Технологията за източване на банкови карти с мобилни устройства подобни на ПОС терминали, за която медиите вдигнаха аларма, "остаря" за броени седмици. Крадците загърбват директното четене на картите от разстояние до 10 см и вече сканират данните й от разстояние. "С подобно сканиране – от няколко метра, е възможно е да ви "ощипят" с петдесетина лева”, каза специално за "БАНКЕРЪ" Любомир Цеков, бивш шеф на “БОРИКА – БАНКСЕРВИЗ”, сега финансов консултант.
Той разказа как точно става това. Българските банки преди години са постигнали консенсус за лимита, до който може да се теглят пари чрез дебитните и кредитните карти и да се плаща без персонален идентификационен номер – ПИН. Прието е тази граница да е 50 лева. Но някои банки работят с "таван" 20 лева. Точно от тези лимити за достъп без ПИН се възползват високотехнологичните крадци.
Стандартът на NFC – режимът, при който се задействат безконтактните карти, е 10 сантиметра. Това е разстоянието, до което в блъсканицата на претъпкания градски транспорт могат да се добират до нас крадците и директно осъществяват плащане на суми до цитирания лимит.
Спасението от такова посегателство е измислено отдавна, но все пак то е последващо действие. Превенцията е в SMS-известяването за всяка транзакция, осъществена чрез картата. Това е услуга, която повечето банки предлагат безплатно. Явно доста хора, пострадали от такива криминални посегателства, са подскочили от банковото известие и така този вид кражба бързо е загубил "популярност".
Компютърните бандити бързо развиха технологията си и вече те работят със специални сканиращи устройства, които им позволяват доскорошната дистанция от сантиметри да се увеличава до метри. Това вече изисква друго равнище на защита.
Тя също не е трудно осъществима, но е важно хората да знаят как става и къде да потърсят помощ. В интернет бързо пуснаха специални портфейли и портмонета, които имат вградени екраниращи стени. С тяхна помощ картата остава между непробиваеми "корици" и става непревземаема за нахалните нашественици.
Българският вариант на тази защита е да се увие картата в станиол от шоколад. Друг подобрен първобитен вариант на защита е да се поставят под външните стени на портфейла листчета от домакинско алуминиево фолио. Това е в случай че притежателят на картата реши да си спести от 12 до 20 долара – толкова струват "бронираните" портфейли в известен сайт за интернет търговия като цитирания тук: https://www.amazon.com/D-Armor-Wallet-Blocking-Protector-2-cards/dp/B00CJHZLEW.
Може да се открият и на други места в световната търговия на ключова дума RFID walett.
Нека изясним и схемата за източване на банкови карти с безконтактен ПОС-терминал – тя поостаря, но още се практикува. Всичко може да стане дори в градския транспорт, достатъчно е хората да са достатъчно близо един до друг – до 20 сантиметра. От това разстояние устройство със скрити четци в ръцете на бандита извършва скрита транзакция. Това са законни устройства, регистрирани в чужди държави, разказа IT специалистът Камен Несторов. По думите му се теглят малки суми, които човек не може да си спомни кога е похарчил.
"В България са направени измами между 7 млн. и 8 млн. лв., което, разпределено на човек от населението, се пада по около лев на човек. Трудно е да се прецени дали транзакцията е станала със съгласието на клиента, или без него", казва Несторов. По думите му този скрининг краде информация от магнитната лента от картата ни.
"Измаменият клиент на банката може да получи SMS, че е теглена сума от неговата сметка, но неговите данни може да са отишли на другия край на света", добави специалистът.
Как да предпазим своите банкови карти, както и ПИН-кода им.
"С протектор за безконтактна карта. Той е специален и пази портмонето, блокирайки тегленето на дребни суми”, казва Несторов. На българския пазар отдавна присъства продуктът ScimProt, който предлага надеждна защита срещу посегателства върху банкови карти.
Още едно предупреждение – измамниците се изхитрят да източват парите ни и от банкомати на банки в кабинки с денонощен достъп, в които се влиза с карта.
"Става въпрос за допълнителен скрининг. Приплъзвайки картата си, където са вложени част от вашите данни, които служат, за да влезете в банката. Този скимер се слага до входната врата и остава почти незабелязан за обикновените хора. Престъпните групи са доста умели. Обикновено се монтират миникамери, които се слагат близо до банкомата и записват вашия ПИН-код”, каза още Несторов.
По думите му скриването на ПИН-кода с ръка не може да помогне, защото не се знае къде точно са монтирани тези камери”, казва още Камен Несторов.
Какво да правим, ако ни ужилят?
Всеки ужилен има правото да отиде в своята банка – издател на картата, за да оспори транзакцията. Банката е длъжна да му върне откраднатата сума, ако картата е дебитна. Ако е кредитна – тогава има значение моментът, в който се сигнализира. До момента на обаждането на клиента банката не се ангажира с връщането на пари, но след него – е длъжна да възмезди клиента си.
