Bekontakčių kortelių saugumo spragos kelia pinigų netekimo grėsmę visiems, turintiems šias korteles

Pastaruoju metu Jungtinėje Karalystėje (JK) itin padidėjo susirūpinimas dėl bekontakčių mokėjimo ir kredito kortelių (angl. contactless cards) saugumo spragų.

pxhere.com nuotr. / Kortelės
pxhere.com nuotr. / Kortelės

Neseniai „Positive Technology“ tyrėjų komanda nustatė, jog programišiai gali apeiti „Visa“ bekontaktėse kortelėse (angl. contactless cards) nustatytą 30 svarų apribojimą ir ištuštinti aukos banko sąskaitą net neprisilietę prie kortelės.

„Positive Technology“ išbandė išpuolius prieš penkių pagrindinių bankų pateiktas korteles ir kiekvieną kartą sėkmingai nusiimdavo daugiau nei po 30 svarų iš banko sąskaitų, kurias tyrėjams buvo leista atakuoti.

Pasak tyrėjų, programišiai gali pasinaudoti specialiu įrenginiu, kuris perima ryšį tarp kortelės ir mokėjimo terminalo – įrenginys praneša kortelei, jog atliekant mokėjimą nereikia jokio papildomo patvirtinimo (verifikacijos), o mokėjimo terminalui pranešama, jog mokėjimas jau įvykdytas.

Tokio pobūdžio ataka, nukreipta prieš „Visa“ korteles įmanoma, nes „Visa“ nereikalauja, jog kortelių išdavėjai ir gavėjai kortelėms taikytų papildomas patikros priemones, blokuojančias mokėjimus, kurie įvykdomi be minimalios verifikacijos. Ši „Visa“ mokėjimų sistemos saugumo spraga reiškia, jog bekontakčių kortelių savininkai gali tapti sukčiavimo aukomis.

Nors bankai turi vidines sistemas, kurios pažymi įtartinus sandorius, tačiau „Positive“ technology tyrėjams pavyko atlikti 100 svarų siekiančius mokėjimus ir nepakliūti į įtariamųjų sąrašus.

Pasak „UK Finance“, sukčiavimo su bekontaktėmis kortelėmis suma padidėjo nuo 6,7 milijono svarų 2016 m. iki 14 milijono svarų 2017 m. ir tikėtina, jog nusikalstamumas šia linkme tik augs.

„Visa“ pranešė, jog neketina atnaujinti savo sistemų siekiant panaikinti minėtą saugumo spragą, nes tokio pobūdžio sukčiavimo atvejai nėra masiniai. Kita vertus, „Visa“ pripažino, jog bekontakčių mokėjimo kortelių saugumo spraga egzistuoja.

Reikia pabrėžti, jog kai kalbama apie bekontakčių kortelių saugumą, nereikėtų išskirti konkrečių kompanijų kortelių – teoriškai, grėsmė egzistuoja visoms bekontaktėms kortelės, ką ir įrodė praėjusiais metais britų atliktas žurnalistinis eksperimentas.

Bekontakčių kortelių klonavimas

Oficialiai teigiama, jog bekontakčių kortelių neįmanoma klonuoti, tačiau dar 2018 m. pavasarį britų dienraštis „The Sun“ išbandė būdą, leidusį klonuoti praeivių korteles, panaudojus tik išmaniojo telefono programėlę. Nusikaltėliais apsimetusiems žurnalistams tereikėjo prisispausti arba prisiliesti prie pasirinktų žmonių, o įdiegta programėlė mobilųjį telefoną arba planšetinį kompiuterį paversdavo skeneriu, nuskaičiusiu korteles duomenis. Tuometinio eksperimento metu žurnalistams pavyko gauti kortelių duomenis aibėje Londono vietų, įskaitant žmonių buvusių prie bankomatų, parduotuvėje, metro ar gatvėje, kortelių duomenis.

Nors „The Sun“ neatskleidė minėtos programėlės pavadinimo, tačiau teigiama, jog programėlę galima parsisiųsti į „Android“ operacinę sistemą naudojančius prietaisus iš „Google Play“.

