Jak rozpoznat a chránit se před podvody s kreditními kartami

Podvody s kreditními kartami jsou velký byznys. The Spojené státy se v roce 2015 podílely na téměř polovině (47 %) světových podvodů s kreditními kartami pravděpodobně kvůli pomalému přijímání čipových a PIN karet v USA. Tento typ podvodu ve Spojeném království dosáhl 567 milionů GBP v roce 2015 a Kanada přistála někde uprostřed na v roce 2015 téměř 1 miliardu dolarů . V Austrálii je krádež kreditních karet považována za typ podvodu s identitou, který v roce 2013 postihl čtyři procenta populace.

Zločin a zneužití identity v Austrálii 2013-14 https://aic.gov.au/publications/rpp/rpp130

Jeviště bylo pečlivě připraveno tak, aby umožnilo tyto masivní úrovně podvodů za posledních několik desetiletí. Když byly kreditní karty vydány poprvé, bylo nepříjemné je používat. Prodavači v obchodech museli ručně odkazovat na tištěné knihy nebo provádět časově náročné telefonní hovory, aby ověřili každý prodej kreditní kartou, což na držitele karet příliš nezapůsobilo. Více problémů nastalo s odpovědností. Držitelé karet nechtěli nosit s sebou kartu, která by je v případě ztráty nebo krádeže mohla nechat na háku za podvodné poplatky v řádu tisíců dolarů. Aby vydavatelé podpořili přijetí kreditních karet, museli co nejvíce zjednodušit používání kreditních karet a odstranit odpovědnost.

Takže to udělali.

Tyto snahy o přijetí kreditních karet za každou cenu vytvořily svět, kde vlastník karty obvykle nenese odpovědnost za podvodné poplatky, takže existuje jen malý impuls k obsesivní ochraně kreditních karet. Na druhou stranu vydavatelé karet nyní dosahují miliardových zisků ročně. I když utrpí to, co se zdá být ohromujícími ztrátami kvůli podvodům, je často menší problém to prostě odepsat a jít dál. To vytváří situaci, kdy je pronásledováno jen málo, ale ti největší podvodníci, což zasévá úrodnou půdu pro obrovské množství podřadných zločinců.

• proč to dělají?
• jak se to dělá?
  • Porušení dat na webových stránkách
  • Skimming karet
  • Ruční kopírování informací o kopii
  • Telefonické a e-mailové podvody
• Co dělá průmysl pro řešení tohoto problému?
• Jak se mohu chránit?
• Co mám dělat, když mi byla karta odcizena?

proč to dělají?

Je lákavé si myslet, že stojíte jen proti chlápkovi, který vám chce ukrást kartu, aby načerpal benzín do auta, ale realita je mnohem jiná. Chlápek, který se snaží ukrást vaši kreditní kartu, je s největší pravděpodobností jen hlavní muž pro mnohem větší zločineckou organizaci. Internet je plný stránek, kde si kupující a prodávající mohou vyměňovat balíčky odcizených kreditních karet a tyto transakce začínají jednotlivými kreditními kartami, jako je ta vaše. Mnoho z těchto stránek existuje na darkwebových tržištích, jako jsou skryté služby Tor, ale také na běžném internetu existuje mnoho takzvaných „kartovacích“ stránek.

Zloděj bude minimálně potřebovat číslo vaší kreditní karty, datum vypršení platnosti a číslo CVV (Card Verification Value). To jsou minimální tři požadavky pro použití kreditní karty. Existují však způsoby, jak mohou zloději zvýšit hodnotu údajů o vaší kreditní kartě při dalším prodeji.

Aby zloděj získal za svou dávku kreditních karet tu nejlepší cenu, zkontroluje všechny ukradené kreditní karty prostřednictvím „kontrolních“ systémů, které ověří, zda je karta stále aktivní. Tyto systémy provádějí to, co vypadá jako malé, neškodné nákupy, které příliš nevyčerpají zbývající kreditní limit, ale také potvrzují, že karta nebyla zrušena.

