Świąteczne zakupy to wyjątkowa okazja dla złodziei, którzy okradają konta i karty kredytowe. Już na początku grudnia fora i listy dyskusyjne młodzieży hobbistycznie łamiącej zabezpieczenia komputerowe zapełniły się radami, jak skubać klientów e-bankowości. A banki raczej milczą.
W gorączce świątecznych zakupów coraz więcej prezentów kupujemy przez internet. To zakupy łatwe, błyskawiczne, pewne i – jeśli wierzyć najnowszym reklamom Poczty Polskiej – szybkie. Wystarczy wybrać prezent i zapłacić za niego internetowym przelewem – zwykłym, w systemie Eliksir, bądź błyskawicznym, reklamowanym przez atakowany przez klientów mBank. Bardziej nowocześni użytkownicy e-bankingu mogą się zdecydować na płatność kartą kredytową. To dla sklepu, czy sprzedawcy gwarancja, że pieniądze zostały do niego wysłane już teraz.
Problem w tym, że decydując się na takie zakupy możemy odtworzyć dostęp dla ewentualnych złodziei internetowych, którzy mają przynajmniej kilkadziesiąt (pewnych – jeśli wierzyć forom) sposobów na przechwycenie danych dotyczących karty i jej posiadacza. Przelewy internetowe są dla nich większym wyzwaniem – wszak i tak większość z nich wymaga dodatkowej autoryzacji za pomocą kart – zdrapek, czy kodów wysyłanych sms-ami.
Przy czym nie chodzi wcale o tradycyjne już sposoby wykradania danych dotyczących numerów kont i loginów do nich, wysyłanych mailem przez przestępców. Chodzi o pozyskiwanie danych kart kredytowych i płatniczych w czasie rzeczywistym, podczas trwania transakcji, które – według zapewnień bankowców – są zawsze kodowane, a więc teoretycznie bezpieczne. Choć i tak mało który klient bankowości internetowej w Polsce przy wpisywaniu loginu i hasła do konta posługuje się bezpieczną klawiaturą ekranową (czyli taką, która uniemożliwia rejestrowanie kolejnych uderzeń w klawiaturę i wysyłania raportu o hasłach do obcych komputerów).
Banki, choć w ciągu ostatniego roku rzeczywiście informowały klientów o niebezpieczeństwach transakcji bezgotówkowych, wciąż wydają się pozostawać pół kroku za złodziejami. I w okresie przedświątecznym o zagrożeniach milczą. A przecież do wyczyszczenia karty kredytowej wystarczy jej numer, imię i nazwisko posiadacza, oraz unikalny, trzycyfrowy numer zapisany na karcie, który i tak jest wymagany w czasie zakupów.
I nawet najnowsze dzieło VISY, czyli karta CodeSecure, zaprezentowana w tym roku na paryskich targach CARTES & Identification, na której znajduje się klawiatura z ekranem numerycznym umożliwiająca generowanie jednorazowych haseł do transakcji, nie rozwiąże problemu polskiej e-bankowości. Jak każda nowinka techniczna jest jeszcze stosunkowo droga, zaś żaden z polskich banków nie zdecydował się na udział w programie pilotażowym.
Pod koniec stycznia przyszłego roku tradycyjnie przyjdzie czas na podsumowania. I jeśli wierzyć (niestety skutecznym – jak pokazuje historia dwóch ostatnich lat) domorosłym hakerom, tegoroczne zakupy świąteczne będą obfitować w więcej, niż zwykle prób włamań na konta i kradzieży środków z kart płatniczych i kredytowych.
A złodzieje internetowi mają wyjątkowo dużo pomysłów na wykorzystanie nie swoich środków pieniężnych. Najczęściej robią zakupy, które trafiają do wskazanych wcześniej placówek pocztowych z daleka od ich miejsca zamieszkania. Informację o nadejściu przesyłki Poczta Polska wyśle złodziejowi sms-em, na numer telefonu pre-paid kupionego specjalnie na świąteczny sezon kradzieży w e-bankowości.
Źródło: Gazeta Bankowa
Wojciech Boczoń
