Furtul cardurilor, mai precis a banilor de pe ele, un fenomen izolat in prezent, poate deveni o problema odata cu cresterea vertiginoasa a numarului de carduri emise de bancile romanesti. Iar evenimente recente dovedesc acest lucru.

ING Bank a publicat un avertisment in care anunta ca bazele de date ale VISA au fost sparte de hakeri cu scopul de a obtine datele de pe carduri si de a sustrage banii. Un avertisment recent a fost publicat si de Ambasada , care semnala existenta unor retele de hoti care cloneaza carduri. Cativa cititori ne informeaza ca au primit pe e-mail mesaje (phishing) in numele unor banci in care li se cer datele cardurilor, pentru a le utiliza ulterior in numele proprietarilor si a fura banii de pe ele. Care sunt, asadar, modalitatile prin care actioneaza hotii de carduri si cum sa ne ferim de ei?

Si cardurile se cloneaza

Prima metoda, destul de rar intalnita, este cea a clonarii cardurilor prin intermediul unor cititoare de card si camere montate de hoti la ATM-urile bancilor. Inca nu exista informatii privind aplicarea acestei metode in tara noastra, insa in noiembrie anul trecut a fost transmisa o alerta initiata de ambasada Statelor Unite, prin intermediul American Chamber of Commerce, avand ca titlu: ATM-urile bancare transformate pentru a putea fura ID-urile clientilor. Alerta a fost preluata si de , care isi informeaza utilizatorii de carduri de spre cum se pot feri de astfel de cazuri. Iata alerta publicata de DotCommerce , pe site-ul www.procesor.ro:

Alerta de frauda
Nr. 03-05 - 01 Noiembrie 2005
Alerta a fost initiata de US Embassy prin intermediul American Chamber of Commerce

ATM-urile bancare transformate pentru a putea fura ID-urile clientilor

œAu aparut bande organizate ce instaleaza echipamente speciale pe ATM-urile bancilor, care reusesc sa fure atat numarului card-ului cat si PIN-ul. In timp ce dvs. efectuati o banala retragere de numerar, o echipa sta intr-o masina in apropierea ATM-ului primind informatia transmisa wireless de catre echipamentul instalat pe bancomat (vezi fotografii).Daca vedeti un asemenea dispozitiv, nu folositi ATM-ul respectiv si raportati imediat telefonic bancii.

Echipamentul folosit pentru a fura numarul card-ului si PIN-ul dvs. este in mod ingenios mascat pentru a arata exact ca un ATM normal.Un dispozitiv este montat in locul unde se introduce card-ul in mod obisnuit; un dispozitiv care citeste numarul card-ului si il transmite celor aflati in masina din apropiere.

In acelasi timp, o camera wireless, mascata de un suport pentru pliante, este montata si pozitionata astfel incat sa poata filma introducerea codului dvs. PIN. Hotii copiaza datele card-ului si folosesc numerele PIN pentru a retrage sume mari din mai multe conturi, intr-un timp foarte scurt, direct de la ATM-ul bancii.œ

Bancomatul-fantoma

Anul trecut politia romana a arestat o banca de hoti care au reusit sa cloneze carduri cu ajutorul unui bancomat-fantoma, reusind astfel sa fure sute de milioane de lei din conturile a zeci de bucureșteni. Bancomatul-fantomă era montat la parterul unui bloc situat pe bulevardul Mihai Bravu, din Capitală.

Cum au procedat: au cumpărat, de pe , cititoare de carduri, pe care le-au atașat la un computer montat în bancomat. Partea din față a acestuia a fost realizată în așa fel încât să semene foarte bine cu cele folosite de băncile comerciale.

