Predvianočné obdobie je pre podvodníkov žatvou. Ľudia nakupujú vo veľkom, ich pozornosť je roztrieštená a na výpisoch z účtu sa mieša množstvo transakcií. Svoje o tom vie aj mladá žena zo Žiliny, ktorá sa popri zháňaní vianočných darčekov pre blízkych venovala aj zariaďovaniu nového bývania.
Objednávky z overených e-shopov ako Alza, Brloh či Allegro prebiehali bez problémov a tovar bol doručený, preto nemala dôvod na podozrenie. Údaje z jej platobnej karty však pravdepodobne niekde unikli, informuje Žilinak.sk.
Nepríjemné prebudenie prišlo ráno, keď ju zo spánku vytrhlo neustále vibrovanie mobilného telefónu. Displej zobrazoval sériu push notifikácií o platbách, ktoré v rýchlom slede odchádzali na účet neznámeho „národného parku“ v americkom Las Vegas.
Útok na účet a bezmocnosť
Scenár bol typický pre automatizované podvody. Zlodeji skúšali rôzne sumy v klesajúcom poradí. Najprv odišlo približne 600 eur, následne 500, 400 a 300 eur. Zatiaľ čo dve platby systém zamietol, ďalšie prešli, čím Žilinčanka prišla v priebehu okamihu o viac ako 1000 eur. Okamžite kontaktovala Tatra banku, kartu zablokovala a podala reklamáciu, no prvotné vyhliadky boli mizerné.
Známy policajt ju pripravil na najhoršie. Akonáhle peniaze odídu do USA, šanca na ich vymoženie je minimálna. Prekvapujúce bolo aj to, že banka pri takýchto vysokých sumách do zahraničia nežiadala žiadne dodatočné overenie cez 3D Secure, čo v klientke vyvolalo pocit neistoty a hnevu.
Záchrana vďaka bankovým procesom
O to väčšie bolo prekvapenie, keď jej banka po niekoľkých dňoch oznámila pozitívnu správu. Peniaze sa na účet vrátili, pretože platby neboli reálne zúčtované. Tento prípad ilustruje dôležitý rozdiel vo svete financií, ktorý bežný klient často nevníma.
Keď zaplatíte kartou (alebo ju zneužije zlodej), peniaze z účtu neodídu okamžite. Suma sa len „autorizuje“, teda zablokuje, čím sa zníži disponibilný zostatok. K skutočnému prevodu peňazí, teda zúčtovaniu, dochádza až o niekoľko dní neskôr, keď si obchodník platbu vyžiada.
V tomto prípade transakcie do fázy zúčtovania neprišli. Buď ich systém vyhodnotil ako podozrivé, alebo ich podvodník nestihol dokončiť. Banka tak len uvoľnila blokáciu a peniaze, ktoré technicky účet nikdy neopustili, boli opäť k dispozícii.
Treba konať okamžite
Príbeh Žilinčanky je dôkazom, že ani pri zdanlivo úspešnej krádeži netreba hádzať flintu do žita. Rozhodujúcim faktorom bola rýchlosť reakcie.
Vďaka tomu, že mala zapnuté notifikácie a okamžite kontaktovala banku, sa proces podarilo zastaviť ešte v štádiu autorizácie. Banky upozorňujú, že SMS správy a notifikácie majú len informatívny charakter o blokácii sumy, nie o jej definitívnom odchode.
Ak sa teda stanete obeťou podobného útoku, okamžitá reklamácia a blokácia karty môžu zabrániť tomu, aby sa „rezervované“ peniaze premenili na nenávratne stratené.
Ako je to možné?
Prípad Žilinčanky otvára znepokojivú otázku, ktorú si kladie mnoho obetí kybernetických krádeží: ako je možné, že údaje unikli, keď som nakupoval len u veľkých a známych predajcov? Odpoveď je často komplexnejšia než len priame napadnutie samotného e-shopu.
Veľké platformy ako Alza či Allegro majú spravidla špičkové zabezpečenie, no únik sa môže stať na strane používateľa alebo prostredníctvom takzvanej tretej strany. Veľmi častým scenárom v predvianočnom období je sofistikovaný phishing. Zákazník nakúpi v legitímnom e-shope a čaká na balík. V tom mu príde podvodná SMS alebo e-mail, ktorý sa tvári ako správa od prepravcu (DPD, Packeta, pošta) alebo priamo od obchodu, s výzvou na doplatenie drobného cla alebo aktualizáciu adresy.
Keďže človek reálne čaká zásielku, ostražitosť klesá, klikne na odkaz a zadá údaje z karty na falošnej bráne, ktorá vyzerá na nerozoznanie od tej pravej. Útočník tak získa údaje, hoci samotný nákup v e-shope bol bezpečný. Ďalšou možnosťou je nákaza počítača alebo mobilu škodlivým softvérom (spyware, keylogger), ktorý zaznamenáva stlačenia klávesnice a odosiela ich útočníkom bez vedomia majiteľa.
Druhým, technickejším vysvetlením, prečo banka nežiadala overenie a peniaze odišli do USA, je rozdiel v bezpečnostných štandardoch. V Európskej únii sme zvyknutí na silné overenie zákazníka (SCA) cez 3D Secure, teda potvrdenie platby v aplikácii alebo SMS kódom. Mnohé e-shopy a platobné brány v USA alebo Ázii však tento štandard nevyžadujú, aby zákazníkom zjednodušili nákupný proces.
Ak útočník získa číslo vašej karty, dátum platnosti a CVC kód, môže ich použiť u obchodníka, ktorý nevyžaduje druhé overenie. Banka transakciu pustí, pretože z jej pohľadu ide o štandardnú platbu u obchodníka, ktorý o dodatočné overenie nepožiadal. To vysvetľuje, prečo Žilinčanke odišli peniaze „národnému parku“ bez toho, aby musela čokoľvek potvrdiť v mobile.
Ako sa chrániť?
Najúčinnejšou ochranou proti tomuto typu kriminality je zmena spôsobu, akým platíme na internete. Absolútnym zlatým štandardom sú jednorazové virtuálne karty, ktoré dnes ponúka už väčšina slovenských bánk (Tatra banka, mBank, VÚB, Slovenská sporiteľňa) alebo fintech služby ako Revolut.
Princíp je jednoduchý. V aplikácii si vygenerujete kartu, ktorá existuje len digitálne. Použijete ju na jeden konkrétny nákup a po zaplatení sa karta buď sama zruší, alebo sa zmenia jej údaje. Ak by aj tieto údaje útočník ukradol, sú mu nanič, pretože karta je už neplatná.
Pre pravidelné predplatné (Netflix, Spotify) je vhodné mať vyčlenenú druhú, samostatnú virtuálnu kartu s nastaveným nízkym limitom, ktorý presne zodpovedá mesačným poplatkom. Týmto spôsobom nikdy nevystavujete riziku svoj hlavný účet a celoživotné úspory.
Okrem virtuálnych kariet je dôležitá aj práca s limitmi a geografickým blokovaním. Väčšina bankových aplikácií umožňuje nastaviť denný limit pre internetové platby na nulu alebo na veľmi nízku sumu (napríklad 20 eur). Limit zvýšite len v momente, keď idete reálne nakupovať, a po zaplatení ho opäť stiahnete na nulu. Je to síce pár sekúnd práce navyše, ale predstavuje to takmer neprekonateľnú prekážku pre zlodejov.
