Friday, August 31, 2012

TAGGED UNDER: , ,

Cum se fură de pe carduri





Cum se fură de pe carduri

Eh, valabil titlu, nu? din păcate, nu am spus “cum să furi”, ci “cum se fură”. E o diferenţă.
Cardul bancar (fie el de debit sau de credit) este din ce în ce mai utilizat în ziua de azi. Fiind portofelul electronic al majorităţii, tentaţia e mare: fraudele cu carduri bancare s-au înmulţit ca număr şi ca valoare, iar pericolul pândeşte la fiecare colţ, tovarăşi. Fraudarea unui card bancar se poate face în 2 feluri mari şi late: achiziţionarea de bunuri sau servicii cu un card bancar clonat, sau extragerea directă de fonduri. Trebuie notat că (din păcate) la noi predomină cardurile de debit (chiar şi cardurile de debit cu overdraft sunt tot carduri de debit, în esenţă), care nu beneficiază de atâtea măsuri de protecţie precum cardurile de credit. În USA, de exemplu, o înşelătorie la plata cu credit card-ul (de exemplu ai plătit online produsul X, şi nu-l primeşti, sau primeşti altceva) poate fi reclamată la banca emitentă a cardului, şi clientul îşi primeşte banii înapoi – este treaba băncii să se descurce cu furnizorul (procesul se numeştechargeback). Eh, chestia asta nu există la cardurile de debit; pe de altă parte, la cardurile de credit se plăteşte dobândă, la cele de debit nu. Un card de debit îţi permite să cheltui doar bani pe care îi ai, un card de credit îţi permite să cheltui bani pe care nu-i ai.
Mai departe. Cardul bancar este o amărâtă bucată de plastic, ce conţine câteva elemente foarte importante: numele deţinătorului, numărul de card, data expirării şi codul de verificare (denumit şi CVV). Primele 3 se regăsesc pe faţa cardului, CVV-ul constă în ultimele 3 cifre inscripţionate pe spatele cardului. Toate aceste date (cu excepţia CVV-ului) sunt vizibile în clar, şi stocate criptat pe banda magnetică a cardului pentru a putea fi citite de POS-uri (Point Of Sale). Motivul existenţei CVV-ului este un nivel suplimentar în siguranţa tranzacţiei: teoretic, neavând CVV-ul, tranzacţia nu poate fi completată; CVV-ul este un fel de dovadă a existenţei şi prezenţei cardului la desfăşurarea tranzacţiei.
Cele 2 mari companii emiţătoare de carduri bancare sunt, după cum ştiţi probabil, Visa şi Mastercard. Toate cardurile Mastercard sunt carduri embosate (au informaţiile de pe faţă scrise în relief), pe când Visa oferă şi Visa Electron (un fel de Visa limitat, dacă vreţi). Motivul pentru care literele sunt scrise în relief stă în istorie, pe când POS-urile electronice nu existau, şi informaţia de pe card era preluată mecanic prin plasarea cardului într-un dispozitiv care presa literele pe o hârtie tip indigo (cam ca atunci când frecaţi cu creionul o coală de hârtie plasată peste o monedă). În prezent, majoritatea POS-urilor sunt electronice: cardul este introdus în dispozitiv, şi acesta comunică (de obicei prin intermediul unei linii telefonice) cu “centrala” pentru a transmite datele citite de pe card. Eh, şi o să întrebaţi de codul PIN. Codul PIN este aplicat doar cardurilor de debit, ca principală măsură de protecţie (ţineţi minte că un card de debit nu te protejează în cazul tranzacţiilor dubioase, aşa cum o face un card de credit). Eh, de-aici vine şi problema.
Să luăm un card de debit obişnuit, emis de Visa. Mergem la magazin, cumpărăm ceva şi plătim. Cardul este trecut prin POS, se introduce suma de plată, şi … depinde.