Practic, orice persoană care intenționa să extragă bani din acest bancomat nu putea bănui escrocheria. Chiar și meniul bancomatului era identic cu unul original. Operațiunile corespundeau cu cele standard. Victima, după ce își introducea cardul în bancomat, selecta limba de utilizare, introducea codul de securitate și opta, apoi, pentru extragerea de numerar. În acel moment, pe ecran apărea mesajul că tranzacția nu poate avea loc din motive tehnice. Ce se întâmpla între timp? Cu ajutorul computerului, datele privind contul și codul de securitate ale cardului erau copiate și memorate. Fără să bănuiască ce se întâmplase, „clientul” recupera cardul și pleca în căutarea unui alt bancomat. Hotii foloseau datele astfel obținute pentru a „clona” cardurile victimelor. Acestea aveau aceleași elemente de identificare ca și cele originale. Conturile accesate prin cardurile clonate erau golite de bani, extragerile de numerar făcându-se de la bancomate din București și Constanța.

Cum au instalat bancomatul

Hotii s-au prezentat la administrația imobilului drept angajați ai unei firme trimise de o bancă comercială să monteze un bancomat. A fost încheiat și un contract fictiv cu administrația, care a primit câteva sute de dolari drept „chirie” pentru acceptarea montării bancomatului. Nimeni nu bănuia escrocheria pusă la cale de tineri.

Phishing, sau furtul datelor de pe card

O a doua modalitate de furt al datelor de pe carduri este cea cunoscuta cu denumirea de œphishingœ. VISA a fost victima unei astfel de metode. Intr-un avertisment publicat de ING Bank Romania luna trecuta se arata urmatoarele:

œIn ultimele zile mai multe e-mailuri trimise de la adrese false au fost adresate posesorilor de carduri Visa, cerandu-le acestora sa furnizeze date personale pentru a li se elibera noi coduri de securitate pentru carduri. Clientii au fost informati ca acesta masura este necesara dupa ce mai multe baze de date ale Visa au fost pierdute, ca urmare a atacurilor hackerilor. Visa ii avertizeaza pe posesorii de carduri sa nu dea curs unor astfel de solicitari si sa nu ofere nici o informatie personala precum numarul de card, perioada de valabilitate a cardului, codul PIN al cardului, user ID-ul sau parola. In cazul in care ati dat curs unei astfel de solicitari, sunteti invitati sa contactati Serviciul My'Line la numarul specificat pe spatele cardului dvs. sau pe cererea de deschidere de cont.

"Phishing" este o forma de frauda pe Internet prin care se urmareste obtinerea de informatii personale legate de utilizarea cardului precum numar card, valabilitate,user ID-ul si parola. Cei care urmaresc obtinerea frauduloasa a acestor informatii creeaza un web site ce imita in detaliu site-ul oficial al unei organizatii legitime, de obicei o institutie financiara (companie de asigurari, banca sau companie emitenta de carduri). Phising-ul este practicat si prin trimiterea unui e-mail prin care destinatarului i se cere sa acceseze site-ul respectiv (replica a site-ului oficial) si sa ofere detalii personale, inclusiv codurile de securitate.œ

Potrivit informatiilor publicate de DotCommerce, Phishingul reprezinta operatia prin care utilizatorii unui site sunt pacaliti sa-si introduca datele pesonale, ale contului bancar sau ale cardului intr-un cont fraudulos, copie fidela a site-ului firmei, pentru o revalidare a contului sau orice alt motiv plauzibil . Scopul final este lichidarea conturilor pacalitilor sau furtul identitatii acestora de catre initiatorii operatiunii. Conform statisticilor, 5% dintre destinatarii acestui tip de mesaje dau curs solicitarilor.

Potrivit Dot Commerce, hakerii au trimis anul trecut peste 20 milioane de e-mail-uri, in mai multe tari, printre care se numara si Romania, pentru a invita posesorii de carduri Visa sa se inroleze in sistemul Verified by Visa. "Hackerii sunt extremi de periculosi prin inventivitatea lor. Ei au reusit sa copieze in cele mai mici detalii pagina Visa. Mai mult, pana si serverul de la care sunt trimise e-mail-urile este foarte atent ales: https://usa.visa.com/personal/security/vbv", a declarat Madalin Matica, directorul Dot Commerce Romania.

"Prin completarea datelor solicitate, posesorii cardurilor care primesc un astfel de e-mail risca sa ramana fara bani in cont. Este vorba de acelasi grup de hackeri care, la sfarsitul lui 2004, a atacat informatic cateva mari banci americane, printre care si Citibank.

