Све чешћа крађа података са платних картица

Чување картице близу телефона понекад је довољан разлог да останете без новца. Сајбер-криминалци смишљају нове начине да украду новац са платних картица, користећи приступне податке који су фишингом украдени путем интернета или телефона – упозоравају стручњаци компаније „Касперски”. Иако се безбедност платних картица константно побољшава, нападачи стално проналазе нове начине да украду новац. Након што би преварили жртву да преда податке са картице на лажној онлајн продавници или путем друге преваре, сајбер-криминалци су некада правили дупликат картице уписивањем украдених података на магнетну траку. Такве картице су се затим могле користити у продавницама, па чак и на банкоматима без проблема. Појава чип картица и једнократних лозинки (такозвани ОТП или једнократне лозинке) значајно је отежала посао преварантима, али су се они прилагодили. Прелазак на мобилна плаћања путем паметних телефона повећао је отпорност на неке врсте превара, али је и отворио нове прилике за њих.

– Сада, након што украду број картице, преваранти покушавају да је повежу са сопственим епл пеј или гугл волет налогом. Када то ураде, користе овај налог са паметног телефона да плате робу користећи картицу жртве, било у регуларној продавници или на лажном продајном месту – наводе стручњаци. Како се подаци са картице краду путем фишинга? Интернет је преплављен мрежом лажних веб-сајтова чији је циљ фишинг, односно крађа података са платних картица. Ови сајтови могу имитирати услуге доставе, велике онлајн продавнице, па чак и портале за плаћање комуналних рачуна или саобраћајних казни. Сајбер-криминалци купују, такође, десетине паметних телефона, праве епл или гугл налоге на њима и инсталирају апликације за бесконтактна плаћања.

– Када жртва буде намамљена на сајт, од ње се тражи да повеже своју картицу или изврши обавезно мало плаћање. Ово захтева унос података о картици и потврду власништва картице уносом ОТП кода. У овом тренутку се новац још увек не скида са картице. Заправо, подаци жртве се готово одмах преносе сајбер-криминалцима, који повезују картицу са мобилним новчаником на свом паметном телефону. Потребан је ОТП код да би се ауторизовала ова операција. Да би убрзали и поједноставили процес, нападачи користе специјалан софтвер који узима податке које је жртва унела и генерише слику картице која јој савршено одговара. Након тога, довољно је само да се услика ова слика користећи „Епл пеј” или „Гугл волет”. Тачан процес повезивања картице са мобилним новчаником зависи од конкретне земље и банке, али обично није потребно ништа осим броја картице, датума истека, имена власника картице, кода са полеђине картице и ОТП-а. Сви ови подаци могу бити украдени у једној сесији и одмах употребљени – наводе стручњаци.

У компанији „Касперски” су открили и додатне трикове које сајбер-криминалци користе како би напади били још ефикаснији. Прво, ако жртва посумња пре него што притисне дугме „Пошаљи”, сви подаци који су већ унесени ипак се прослеђују криминалцима – чак и ако је то само неколико карактера или непотпун унос. Друго, лажни сајт може пријавити да је уплата неуспешна и подстакнути жртву да покуша са другом картицом. На тај начин, криминалци могу украсти податке за две или три картице у једном покушају. Новац са картице се, објашњавају, не скида одмах а многи људи, не видевши ништа сумњиво у изводу из банке, забораве на цео инцидент.

Како се новац краде са картица

Сајбер-криминалци у неким случајевима повежу десетине картица са једним паметним телефоном и не потроше одмах новац са њих. Овај паметни телефон, пун бројева картица, затим се препродаје на „Дарк вебу”. Често прође неколико недеља, па чак и месеци између фишинга и потрошње. Али када тај непријатан дан коначно дође, криминалци могу одлучити да купе луксузне предмете у продавници једноставно обављањем бесконтактне трансакције са телефона пуног украдених бројева картица. Такође, могу поставити своју лажну продавницу на легитимној платформи за електронску трговину и наплатити новац за непостојеће производе. Неке земље чак омогућавају подизање готовине са банкомата помоћу паметног телефона са НФЦ подршком. У свим горе наведеним случајевима, није потребна потврда трансакције путем ПИН-а или ОТП-а, тако да новац може бити преусмерен док жртва не блокира картицу, наводе они.

Антрфиле

Прислањање картице на телефон

Крајем 2024. године стручњаци компаније „Касперски” су открили превару која злоупотребљава НФЦ технологију за крађу новца са рачуна повезаних са картицом. У овој превари од жртава се не траже подаци са картице. Уместо тога, нападачи их друштвеним инжењерингом наводе да инсталирају наводно корисну апликацију на свом паметном телефону под изговором административне, банкарске или друге услуге. Жртва затим буде упитана да принесе своју картицу на телефон и унесе ПИН код за „ауторизацију” или „верификацију”. Инсталирана апликација, наравно, нема додира са својим описом. У првом таласу ових напада жртвама је очитавана картица када је била прислоњена уз паметни телефон и преносила је податке заједно са ПИН кодом нападачима који су их користили за куповину или подизање готовине са банкомата који подржавају НФЦ, објашњавају стручњаци компаније „Касперски”.