Cazul 1: tranzacţie online, cu PIN. Tranzacţia este autentificată pe bază de PIN. După introducerea sumei ce trebuie plătită, ni se cere codul PIN, pe care îl tastăm pe o mică tastatură numerică numită PIN pad. Codul tastat este criptat cu un algoritm oarecare, şi e comparat cu valoarea criptată stocată pe banda magnetică. Dacă se potrivesc, succes: este deschisă o conexiune cu centrala băncii, sunt comunicate informaţiile despre plătitor, suma ce trebuie debitată din contul persoanei, şi se aşteaptă răspunsul de la centrala băncii (poate nu avem destui bani în cont? atunci, erorare). Dacă avem bani în cont, atunci totul e în regulă şi se tipăresc cele 2 chitanţe. O chitanţă e semnată de posesorul cardului şi rămâne la magazin, semnătura fiind acceptul de plată. Să numim acest tip de tranzacţie a fi “o tranzacţie online”.
Cazul 2: tranzacţie offline, fără PIN. Eh, ăsta e cazul mai delicat; când o tranzacţie nu necesită cod PIN, se numeşte a fi “o tranzacţie offline”. În esenţă, cardul de debit este procesat ca un card de credit: sunt memorate informaţiile de pe card şi suma de plată, acestea urmând a fi transmise ulterior la bancă pentru procesare. Acesta este şi motivul pentru care tranzacţiile desfăşurate fără PIN apar în extrasul de cont abia după 2-3 zile de la efectuarea tranzacţiei. Procesul se desfăşoară exact ca prelucrarea unei tranzacţii cu un card de credit, doar că banii implicaţi în tranzacţie există în contul bancar (nu sunt bani “împrumutaţi” de bancă, precum în cazul unui card de credit real). În cazul inexistenţei unui POS electronic, aici intră în acţiune literele embosate de pe card şi informaţiile sunt transferate mecanic pe hârtie (ca un cec, să zicem); la noi, 99.9999% din POS-uri sunt electronice, deci nu ne interesează asta. Cardul nostru de debit emis în România se va comporta ca un card de credit atunci când suntem în afara ţării, din motive tehnice (imposibilitatea de a comunica în timp real cu banca din ţara emitentă este unul din aceste motive).
Bun, şi în cazul ăsta, cum se poate fura de pe carduri până la urmă? În 2 moduri, care corespund celor 2 cazuri de mai sus.
Cazul 1: card clonat şi PIN Hoţul are PIN-ul, şi poate extrage direct bani de la ATM cu un card clonat (varianta preferată, deoarece este eliminată interacţiunea cu magazinul şi necesitatea vânzării bunurilor achiziţionate).
Cazul 2: card clonat utilizat ca un card de credit Hoţul are informaţiile de pe card, şi nu are nevoie de PIN, putând plăti cu cardul clonat la magazin, urmând a vinde produsele cumpărate pentru bani lichizi.
Să tratăm cele 2 cazuri pe rând.
Cazul 1: hoţul clonează cardul şi are PIN-ul. O pereche “card clonat + PIN” este foarte valoroasă, deoarece se pot obţine direct banii de la ATM, şi nu există facilitatea de “chargeback” în cazul tranzacţiilor efectuate cu un card de credit. Practic, un card clonat şi PIN-ul său ar putea foarte bine să fie privite exact ca un portofel plin cu bani: când este furat, banii s-au cam dus.
Clonarea cardului este relativ facilă: procedeul se cheamă skimming. Cardul care se doreşte a fi clonat este trecut printr-un dispozitiv (numit “pisicuţă” la noi) care citeşte datele de pe banda magnetică şi le memorează. Cu datele copiate de pe banda magnetică a cardului şi un inscriptor de carduri “blank” se poate obţine o copie perfectă a cardului clonat (din punct de vedere al datelor stocate). De obicei, datele sunt copiate chiar prin intermediul angajaţilor de la magazine: dăm cardul pentru plată, şi într-un moment de neatenţie cardul este trecut repede prin dispozitivul de copiere, operaţiunea durând nici 2 secunde. Varianta 2: montarea pe fanta bancomatelor a dispozitivului de copiere (acesta e motivul pentru care au apărut “gulerele” alea verzi din plastic transparent de ceva vreme, la bancomate). Şi bum, avem cardul clonat.
Iată cum arată o pisicuţă de bancomat (mai multe poze se găsesc la sursă, aici):
 