Pentru a putea folosi cardurile in conditii de siguranta, posesorii romani de carduri Visa trebuie sa contacteze banca emitenta pentru a se inregistra in sistemul 3D Secure, cea mai avansata platforma tehnologica mondiala pentru securizarea tranzactiilor de plata online prin card bancar. Informatiile sunt puse la dispozitie inclusiv pe Internet, pe site-urile proprii ale bancilor. In prezent, sunt patru banci care au aderat la sistemul 3D Secure: Alpha Bank, BCR, Banca Tiriac si Raiffeisen Bank.Phishing-ul este una dintre cele mai des intalnite metode de fraudare a posesorilor de card, mai ales a celor care nu urmaresc cu atentie respectarea elementelor de siguranta.

Iata alerta de frauda a cardurilor VISA:
VISA phishing email - "Verified by Visa Enrollement
Date Issued: 05 January 2005
Fraud Alert # 4999
Target Company: VISA
From Address: update@visa.com Subject Line: Verified by Visa Enrollement
Page Content URL: 164.77.203.11/personal/security…

Cum sa va protejati impotriva furtului de date

1. Niciodata nu apasati pe hyperlinkul primit in email. Daca aveti impresia ca este un email real copiazi linkul in browserul dvs.
2.Utilizati soft anti-spam.
3.Utilizati soft anti-virus.
4.Utilizati un soft de tip personal firewall
5.Faceti Update frecvent la softul utilizat.
6.Cautati in totdeauna elementele de securitate al paginilor care va cre date personale ( https )

Atentie la cumparaturile on-line

Citeste si:

O alta metoda prin care puteti ramane fara bani pe card este atunci cand faceti cumparaturi pe internet. Potrivit DotCommerce, amatorii de phising și-au îndreptat atenția și asupra magazinelor virtuale românești. Hakerii folosesc o pagina de internet falsa, identica cu cea a originalului, in care primesc informatii despre cardurile cu care se fac cumparaturi din magazine. Prima tentativă de furt de identitate s-a îndreptat asupra site-ului bestcomputers.ro

Fie că sunteți înregistrați sau nu în baza de date a magazinului bestcomputers.ro, există posibilitatea de a regăsi în inbox-ul dvs. un e-mail din partea companiei cu subiectul „confirmarea comenzii on-line”.
Un sfat util: Nu accesați și / sau cumpărați de pe alte site-uri care prezintă asemănări de design cu site-ul bestcomputers.ro, dar care nu au adresa scrisă corect: www.bestcomputers.ro, sau care vă redirecționează în pagini ce conțin adrese necunoscute (ex: http://83.16.108.242/htdocs/anuleaza.html ).

Comercianților le sunt suficiente numele dvs., numărul card-ului, tipul acestuia, data de expirare, CVV2 codul pentru a procesa tranzacția în deplină sigurantă.Orice alta informație colectată în formularul de comandă de către magazin, ajută doar la completarea profilului dvs în baza de date a companiei

Foarte important! Best Computers prin procesatorul său de carduri autorizat, DotCommerce Romania nu va solicita niciodată informații despre cardul dvs. cum ar fi : PIN-ul bancar, CNP-ul sau codul CVV2/CVC2 integral.

O astfel de tentativa a avut loc si cu site-ul , anul trecut, cand un haker a copiat o pagina a bancii centrale si a trimis e-mail-uri in incercarea de a obtine donatii pentru victimele inundatiilor.

