatele pluginů a platforem bez toho, aby prováděli vlastní bezpečnostní kontroly. Když pak dojde k úniku zákaznických dat, málokdo dokáže rychle identifikovat zdroj problému.

Organizace zabývající se kybernetickou bezpečností doporučují majitelům obchodů pravidelně auditovat veškeré externí služby. Realita je ale taková, že většina provozovatelů menších e-shopů na to nemá ani čas, ani prostředky. Tím vzniká ideální živná půda pro pokračující vlnu útoků.

Skripty ukryté v obrázcích a na chybových stránkách

Aby co nejvíce ztížili odhalení, útočníci vymýšlejí stále vynalézavější způsoby ukrývání škodlivého kódu. Škodlivé fragmenty se zašívají do malých ikon stránek nebo se vydávají za populární analytické nástroje. Bezpečnostní experti z Tel Avivské univerzity popsali desítky takovýchto případů.

Byly zdokumentovány také kampaně, v nichž útočníci nenápadně upravili chybovou stránku „404 – stránka nenalezena“. Takové podstránky obvykle nevzbuzují podezření administrátorů a bezpečnostní systémy je sledují jen okrajově. Zákazník při placení viděl zdánlivě běžný formulář – a ve chvíli, kdy zadal své údaje, byla jeho karta již zkopírována.

Na závěr se zobrazilo hlášení o „chybě relace“ vyzývající k zopakování transakce. V očích uživatele šlo o otravnou technickou závadu. Ve skutečnosti mohla jeho karta právě přibýt do databáze prodávané na zločineckých fórech. Takové databáze čítají stovky tisíc záznamů a obchoduje se s nimi za tisíce až statisíce eur.

Výzkumníci z tallinnského institutu pro kybernetickou bezpečnost sledovali několik měsíců jednu takovou databázi. Zjistili, že většina ukradených karet byla zneužita do čtyřiadvaceti hodin od odcizení dat. Zločinci mají zájem vytěžit kartu co nejrychleji – než si majitel všimne podezřelých transakcí a nechá ji zablokovat.

Jak platit kartou u bankomatu a terminálu s menším rizikem

I když hrozby znějí děsivě, několik jednoduchých návyků výrazně snižuje pravděpodobnost, že někdo zachytí data vaší karty v offline světě. Odborníci na platební bezpečnost se shodují: prevence je mnohem účinnější než následné dohadování s bankou.

Využívejte bezkontaktní platby – pokud kartu nemusíte zasunout do čtečky, většina fyzických nástavců ztrácí smysl. Zakrývejte klávesnici rukou při zadávání PINu, a to jak u bankomatu, tak u pokladny. Vybírejte bankomaty v bankách nebo nákupních centrech – ne osamělá zařízení na ulici, zvlášť v nočních hodinách.

Zkontrolujte, zda součásti krytu nejsou uvolněné – pohyblivý panel, vyčnívající kabely nebo stopy po lepidlu by měly okamžitě spustit vaši pozornost. Na čerpacích stanicích používejte terminály nejblíže budově, protože bývají zpravidla lépe monitorované. Pokud se něco jeví „nějak jinak“ – štěrbina na kartu vypadá neobvykle, displej bliká nebo kolem klávesnice vidíte čerstvě nalepené prvky – raději od transakce upusťte a zvolte jiné zařízení.

Dobrým zvykem je také kontrola potvrzení o transakci. Pokud částka na účtence neodpovídá tomu, co jste viděli na displeji, může jít o známku manipulace. Okamžitě kontaktujte banku a nahlaste podezření – čím rychleji zareagujete, tím větší šance na zablokování dalších pokusů o zneužití.

Bezpečné nakupování na internetu – jednoduchá pravidla pro každý den

Internetové obchody jsou dnes stejně důležitým bojištěm jako bankomaty. Velká část odpovědnosti leží na samotných provozovatelích obchodů, ale i zákazníci mohou hodně udělat ze své strany. Základ tvoří zdravý selský rozum doplněný o několik technických opatření.

Velmi účinným řešením je mít samostatnou kartu výhradně pro internetové nákupy. Nastavte na ní nízký denní i měsíční limit. I kdyby se data dostala do rukou zločinců, nevyprázdní celý váš účet. Mnoho bank nabízí také takzvané virtuální karty – dočasná čísla na jedno použití, která po provedení nákupu přestanou fungovat.

Zapněte si push notifikace nebo SMS upozornění na každou transakci kartou. Rychlá informace v telefonu vám umožní okamžitě zachytit platbu, kterou nepoznáváte. Rychlá reakce dává bance mnohem větší šanci zablokovat další pokusy a pomoci s vrácením peněz. Věnujte také pozornost varováním prohlížeče před nebezpečnými stránkami.

Během platby by se neměla objevovat podivná okna, výzvy k opětovnému zadání údajů ani přihlášení do banky ve vyskakovacích oknech. Jakákoli nečekaná změna v průběhu platby – dodatečné okno, neobvyklý formulář, nestandardní hlášení – je signálem k přerušení transakce a prověření obchodu. Lepší jednou zbytečně zaváhat než jednou příliš málo.

Čemu se při online platbách vyhnout

Nikdy neukládejte číslo karty v prohlížeči ani v aplikaci obchodu – zvláště ne na telefonech připojených k veřejným Wi-Fi sítím. Na platební stránku nevstupujte přes odkazy z podezřelých SMS nebo e-mailů; raději adresu obchodu zadejte ručně do prohlížeče. Zkontrolujte, zda adresa začíná na „https“ a zda název domény neobsahuje překlepy nebo podivné přípony.