Dar cum obţin PIN-ul? Păi, se zice că (aproape la fel de de) uşor. Varianta 1, pentru dispozitivele de clonare instalate pe bancomate: se montează o cameră mică de luat vederi în colţul de sus al bancomatului, îndreptată fix spre tastatura pe care introduceţi PIN-ul. Varianta 2, pentru cele instalate în magazine: se obţine acces la calculatorul din magazin pe care e instalat software-ul care procesează plăţile, şi se interceptează PIN-ul în momentul în care-l tastaţi pe PIN pad. Teoretic, comerciantul nu are voie să păstreze PIN-ul tastat nici măcar în formă criptată; practic, odată ce se obţine acces fizic la calculatorul sau în reţeaua unde lucrează software-ul de procesare (şi implicit acces la cheile de criptare), e prea târziu. Varianta 3, cea mai rar întâlnită (dar şi cea mai distructivă): obţinerea accesului la baza de date a băncii (de obicei prin intermediul unui angajat corupt), şi copierea perechilor de date + PIN direct din sistemul băncii. Se bănuieşte că fraudarea cardurilor Millenium de la Bancpost din mai 2008 a fost efectuată astfel.
Cazul 2: este şi mai simplu, după ce aţi citit cazul 1, deoarece nu mai implică PIN-ul. Când sunt în afara ţării cu cardul meu de debit, acesta se comportă ca un card de credit. Tranzacţia nu mai implică PIN, ci doar citirea datelor mele de pe card şi transmiterea lor împreună cu suma de plată către banca din ţara emitentă a cardului (similar cu facturarea apelurilor roaming, dar ăsta e alt subiect). Dacă în momentul în care eu îmi cumpăr pantofi din mall, cardul meu este copiat, totul s-a terminat. Datele copiate de pe card sunt transmise la vreo zece mii de kilometri distanţă într-o ţară cu legislaţie şi autorităţi mai relaxate (să zicem Bulgaria, Ucraina, şamd), şi este creat un card clonat cu datele cardului meu. Hoţul se duce la magazin şi cumpără cu acest card 10 parfumuri de 100 EUR, iar tranzacţia apare în extrasul meu de cont abia la 2-3 zile, mult după ce parfumurile au fost vândute “în piaţă” pentru bani buni. Ä‚sta e momentul de şoc, momentul în care suni la bancă, momentul în care cardul bancar este blocat.
Ca exemplu de păţanie: cardul bancar adevărat era în Dubai, tranzacţiile dubioase au apărut în Moscova şi USA (mişto Internetul ăsta, nu?) S-a sunat la banca românească pentru a reclama frauda. Banca românească a cerut o fotografie a cardului bancar cu un colţ tăiat, împreună cu un ziar recent (pentru a verifica faptul că posesorul cardului este cu adevărat acolo unde spune că este şi a verifica data reclamaţiei, presupun). Cardul a fost blocat, şi urmează ca banca să investigheze problema pentru a returna banii posesorului păgubit. Ah, şi pentru că este o bancă românească pe care eu o “simpatizez” mult de tot, aflaţi că se preia un COMISION DE RECUPERARE de 10 EUR – culmea nesimţirii, nu? culmea nesimţirii pentru că nu e normal, şi pentru că acel card tocmai fusese schimbat în urma altei fraude similare, şi nu fusese folosit DELOC până în momentul apariţiei tranzacţiilor frauduloase, ceea ce mă duce cu gândul la faptul că informaţiile de pe card au plecat din interiorul băncii. Da, de voi vorbesc, băi BRD!
Bun, şi ce putem face pentru a ne proteja în cazul ăsta? Păi:
  • aveţi grijă de card şi de PIN. Nu scrieţi PIN-ul pe hârtie, sau direct pe card!
  • la bancomat, evitaţi bancomatele suspecte şi inspectaţi vizual fanta de introducere a cardului. Dacă arată dubios, prezintă urme de forţare sau demontare … căutaţi alt bancomat. Eventual unul situat într-o incintă închisă, cu acces restricţionat (gen Office-urile de la ING).
  • când tastaţi PIN-ul la bancomat, acoperiţi mâna cu care tastaţi cu cealaltă mână. Valabil şi la plata cu cardul la POS.
  • când plătiţi la POS şi vi se spune că tranzacţia a fost refuzată, cereţi chitanţa tipărită de POS cu motivul refuzului (conexiune imposibilă, insuficiente fonduri, etc). Nu acceptaţi trecerea cardului prin POS fără a primi o chitanţă pentru fiecare trecere, indiferent de rezultatul operaţiunii!
  • nu pierdeţi cardul din vedere când plătiţi la POS. Nu permiteţi vânzătorului să plece cu cardul în altă cameră, să-l treacă pe sub tejghea, sau alte manevre similare.
  • nu introduceţi PIN-ul în nici o pagină de web (vezi recentele cazuri de phishing care ţintesc Raiffeisen Bank); tranzacţiile web folosesc cel mult CVV-ul, în nici un caz PIN-ul cardului.
  • folosiţi serviciul de online banking, şi verificaţi periodic extrasul de cont, urmărind apariţia tranzacţiilor suspecte. Dacă observaţi ceva dubios, sunaţi la bancă imediat.