Furtul cu POS-ul

O alta metoda de furt a datelor de pe card ar fi prin intermediul unui POS (cititor de carduri) fals. Un cititor ne-a sesizat, prin e-mail, ca ar fi patit acest lucru la o benzinarie OMV din , insa reprezentantii companiei, contactati de Ghiseul Bancar, au negat ca s-ar fi intamplat acest lucru. Iata, pe scurt, ce spunea cititorul: œVanzatorul mi-a luat cardul l-a trecut printr-un POS identic cu unul normal si mi-a inmanat un terminal, pe care scria Raiffeisen, ca sa introduc codul PIN. Dupa ce am introdus codul PIN acesta a luat terminalul si l-a pus pe ghiseu. Dupa un minut mi-a spus ca nu a functionat tranzactia si sa mai introduc inca odata codul PIN. De data asta el a trecut cardul prin POS-ul bancii si tranzactia s-a efectuat cu succes. Numai ca, prima data, el mi-a copiat banda magnetica a cardului si de asemenea codul PIN. Asta s-a intamplat undeva la inceputul anului pe 5 Ianuarie. Vineri, cand m-am uitat in cont am avut surpriza sa vad ca tocmai ridicasem numerar de la Londra. Se pare ca mi-au reprodus cardul si l-au folosit pentru ridicari de numerar. “Norocul” meu a fost ca am sesizat din timp ridicarile de numerar si am reusit sa blochez cardul. Paguba a fost destul de mare si banca oricum nu te despagubeste deoarece e “PIN based transaction”. In concluzie daca cineva iti spune ca nu a functionat tranzactia si-ti spune sa mai introduci inca odata codul PIN atunci acel cineva trebuie sa-ti arate un bon pe care scrie motivul din care nu a fost acceptata prima data tranzactiaœ, spune cel patit.

Reprezentantii Raiffeisen Bank ne-au spus ca nu a fost inregistrata la banca nici o plangere de acest fel, asa incat nu bagam mana in foc in privinta autenticitatii pataniei. Mai ales ca reprezentantii OMV ne-au precizat ca autorul mesajului de mai sus ar fi dorit, de fapt, sa loveasca in imaginea companiei, drept razbunare pentru un deserviciu.

Oricum, reprezentantul DotCommerce Romania, Madalin Matica, spune ca este posibila o astfel de frauda pe card:

œIn Romania au existat (si vor exista) tentative si fraude realizate prin POS-uri, ATM-uri si e-commerce. Modul descris este un "clasic" utilizandu-se un terminal fals care copiaza continutul benzii magnetice a cardului de credit/debit,urmind ca ulterior ei sa "tipareasca"un card care va contine datele existente pe cardul original. Daca mai detine si PIN-ul = are access la un ATM de unde poate retrage numerar. Daca are doar detaliile cardului poate insa incerca fraudarea via online.

Ce recomand: daca detineti detalii despre o frauda: contactati Politia Romana/ Brigada pentru Combaterea Crimei Organizate sau un procesator de carduri care va lua masurile specifice. Ce trebuie sa verificati: orice terminal POS tipareste o rezolutie la orice cerere de aprobare. Pe aceea chitanta/rezolutie puteti vedea si numele bancii care a incercat procesarea via POS. Chitantele (chiar si cele cu eroare) trebuiesc luate de detinatorul de card. In cazul erorii luati ambele copii ale chitantei deoarece unele contin datele complete ale cardului. Anuntarea in scurt timp a fraudei da posibilitatea institutiilor si entitatilor bancare si non-bancare specializate de a lua masuri de blocare/monitorizare a cardului respectiv. Si evident de confiscare a terminalului fantoma.

Nu spuneti nimanui codul PIN al cardului

Codul PIN este deosebit de important pentru un card. In afara de ATM si POS el nu trebuie dezvaluit nimanui ( nici bancii, nici procesatorului de carduri, nici magazinului -virtual sau nu). De altfel nici o entitate bancare sau non-bancara specializata nu va va cere asemenea detalii. Pe internet fraudele de tip phishing utilizeaza aceeasi metoda : va trimit un email in care se invoca fie o crestere a securitatii, fie o tentativa de accesare a contului dvs si se cere accesarea une pagini de Internet identica cu cea a bancii dvs ( chiar si adresa URL este identica) in care va capteaza datele bancare, inclusiv PIN-ul care va este cerut. Regula este : niciodata nu oferiti cuiva PIN-ul.