Zachovejte zvláštní opatrnost u „nabídek století“ z neznámých obchodů – jde o častý způsob vylákání dat karet. Národní úřad pro kybernetickou bezpečnost doporučuje nenakupovat v obchodech, které nemají jasně uvedené kontaktní údaje, sídlo firmy a identifikační číslo. Absence těchto základních informací je zřetelný varovný signál.

Dalším rizikem jsou falešné kopie známých e-shopů. Útočníci vytvoří web vypadající téměř identicky jako originál populárního obchodu, adresa se však liší v jednom či dvou písmenech. Zákazník si rozdílu zpravidla nevšimne a zadá platební údaje přímo do rukou podvodníků. Vždy pečlivě zkontrolujte URL adresu před zadáním jakýchkoli citlivých informací.

Nakupujete-li z mobilního telefonu, buďte obzvlášť obezřetní. Obrazovka je menší, detaily se hůře kontrolují a lidé bývají méně ostražití. Přitom právě mobilní zařízení jsou dnes terčem rostoucího počtu útoků. Používejte aktualizovaný operační systém a instalujte aplikace výhradně z oficiálních obchodů.

Co musí dělat internetové obchody a proč na tom zákazníkům záleží

Provozovatelé internetových obchodů mají stále rozsáhlejší povinnosti spojené s ochranou platebních dat. Aktuální bezpečnostní standardy vyžadují, aby majitel obchodu přesně věděl, jaký kód běží na jeho platební stránce a z jakých externích zdrojů pochází. Nejde o pouhou technickou formalitu – jde o zásadní ochranu zákazníků.

Dobré praktiky zahrnují mimo jiné pravidelné prohledávání souborů kvůli podezřelým skriptům, omezování počtu externích pluginů a automatické alarmy při neoprávněné změně souborů na stránce. Díky tomu má obchod šanci rychle zachytit anomálii a zastavit další úniky, i když k průniku dojde.

Z pohledu zákazníků stojí za to vybírat značky, které otevřeně komunikují o používaných zabezpečeních a aktualizacích systémů. Seriózní obchody pravidelně informují o certifikátech PCI DSS, šifrování i dalších opatřeních. Pokud obchod o bezpečnosti vůbec nemluví, může to být varovný signál.

Asociace pro elektronickou komerci vydávají doporučení, jak by měly obchody postupovat. Kontrola dodržování těchto pravidel je ale často nedostatečná. O to důležitější je, aby sami zákazníci zůstávali obezřetní a nakupovali jen u prověřených prodejců s dobrou reputací.

Proč se „neviditelná“ krádež karet zločincům tak vyplácí

Data z platebních karet jsou zbožím, s nímž se masově obchoduje na zločineckých fórech. Podle země původu, limitu a typu karty může kompletní sada informací stát od několika do desítek dolarů. Kupující je využívají k objednávání zboží, výběrům hotovosti v zemích se slabšími zabezpečeními nebo k podvodům v online hrách a digitálních službách.

Zločinci málokdy útočí cíleně na konkrétní osoby. Jde o rozsah: skript nasazený na populárním internetovém obchodě dokáže během několika týdnů nasbírat statisíce čísel karet. Z takové databáze se využije jen část, zisky jsou ale i tak obrovské. Výzkumníci z Oxfordské univerzity odhadují, že průměrný zisk z jedné ukradené karty činí sto padesát až tři sta eur.

Pro běžného uživatele se tedy klíčovou stává kombinace dvou věcí: rozumného používání karty a pravidelného sledování účtu. I když banka ukradené prostředky vrátí, stres a nutnost vše vysvětlovat se mohou táhnout týdny. Navíc ne všechny banky vracejí peníze automaticky – záleží na okolnostech a na tom, zda jste dodrželi bezpečnostní pravidla.

Dobrým zvykem je krátce projít historii transakcí jednou za několik dní, nejlépe v mobilní aplikaci banky. Mnoho lidí si prvních podezřelých zatížení všimne teprve náhodou, při letmém pohledu na výpis. Přitom podvodníci kartu typicky nejprve „testují“ drobnými částkami, než přistoupí k většímu nákupu. Rychlá reakce na takový signál může zachránit celý zůstatek účtu. Není od věci ani pravidelná změna PINu a používání různých kódů pro různé karty.

Author

  • Tomáš Trejbal, známý především jako „Zahradník Tomáš“, je jedním z nejvýraznějších a nejmodernějších hlasů v českém zahradnictví. Vystudoval Fakultu agrobiologie, potravinových a přírodních zdrojů na ČZU v Praze, což mu dává pevný odborný základ. Proslavil se svým energickým, až „rockovým“ přístupem k zahradničení, kterým dokáže nadchnout i mladší generace a ukázat, že práce na zahradě může být zábavný životní styl.

    Jeho tvorba se soustředí na praktické, srozumitelné a okamžitě použitelné rady. Tomáš bourá mýty o tom, že zahradničení je složitá věda, a zaměřuje se na autentický obsah – od péče o perfektní trávník až po výběr správného nářadí. Kromě sociálních sítí, kde patří k nejsledovanějším v oboru, se objevuje v médiích jako expert, který dokáže vysvětlit i složité biologické procesy jednoduchým a vtipným jazykem.

Související příspěvky

Přejít nahoru