Kai tik programėlė instaliuojama į išmanųjį prietaisą, kuris palaiko NFC (angl. Near-field communication) funkciją, šis prietaisas turi būti pakankamai arti prie bekontaktės kortelės, jog nuskenuotų jos ilgąjį numerį ir galiojimo datą. Tiesa, išmanusis prietaisas nesugeba prasiskverbti per krepšį/tašę bei nenukopijuoja kortelės nugarėlėje esančio CVV numerio, tačiau kai kuriems internetu prekiaujantiems tinklapiams užtenka ir nuskenuotų kortelės duomenų, kuriuos, beje, irgi galima parduoti programišiams vadinamajame „tamsiajame tinkle“ (angl. dark web) už kelis svarus ar daugiau.

Tokias pat kortelių skenavimo nuotoliniu būdu funkcijas atlieka ir kortelių skaitytuvai, kuriuos internetu galima įsigyti už mažiau nei 20 svarų.

Įdomu, jog nusikaltėliai, kurie sugeba pasinaudoti bekontakčių kortelių duomenimis ir iššvaistyti kelis šimtus ar kelis tūkstančius svarų, dažnai nebūna aptinkami, o patys bankai, ypač kai nusikaltėlių iššvaistytos lėšos, tiek JK, tiek užsienyje, viršija kortelės sąskaitos lėšas, dažnai tokių nusikaltimų nepriskiria sukčiavimui (angl. fraud). Minėtais atvejais neretai naudojamos tokios sąvokos kaip „kortelė neaptikta“ (angl. card not present) arba „nuotolinė kortelė“ (angl. remote card).

Manoma, jog tokio pobūdžio sukčiavimo mastas mažiausiai keliolika kartų viršija oficialią statistiką – teigiama, jog 2017 m. sukčiavimo bekontaktėmis kortelėmis žala siekė 409 milijonus svarų, nors oficialiai užfiksuota žala siekė 14 milijonų svarų.

Kaip apsisaugoti nuo bekontakčių kortelių neteisėto panaudojimo?

Vartotojų kreditingumo vertinimo kompanijos „Equifax“ teigimu, yra mažiausiai keli būdai, kaip galima apsaugoti savo bekontaktes korteles nuo nusikaltėlių kėslų:

1. Nelaikykite bekontakčių kortelių ilgapirščiams lengvai pasiekiamuose kišenėse ar krepšiuose.

2. Savo piniginę/kortelių dėklą išklokite folija arba įsigykite specialius metalinius įdėklus (angl. metal inserts), blokuojančius bet kokius signalus, galinčius pasiekti jūsų bekontaktes korteles.

3. Jei pametėte bekontaktę kortelę arba ji buvo pavogta, kortelės praradimo faktą nedelsiant praneškite kortelę išdavusiam bankui/kompanijai, jog kortelė būtų kuo greičiau užblokuota.

Kita vertus, žinomi atvejai, kai net ir užblokavus bekontaktes korteles, jomis buvo atlikti mokėjimai praėjus keliems mėnesiams ar net metams. Pavyzdžiui, 2016 m. „Halifax“ banko klientas Justinas Robsonas, aptiko, jog kažkas už pirkinius atsiskaitė jo pavogta bekontakte kortele praėjus 8 mėnesiams po kortelės užblokavimo ir paskelbimo negaliojančia. Pasinaudoti užblokuota bekontakte kortele nusikaltėliai gali, jei atliktas mokėjimas apdorojamas ne iškart, o praėjus parai ar kelioms. Minėtais atvejais bankai kompensuoja klientams prarastas lėšas, tačiau įspėja atidžiai tikrinti savo bankų sąskaitų išrašus.

4. Bekontaktės kortelės nustatymuose yra numatyta, kiek kartų galite pasinaudoti kortele, kol iš jūsų bus pareikalauta įvesti PIN kodą, kuris sustabdytų nusikaltėlius nuo daugybės mažų sumų pervedimų atlikimo. Tiesa, minėtas reikalavimas po kelių bekontaktės kortelės panaudojimo kartų įvesti PIN kodą yra sugeneruojamas visiškai atsitiktinai, o patys bankai neatskleidžia, po kelių kartų gali būti pareikalauta įvesti PIN kodą.

5. Taip pat visada atidžiai peržiūrėkite banko sąskaitų išrašus (angl. bank statements), siekiant įsitikinti, jog su jūsų kortele nebuvo atlikta įtartinų operacijų.



Komentarai



Nusikaltimai ir nelaimės

Sek facebook'e!
ANGLIJA.today
ANGLIJA.today/reklama
AT imonės
Sek facebook'e!