In tranzactiile pe Internet nu se cere niciodata PIN-ul dar se cere codul CVV2 sau CVV: acest numar este tiparit pe spatele cardului de credit/debit si este compus din ultimele trei cifre ( ptr Visa si MasterCard) sau ultimele patru pentru American Express. Acest numar nu este similar PIN-ului dar asigura o supra-securizare impotriva celor care au reusit va vada partea din fata a cardului dvs ( de exemplu in cazul tranzactiilor pe imprinter).œ

Ce sanse avem sa recuperam banii furati de pe card

Madalin Matica, de la DotCommerce Romania, explica traseul unei investigatii in cazul de tranzactii frauduloase:

a) tranzactie frauduloasa via ATM (automated teller machine)- sanse mici de a recupera paguba. Banca emitenta acuza cardholder de instrainarea PIN-ului. Cardholderul trebuie totusi sa reclame tranzactia, sa anuleze urgent cardul, sa ceara o investigatie (in care ar trebui analizate imaginile video - toate ATM au/ar trebui sa aiba o camera video). Investigatie lunga si cu mici sanse de recuperare a sumelor.

b) tranzactie via POS (point of sale-commercial) - sanse mai mari de a recupera pierderea. Se reclama imediat frauda, se cere blocarea cardului, banca cere comerciantului chitantele si compara semnaturile. Daca acestea nu corespund atunci comercinatul pierde deoarece nu a verificat semnatura de pe chitanta cu cea de pe spatele cardului ( putini comercianti in Romania fac aceasta verificare). In majoritatea cazurilor comerciantul pierde banii.

c) tranzactie via e-commerce: sanse mai mari de recuperare a banilor. Se reclama imediat frauda, se blocheaza/anuleaza cardul, banca cere procesatorului/magazinului detalii despre livrare si detaliile tehnice ( toate datele postate de fraudator, IP, etc). Se
incearca analiza la nivelul livrarilor si a adreselor utilizate. In majoritatea cazurilor pierderile sunt suportate de procesator/banca/institutia emitenta a cardului si in rare cazuri pierde magazinul. Cardholderul are sansele mari de recuperare a pierderii. Daca aveti un card inrolat in 3DSecure sunteti foarte bine aparati deoarece exista o parola suplimentara detaliilor de pe cardul de credit/debit, parola cunoscuta doar de detinator.

Daca un cardholder invoca in mod nejustificat returnarea banilor se considera tentativa de frauda, si se pedepseste cu 15 ani puscarie.

Nu exista asigurari ale tranzactiilor bancilor in Romania din informatiiile pe care le detin. Noi am incercat sa facem o asemenea asigurare pentru comerciantii nostrii si nu am gasit nici o companie de asigurari in Romania care sa inteleaga/accepte ce vrem.

Asigurarile noastre (nu garantez dar cred ca suntem singurii asigurati) sunt incheiate cu companii din USA. De altfel fiind singurii care suntem certificati pe zona securitatii datelor si a sistemului de plata ( certificare PCI-DSS - Payment Card Industry,

Data Security Standart) am putut sacerem o asemenea asigurare.
Politicile bancare insa iau in calcul o rata de frade/pierderi pe care o vor suportaœ, adauga reprezentantul DotCommerce Romania.

In 2005, hackerii au obtinut un profit mai mare decat traficantii de droguri

Potrivit DotCommerce, 2005 a adus hackerilor un profit mai mare decat al traficantilor de droguri. Luna Decembrie 2005 a insemnat descoperirea breselor de securitate la Marriott International, Ford Motors, ABN AMRO Mortgage Group si a incheiat cel mai negru an pentru companiile de securuitate online.

In anul 2005 s-au inregistrat peste 130 de incidente de hacking si violarea bazelor de date. Un numar de peste 55 MILIOANE de carduri cu toate datele personale ( multe din ele avind si alte informatii foarte delicate gen Social Security Number) au fost compromise si valurile acestor incidente au lovit toti procesatorii din lume. Repercursiunile acestor brese de securitate nu s-au incheiat si urmatoarele luni vor fi desoebit de grele pentru Departementele de Prevenire a Fraudelor (cine le are).