Když to vezmeme ještě o krok dále, balíčky plných osobních údajů mají větší hodnotu než jen funkční číslo kreditní karty. Pokud je zloděj schopen ukrást o vás podrobné osobní údaje, aby umožnil kupujícímu ukrást vaši identitu, vyplatí se to ještě víc. Nejcennější dávky údajů o kreditních kartách obvykle obsahují dostatek informací, aby kupující mohl zcela převzít totožnost právoplatných vlastníků, nebo alespoň dostatek informací k tomu, aby provedl věci, jako je přesměrování pošty vlastníka jako první krok při krádeži jeho identity.

Stojí za zmínku, že existuje významný rozdíl v tom, jak se nakládají s podvodnými poplatky při použití kreditní karty a při použití bankovní debetní karty. V druhém případě je zákazník obvykle odpovědný za jakoukoli podvodnou činnost a má malou nebo žádnou možnost získat zpět své peníze, protože jsou již utraceny v okamžiku uskutečnění transakce. Na druhé straně kreditní karty mají společnost vydávající kreditní kartu jako zprostředkovatele, takže společnost vydávající kreditní karty má tendenci nést odpovědnost za podvodnou činnost. Zákony ve vaší zemi a postupy vaší banky se mohou lišit.

jak se to dělá?

Jako u každé operace jsou preferovány metody, které poskytují nejvyšší míru návratnosti. V pořadí důležitosti jsou hlavními kritérii, která určují hodnotu odcizených údajů o kreditní kartě:

• doba platnosti:karty nesmí být zrušeny a musí mít určité povolení
• hlasitost: jedna kreditka za tolik nestojí. Čím více tím lépe
• úvěrový limit: karty s vyšší hodnotou mají větší hodnotu. Údaje o kartách odcizené z míst, kde se shromažďují lidé s vyššími příjmy, mají pravděpodobně větší hodnotu

Preferované metody krádeže se zaměří na nejlepší kombinaci těchto tří kritérií. Následují některé z běžnějších způsobů krádeže kreditních karet.

Porušení dat na webových stránkách

Úspěšný úniky dat na webových stránkách začněte objemem. Špatně zabezpečené webové stránky mohou umožnit odcizení tisíců, možná desetitisíců kreditních karet najednou. Odtud lze stanovit další dvě kritéria: kolik je platných a kolik patří k vysoce hodnotným vlastníkům.

Narušení webových stránek z vysoce profilovaných webových stránek je obvykle těžší než krádež z webových stránek jednorázových menších dodavatelů, ale většina porušení webových stránek má jednu věc společnou. Webové stránce může chvíli trvat, než zjistí, že došlo k porušení, pokud to vůbec zjistí. Pokud majitelé webových stránek zjistí, že weby byly narušeny, obvykle dojde ke zpoždění, než bude odhalen rozsah narušení a budou zaslána oznámení dotčeným zákazníkům. Když se všechna tato zpoždění dají dohromady, narušení webových stránek je atraktivní, protože si zloděj může dovolit dlouhou dobu na to, aby prodal karty dříve, než je vůbec známo, že byly ukradeny.

Skimming karet

Skimming kreditních karet není stejný jako stará technika. Tento typ skimmingu se týká připevnění nějakého druhu mechanického zařízení přes legitimní čtečku karet pro záznam údajů o kreditní kartě. V zemích s technologiemi je také obvykle nastavena kamera pro záznam zadání PIN.

Aaron Poffenberger,
https://www.flickr.com/photos/27047834@N02/5562783372

Jakmile je karta jednou, existuje několik způsobů, jak ji použít. Již bylo shromážděno dostatečné množství informací, takže kartu lze použít online nebo v jiných situacích bez kódu PIN. Pokud je shromážděn také PIN, pak mohou být karty a legitimně vypadající kreditní karty naprogramované s funkčními údaji o kreditních kartách mohou být vytvořeny a prodány.

Zloději, kteří používají skimmer, svá zařízení obvykle po krátké době odstraňují. Pokud je skimmer objeven, pak je obvykle možné určit časový rámec, kdy byl nasazen. Odtud může společnost vydávající kreditní karty zrušit a nahradit karty, které byly na daném místě v daném časovém rámci použity. Tím by byla celá várka karet bezcenná.