След това клиентът може да поиска от банката да му праща SMS известие.
Физическата защита на безконтактната карта, за която писахме по-горе, също е от изключителна важност. Вместо да търсим кошче за станиола от шоколада.
Пръстите единствено виновни
Миникамерата, закрепена някъде по банкомата или на тавана на помещението, която заснема четирите тайни лични цифри, осигуряващи достъпа до картовата ни сметка, или вграденият четец във флопито на АТМ-а, който копира останалите данни, вече са минало. Модерното източване на банкови карти вече става чрез разчитане на данни, снимани от дистанция.
Обядвате в ресторант и получавате имейл. Хващате телефона си и, без да се замисляте, въвеждате своя ПИН код, за да отключите устройството. Никой не може да види каква комбинация набирате – гърбът ви е към стената! Затова и не се притеснявате, че някой може да "вижда“ ръката ви и ще може да разчете движенията й и ще научи паролата ви.
Хакерите обаче вече отгатват ПИН кода чрез софтуер за "тълкуване" на видео, където са заснети хора да докосват екраните на телефоните си. Дори не е задължително на записа да се вижда дисплеят. Казано по-просто – видеото се поставя в една "координатна система", която засича скоростта на движенията на пръстите и изминатите от тях "разстояния".
Информацията за такива наблюдения дойде от Университета в Сиракуза (САЩ). Учените са доволни, че този път не са закъснели в битката с конкуренцията – разбирай престъпниците. В смисъл че не изостават от тяхната изобретателност и находчивост и ако не ги изпреварват, поне мислят едновременно с тях.
Попитахме българските експерти по картови разплащания и сигурност запознати ли са с тази новина. Любомир Цеков каза, че не знае криминалното нововъведение да е навлязло широко в практиката. Но хората от този бранш у нас имат готовност да реагират на предизвикателството.
Любомир Каримански, бивш заместник-председател на управителния съвет и изпълнителен директор на "Инвестбанк" АД, а също и експерт по картови системи, обясни, че в света вече се работи по проблема. "Най-големите производители на банкомати в света – Wincorf, NCR и DIBOLD, вече вземат мерки срещу този тип посегателства", каза той. Те имат готовност да монтират физически устройства, които разсейват сигналите и по този начин провалят видеозаписа.
Софтуерът, използван за тълкуването на видеозаписите, действа приблизително така: той разчита на "пространствено-времевата динамика", за да измери разстоянието от пръстите на човека до екрана на телефона. След това той изчислява кои символи са били докоснати от върховете на пръстите. "Това е нещо като четене по устните – казва Вир Фоха, професор по компютърни и инженерингови науки в университета в Сиракуза. – Въз основа на движението на ръката и на геометрията на телефона ние можем да разберем кои бутони са били натиснати."
Изследването бе публикувано неотдавна от Асоциацията за компютърни технологии. Докладът й констатира, че "технологията е много лесна и проста за всеки, който знае програмиране". В същото време "пазарът" предлага милиони мишени, тъй като все повече хора се сдобиват със смартфони. Заснемането на жертвите става лесно – на всяко оживено публично място и без да се налага да има специализирана видеотехника. Същата технология за видеотълкуване може да бъде използвана и за интерпретиране на кодове, въвеждани при използвани банкомати, при интелигентни "ключалки" на входните врати на жилища, системи за гаражни врати и други.
Някои недоволстват, че "публикуването на статии за такива зловредни технологии дава нови идеи на хакерите". Всъщност и експертите по информационна сигурност, и хакерите отдавна вече са наясно с този нов метод за измама. Показателно е, че изследването на учените от Сиракуза е финансирано от DARPA – звено за високотехнологични разработки на Пентагона. Неотдавна и Yahoo Finance предупреди потребителите си за този нов вид измами.
Следите се губят
Образуваните досъдебни производства за източване на карти в Софийската градска прокуратура за 2015 г. са 430. През миналата година те са били 451, а през 2013 г. – 505. Броят на заловените извършители обаче е много малък. Едва 16 души, точили чужди карти, са разкрити, а на съд са пратени четиринадесет. През 2014 и 2013 г. тяхната бройка също е малка – 13 и през двете години.
През 2015 г. прекратените дела за източване на карти са осемнайсет. При седем са с установен извършител, но не е доказано престъпление. Спрените досъдебни призводства са 436, като при 433 причината е, че не е намерен авторът на престъплението. През 2014 г. са били прекратени 43 дела, спрени 441, като 435 – поради неизвестен извършител. През 2013 г. са били спрени 481 досъдебни призводства.
Записите от камерите, монтирани до банкоматите, не помагат особено на криминалистите. Престъпниците, които точат карти, крият лицата си зад шапки и очила и камерите не успяват да ги уловят.