Read more...



About the Author

Have a good day/night!

0 comments:

Please no spam! Remove comment!

WARNING !

This site does not host any media file or any other file which might be under the influence of copyright. The links on this site lead to other sites! Not responsible for accessing and downloading files from links that lead them! Accessing links on this site, and downloading files from these leading assume your responsibility !!!

Labels

Info Download Video Oameni Jocuri Amuzament Romania Muzica Torrent FileList.ro Hip-Hop Stiri LG YouTube Bani Imagini Bacau Hack Software 2014 Auto PC Fotbal 2012 AI DE PLM Rapperi Filme Made in Romania FOR LIFE Arta Internet Cocalari Telefoane Muzica Adevarata Trailer Windows Blogger Tehnologie Artisti Copiii Online Servicii Online Fashion Facebook NU in Romania America 2013 Muzica de kkT TV Vedete Culinar Picture of the Day Animale Poza Zilei RObotzi Pitzipoance Sport Bani Pe Net Loto 6/49 Monden Slots Games Pack Sezonul 4 Sezonul 1 Sezonul 2 2015 Filme XXX JapKa Politia Seriale Online Stiinta Tutorial Underground HH Evenimente EA Sports Europa Evenimente Bacău Negative Religia Album Android Bancuri Civilizatii Gangsta-Rap Istoria Planete Subtitrari Droguri Naturist Promovare HH Concert Google Masoneria Natura Scoala Sezonul 3 Apple Microsoft Politica Samsung Adolescenta Counter-Strike 1.6 Fructe Pronosticuri Romani au Talent Sex Sexy Toshiba Pariu cu Viata Tatuaje Templates China Update Anglia Manele Subway Pub Cultura FIFA 07 Online Inventie Made in China Realitatea Rock Serials Elevi Rusia Satana Simulator System Requirements Warcraft III: The Frozen Throne 2017 3D Audio Club Zebra Documentar DozaDeHas Franta Gadget HTML Italia Medicamente Mobile Poker Racing Rapper Cocalar Reclama Afaceri EA Mobile Interviu Motociclete SKIDROW Sistem de operare Tigari WWE .dll 2016 Alcool Asus BeatBox Bulgaria Cartea Recordurilor Cool Driver England Las Fierbinti Mac OS Maps Warcraft Mircea Badea The Stage Valentine’s Day AdSense Antarctica Avioane Balul Bobocilor Box Casa de Cultură Bacău Crack FIFA Farse FreeStyle Gameloft Gepex Park Germania PSP Rasta Razboi Statusuri Terorism Trafic de Acte Twerk Team Twitter Versuri Videochat WebDesign Zodii eMachines 2018 ACTA Anonymous Basket Bauturi Bere Biletul Zilei Camera ascunsa Club Kremlin Crestin-Ortodox Dancing Fonturi Glu Google+ Handbal Linux MPC Micron Rezumat Setari
Subscribe on : YouTube

Statistics

Blog Archives

Copyright ©

Copyright ©
Proudly Powered by JK07.