Cyberprzestępcy chcieli oszukać mieszkankę Katowic metodą na płatność "card-not-present"

Szacuje się, że w darknecie mogą być dostępne miliony nielegalnie pozyskanych numerów kart, nazw użytkowników i haseł. Skala tego rynku jest trudna do oszacowania, jednak działania cyberprzestępców przynoszą im ogromne zyski. Szacuje się, że administratorzy największego nielegalnego serwisu handlującego skradzionymi danymi kart płatniczych w darknecie, zarobili na swojej działalności przestępczej ponad 350 milionów dolarów.

Przestępcy, którzy znajdą się w ich posiadaniu najczęściej wykorzystują metodę płatności card-not-present, która nie wymaga obecności fizycznej karty przy dokonywaniu transakcji. W ten sposób mogą korzystać ze skradzionych danych kart kredytowych.

Taka sytuacja przytrafiła się jednej z mieszkanek Katowic. Wieczorem (ok. godz. 21.00) otrzymała sms z banku o obciążeniu jej karty na kwotę 160 AUD (dolary australijskie). Jak się okazało ktoś na Facebooku podał dane karty kredytowej w koncie reklamowym, najprawdopodobniej w wyniku ich kradzieży.

– Oczywiście kartę od razu zablokowałam, a po kontakcie z bankiem okazało się, że sms informował o pierwszej z kilku planowanych transakcji tego typu. Szybka reakcja uniemożliwiła przeprowadzenie kolejnych, które były już zgłoszone i oczekiwały w kolejce. Łączna ich wartość to kilka tysięcy złotych – komentuje mieszkanka Katowic.

W kontakcie z przedstawicielem banku złożona została reklamacja, a karta unieważniona. Dodatkowo zmienione zostały hasła oraz ustawienia płatności w serwisach, gdzie karta była użytkowana. Niestety z poziomu użytkownika w relacji z Facebookiem nie było możliwości w jasny i czytelny sposób dowiedzieć się szczegółów, jak i czy w ogóle można zgłosić fakt wykorzystania wykradzionych danych portalowi.

ESET: iPhone'a też można zhakować

Cyberprzestępcy nie próżnują

Cyberprzestępcy nie próżnują, rozwijając techniki i technologie pozwalające na kradzież danych kart kredytowych. Jak informuje ESET, w najnowszej edycji raportu ESET Threat Raport T2 (maj-sierpień 2022), operatorzy trojana Emotet opracowali moduł pozwalający wyodrębnić zapisane informacje o danych karty kredytowej z przeglądarki Google Chrome . Jednocześnie w okresie od stycznia do końca maja odnotowano niezwykle udaną operację cyberprzestępców, gdzie co najmniej 50 tys. numerów kart kredytowych klientów z kilkuset restauracji zostało wykradzionych. Za te operacje odpowiadał Magecart, trzecie najczęściej wykrywane szkodliwe oprogramowanie typu Infostealer (kradzież danych), jedyne z kategorii bankowej, które znalazło się w pierwszej dziesiątce raportu ESET.

Co zrobić, aby jeszcze bardziej zminimalizować skutki kradzieży danych kart?

– Czasami pomimo starań w obszarze ochrony danych kart kredytowych czy płatniczych może dojść do nieautoryzowanych transakcji. To możliwe w sytuacji, gdy dane w wyniku ataku cyberprzestępców zostaną skradzione np. z systemów rezerwacji w hotelach. Niestety jako klienci nie mamy dużego wpływu na taki proceder, jednak możemy podjąć kilka profilaktycznych działań pozwalających znacząco ograniczyć potencjalne zagrożenia i straty – mówi Beniamin Szczepankiewicz, specjalista ds. cyberbezpieczeństwa ESET.

CaddyWiper - nowy wirus atakuje ukraińskie komputery

Jak chronić się przed cyberatakami?

1. Warto stosować limity transakcyjne na kartach, a jeśli nie kupujemy w internecie, to optymalnym rozwiązaniem jest wyłączenie takiej opcji, podobnie jak możliwości realizacji transakcji zza granicy.

2. Do płatności internetowych warto stosować karty typu pre-paid.

3. Niektóre banki oferują stosowanie jednorazowych kart płatniczych. Po transakcji karta staje się nieaktywna i nie można jej wykorzystać ponownie.

4. Warto sprawdzić czy bank i wystawca karty oferuje usługę typu 3D secure, która wymaga, aby transakcje były potwierdzane np. w aplikacji mobilnej. Taka forma uwierzytelniania znacząco podnosi bezpieczeństwo użytkownika.

5. Jeśli serwis internetowy oferuje nowoczesne formy płatności typu Apple Pay / Google Pay, to warto z nich korzystać, gdyż są o wiele bezpieczniejsze od klasycznej formy, gdzie podajemy komplet danych kart.

– Z perspektywy klienta najważniejsza jest jednak usługa Chargeback, którą oferują banki i wystawcy kart. Każdą transakcję, która nie była przez nas wykonana należy zgłosić bankowi, a ten powinien zwrócić nam pieniądze, za nieautoryzowane transakcje – mówi Beniamin Szczepankiewicz. – Dobrą praktyką w sytuacji, gdy mimo podjętych działań staniemy się ofiarą kradzieży, byłaby również profilaktyczna zmiana haseł dostępowych do najbardziej istotnych usług, typu główne adresy email czy hasło w banku – podsumowuje ekspert ESET.