Skimmery jsou obvykle nasazovány na strojích v oblastech s malým lidským dohledem. Plynové pumpy, izolované prodejní automaty a myčky aut jsou zralým cílem pro skimmery. Velmi atraktivní oblasti, o kterých je známo, že jsou monitorovány kamerami nebo bezpečnostním personálem, jako jsou bankovní automaty, jsou méně pravděpodobné, že budou využívány pro operace skimmingu.

Ruční kopírování informací o kopii

Cíl ručního kopírování dat kreditní karty je stejný jako skimming, ale není zapojen žádný stroj. Nejlepším prostředím pro ruční kopírování jsou místa, kde očekáváte, že vám bude na krátkou dobu odebrána vaše kreditní karta, například při placení účtu v restauraci. Během těchto několika okamžiků může server zkopírovat číslo vaší kreditní karty, expiraci a CVV, než vám kartu vrátí.

Ruční kopírování nefunguje velmi dobře v zemích, které mají široké nasazení čipových a PIN karet, protože server by neměl snadný přístup k vašemu PIN v době kopírování. Nejlepším případem je pokusit se sledovat, jak zákazník zadává svůj PIN, a následně jej zaznamenat.

Telefonické a e-mailové podvody

Někdy mohou fungovat podvody s nižšími technologiemi, zejména proti lidem, kteří nemají tendenci tolik používat internet. Typický telefonní podvod bude mít stejné znaky jako podvod e-mailový podvod . Podvodník si udělá obrázek, že se stane nějaká špatná věc, pokud okamžitě nezaplatíte nějakou částku peněz, samozřejmě pomocí vaší kreditní karty.

Většina podvodů bude fungovat po telefonu nebo e-mailu a může zahrnovat sliby věcí, jako jsou:

• Levné dovolené, které vyžadují okamžitou platbu, abyste si zajistili své místo
• Charita tahající za nitky vašeho srdce, aby zastavila nějaké hrozné zvěrstvo
• Nabízí nákup běžně nedostupných léků nebo léků za výrazně zvýhodněnou sazbu
• Právní nebo zatčení hrozby ze strany vládních agentur

Telefonní podvodníci se během hovoru pokusí získat informace o vaší kreditní kartě. E-mailové phishingové podvody jsou o něco podrobnější v tom, že budou obsahovat odkaz na realisticky vypadající platební stránku v naději, že tam půjdete a zadáte své citlivé údaje o kreditní kartě.

Co dělá průmysl pro řešení tohoto problému?

Dosud největším pokrokem v zabezpečení karet je EMV, popř.

Původně potřebovali obchodníci ke zpracování prodeje pouze zachytit podpis zákazníka. Tato směšná míra bezpečnosti existovala po mnoho desetiletí a v některých zemích existuje dodnes. Moderní zpracovatelé plateb vydávají karty se zašifrovanými čipy a mohou vyžadovat, aby majitel karty pro nákup zadal PIN. Integrovaný čip na kartě generuje jednorázové kódy pro každou transakci . I kdyby bylo možné obsah čipu zkopírovat, zkopírovaný kód transakce, který čip vygeneroval, by nebyl platný pro následné prodeje.

Tyto typy kreditních karet se nazývají EMV karty, což znamená Europay, Mastercard a Visa; tři zakládající partneři standardu. Hovorově jsou tyto karty známé jako čipové a PIN karty, ačkoli čipové a podpisové karty existují pro oblasti s méně technologiemi. Karty EMV stále mají na zadní straně magnetický proužek, stejně jako karty před EMV pro zpětnou kompatibilitu. Jsou stroje, které neumí EMV zpracovat a stroje se občas porouchají, takže magnetický proužek bude pravděpodobně ještě nějakou dobu existovat.

Prodejci, kteří plně implementovali karty EMV, budou moci zpracovat prodej kreditní kartou až poté, co zákazník zadá svůj PIN. V těchto případech jsou karty EMV neodmyslitelně chráněny proti historickým metodám krádeže, jako je odcizení z poštovních zásilek. Dokonce i počáteční kódy PIN zaslané s novými kartami jsou odeslány jinou poštou, což vyžaduje, aby zloděj několik dní udržoval kontrolu nad poštovní poštou oběti. Ne všichni prodejci však plně implementovali část „PIN“ části „Čip a PIN“. Nejpozoruhodnější je, že Spojené státy stále ještě široce nepřijaly zadávání PIN pro karty EMV a stále používají podpisy pro většinu transakcí.

Čip EMV spolu s rozšířením bezdrátových platebních terminálů v restauracích také snížil počet případů, kdy karta opustí zrak majitele karty, což pomáhá snížit příležitost pro ruční kopírování.

EMV karty jsou také odolné vůči mechanickému skimmingu. Údaje o kreditní kartě jsou zakódovány na magnetickém proužku a lze je zkopírovat skimmerem, ale šifrovaná data z čipu zkopírovat nelze. To zvyšuje složitost skimmingového útoku, protože útočník musí nejen připevnit nenápadný skimmer, ale také musí nasadit kameru nebo jinou metodu k zachycení PIN. Každý další kus vybavení zvyšuje riziko odhalení.

Přesto existuje obrovský trh pro transakce Card Not Present (CNP). Jedná se o transakce kreditní kartou jakéhokoli typu, kdy karta není v místě prodeje. Internetový a telefonní prodej jsou nejběžnější příklady transakcí CNP. Protože karta není přítomna, není možné zadat PIN, takže transakce je zpracována pouze pomocí čísla karty, data vypršení platnosti a CVV. Někteří prodejci, kteří zpracovávají prodeje CNP, se snaží snížit riziko tím, že shromažďují další informace, jako je dodací adresa, které pak přiřazují k fakturační adrese karty. Někteří vydavatelé karet vytvořili programy, ve kterých musí držitel karty dokončit samostatný krok online na stránce vydavatele karet. Tyto programy jsou však stejně neohrabané jako původní metody ověřování kreditních karet z minulých let a nezískaly příliš velkou pozornost. To znamená, že EMV karty lze stále používat prakticky neomezeně online.

Jak se mohu chránit?

Většina z nás pravděpodobně netráví mnoho času obavami z krádeže kreditní karty. Od října 2015, pokud dojde k podvodu s kreditními kartami v USA, za ztrátu ponese odpovědnost strana, která je nejméně v souladu s EMV a tato strana by nikdy nebyla držitelem karty. Vydavatel karty by musel prokázat nedbalost nebo spoluúčast, aby přenesl odpovědnost na držitele karty, což je velmi obtížné. Proto se může zdát, že nejhorším výsledkem je zůstat několik dní bez kreditní karty, zatímco bude nahrazena. Ve skutečnosti mohou být údaje o vaší kreditní kartě cennější jako opora ve vašem životě jako první krok ke krádeži vaší identity.

Prvním krokem je pokusit se krádeži předejít. Při používání kreditní karty na internetu se ujistěte, že ji zadáváte pouze prostřednictvím šifrovaného připojení HTTPS ve webovém prohlížeči. Zatímco ne všechna připojení HTTPS ručí za důvěryhodnost webu, bude alespoň chránit vaše data před odcizením při přenosu přes internet na cestě na webovou stránku. Mimo internet si dávejte pozor na skimmery. Při vkládání karty do jakéhokoli stroje se na ni podívejte, zda nevypadá divně. I když nikdo z nás přesně neví, jak vypadá každý stroj na kreditní karty na této planetě, mohou existovat určité známky toho, že se strojem bylo manipulováno. Sloty na karty se špatně padnoucími rámečky, uvolněnou páskou a nedbale vyrobenými štítky s instrukcemi, to vše jsou známky potenciálního skimmingu.

Aaron Poffenberger, https://www.flickr.com/photos/dabdiputs/5713351185

I když byly informace o vaší kartě přečteny, aniž byste o tom věděli, stále existují kroky, kterými se můžete chránit.

Nejúčinnější metody shromažďování velkého počtu kreditních karet netelegrafují, že vaše karta byla ukradena. Narušení webových stránek a mechanické skimmery tajně kradou informace o vaší kreditní kartě a pravděpodobně nebudete vědět, že se to vůbec stalo. Zloděj však bude chtít vaši kartu ověřit, aby zvýšil její hodnotu na trhu dalšího prodeje. To se obvykle provádí vložením malého poplatku na kartu, což je varovné znamení. Pokud vidíte malý poplatek, který nepoznáváte, může se jednat o ověření. V takovém případě budete chtít kontaktovat společnost, která vydala vaši kreditní kartu, a nahlásit to.

Průběžná kontrola zůstatku a transakcí na vaší kreditní kartě může být časově náročná. Některé společnosti vydávající kreditní karty nabízejí možnost nastavit upozornění na transakce. Neexistuje žádný standard pro typy upozornění, které může společnost vydávající kreditní karty nabídnout, ale pokud jste schopni nastavit oznámení o transakcích, můžete vás předem upozornit na problém. Pamatujte, že poplatky za ověření jsou obvykle nízké, proto nastavte upozornění tak, aby se spouštěla ​​u všech transakcí, nikoli pouze u transakcí s vyšší hodnotou. Někteří vydavatelé kreditních karet začínají nabízet dvoufaktorové ověřování všech transakcí. To znamená, že po dokončení transakce na terminálu obdržíte textovou zprávu s potvrzením platnosti transakce, než bude připsána na váš účet. To může pomoci v boji proti podvodům CNP, kde PIN není proveditelné bezpečnostní opatření a měli byste jej povolit, pokud jej vaše karta nabízí.

A konečně, mějte na paměti, že žádná legitimní banka nebo vládní úřad vám nebude volat a žádat o informace o vaší kreditní kartě po telefonu. Buďte velmi opatrní při poskytování tohoto typu informací po telefonu a udělejte to pouze tehdy, když jste si stoprocentně jisti identitou osoby, se kterou mluvíte. Dobrou taktikou je požádat o číslo, abyste dotyčnému zavolali zpět. Podvodník obvykle nebude ochoten poskytnout takové číslo, v takovém případě si můžete být téměř jisti, že se jedná o podvod. Pokud poskytnou číslo, zavěste a vyhledejte toto telefonní číslo pomocí internetového vyhledávače, jako je Google. Pravděpodobně budete schopni velmi rychle zjistit, zda toto číslo patří organizaci, ze které osoba údajně pochází, a také můžete zjistit, že číslo bylo dříve použito při podvodech. Pokud nemůžete najít žádné informace o čísle, znamená to, že se jedná o podvod.

Co mám dělat, když mi byla karta odcizena?

Jakékoli podezření nebo skutečný podvod s kreditní kartou nahlaste co nejdříve vydavateli karty. Obvykle vám kartu okamžitě zruší a vymění. Předejdete tak dalším podvodným poplatkům. Ve většině případů vydavatel kreditní karty po vyšetřování také zruší podvodné poplatky.

Dalším krokem je kontaktovat příslušný úvěrový úřad nebo úřady ve vaší zemi a nahlásit krádež vaší karty. Zatímco úvěrové kanceláře nemohou udělat mnoho pro výměnu vaší karty nebo vrácení peněz za podvodné nákupy, mohou do vašeho souboru umístit upozornění na podvod. To může pomoci, pokud proti vám dojde k dalšímu podvodu s identitou v důsledku krádeže kreditní karty.

Jakmile se postaráte o okamžitý problém, nahlaste podvod orgánům příslušné země. To může pomoci ověřit krádež a vydavatel vaší kreditní karty může v rámci vyšetřování vyžadovat policejní zprávu.

Ve všech zemích nahlaste podvod s kreditní kartou místní policii. Krádeže a podvody kreditních karet jsou trestné činy a vaše místní policie podá zprávu a v budoucnu zakročí.

ve Spojeném království Action Fraud také vezme vaši zprávu o podvodu , ale není jasné, co s těmito informacemi dělají. Můžete to také nahlásit místní policii.