pristupne podatke koji su fišingom ukradeni putem interneta ili telefona. Čuvanje kartice
blizu telefona ponekad je dovoljan razlog da ostanete bez novca.
Sigurnost platnih kartica se konstantno poboljšava, ali napadači stalno pronalaze nove
načine da ukradu novac. Nekada su, nakon što bi prevarili žrtvu da preda podatke sa
kartice na lažnoj onlajn prodavnici ili putem druge prevare, sajber kriminalci pravili
duplikat kartice upisivanjem ukradenih podataka na magnetnu traku. Takve kartice su
se zatim mogle koristiti u prodavnicama, pa čak i na bankomatima bez problema.
Pojava čip kartica i jednokratnih lozinki (OTP, one time password) značajno je otežala
posao prevarantima, ali su se oni prilagodili. Prelazak na mobilna plaćanja putem
pametnih telefona povećao je otpornost na neke vrste prevara, ali je takođe otvorio
nove prilike za njih. Sada, nakon što ukradu broj kartice, prevaranti pokušavaju da je
povežu sa sopstvenim Apple Pay ili Google Wallet nalogom. Kada to urade, koriste ovaj
nalog sa pametnog telefona da plate robu koristeći karticu žrtve, bilo u regularnoj
prodavnici ili na lažnom prodajnom mestu sa NFC terminalom.
Kako se podaci sa kartice kradu putem fišinga
Internet je preplavljen mrežom lažnih veb sajtova čiji je cij fišing, tj. krađa podataka sa
platnih kartica. Ovi sajtovi mogu imitirati usluge dostave, velike onlajn prodavnice, pa
čak i portale za plaćanje komunalnih računa ili saobraćajnih kazni. Sajber kriminalci
takođe kupuju desetine pametnih telefona, prave Apple ili Google naloge na njima i
instaliraju aplikacije za beskontaktna plaćanja.
Kada žrtva bude namamljena na sajt, od nje se traži da poveže svoju karticu ili izvrši
obavezno malo plaćanje. Ovo zahteva unos podataka o kartici i potvrdu vlasništva
kartice unosom OTP koda. U ovom trenutku se novac još uvek ne skida sa kartice.
Zapravo, podaci žrtve se gotovo odmah prenose sajber kriminalcima, koji povezuju
karticu sa mobilnim novčanikom na svom pametnom telefonu. OTP kod je potreban
da bi se autorizovala ova operacija. Da bi ubrzali i pojednostavili proces, napadači
koriste specijalan softver koji uzima podatke koje je žrtva unela i generiše sliku kartice
koja joj savršeno odgovara. Nakon toga, dovoljno je samo da se uslika ova slika
koristeći Apple Pay ili Google Wallet. Tačan proces povezivanja kartice sa mobilnim
novčanikom zavisi od konkretne zemlje i banke, ali obično nije potrebno ništa osim broja
kartice, datuma isteka, imena vlasnika kartice, CVV/CVC koda i OTP-a. Svi ovi podaci
mogu biti ukradeni u jednoj sesiji i odmah upotrebljeni.
Stručnjaci kompanije Kaspersky su otkrili i dodatne trikove koje sajberkriminalci koriste
kako bi bi napadi bili još efikasniji. Prvo, ako žrtva posumnja pre nego što pritisne
dugme "Pošalji", svi podaci koji su već uneseni ipak se prosleđuju kriminalcima — čak i
ako je to samo nekoliko karaktera ili nepotpun unos. Drugo, lažni sajt može prijaviti da
je uplata neuspešna i podstaknuti žrtvu da pokuša sa drugom karticom. Na taj način,
kriminalci mogu ukrasti podatke za dve ili tri kartice u jednom pokušaju.
Novac sa kartice se ne skida odmah a mnogi ljudi, ne videvši ništa sumnjivo u izvodu iz
banke, zaborave na ceo incident.
Kako se novac krade sa kartica
Sajber kriminalci u nekim slučajevima povežu desetine kartica sa jednim pametnim
telefonom i ne potroše odmah novac sa njih. Ovaj pametni telefon, pun brojeva kartica,
zatim se preprodaje na dark vebu. Često prođe nekoliko nedelja, pa čak i meseci
između fišinga i potrošnje. Ali kada taj neprijatan dan konačno dođe, kriminalci mogu
odlučiti da kupe luksuzne predmete u prodavnici jednostavno obavljanjem beskontaktne
transakcije sa telefona punog ukradenih brojeva kartica. Takođe, mogu postaviti svoju
lažnu prodavnicu na legitimnoj platformi za elektronsku trgovinu i naplatiti novac za
nepostojeće proizvode. Neke zemlje čak omogućavaju podizanje gotovine sa
bankomata pomoću pametnog telefona sa NFC podrškom. U svim gore navedenim
slučajevima, nije potrebna potvrda transakcije putem PIN-a ili OTP-a, tako da novac
može biti preusmeren dok žrtva ne blokira karticu.
Kako možete da izgubite novac prislanjanjem kartice na telefon
Krajem 2024. godine, stručnjaci kompanije Kaspersky otkrili su prevaru koja
zloupotrebljava NFC tehnologiju za krađu novca sa računa povezanih sa karticom. U
ovoj prevari, od žrtava se ne traže podaci sa kartice. Umesto toga, napadači ih
društvenim inženjeringom navode da instaliraju navodno korisnu aplikaciju na svom
pametnom telefonu, pod izgovorom administrativne, bankarske ili druge usluge. Žrtva
zatim bude upitana da prinese svoju karticu na telefon i unese PIN kod za „autorizaciju“
ili „verifikaciju“. Instalirana aplikacija, naravno, nema nikakve veze sa svojim opisom. U
prvom talasu ovih napada, žrtvama je očitavana kartica kada je bila prislonjena uz
pametni telefon i prenosila podatke zajedno sa PIN kodom napadačima koji su ih
koristili za kupovinu ili podizanje gotovine sa bankomata koji podržavaju NFC.
Kako zaštititi kartice od prevaranata
Stručnjaci kompanije Kaspersky izdvojili su nekoliko osnovnih saveta i koraka koje
korisnici mogu preduzeti kako bi se zaštitili:
Koristite virtuelne kartice za onlajn plaćanja. Nemojte držati velike iznose novca
na njima i dopunite ih samo neposredno pre onlajn kupovine. Ako vaš izdavalac
kartice to omogućava, onemogućite oflajn plaćanja i podizanje gotovine sa takvih
kartica.
Nabavite novu virtuelnu karticu i blokirajte staru barem jednom godišnje.
Za oflajn plaćanja, povežite drugu karticu sa Apple Pay, Google Wallet ili
sličnom uslugom. Nikada ne koristite ovu karticu onlajn, a ako je to moguće,
koristite mobilni novčanik na vašem pametnom telefonu prilikom plaćanja u
prodavnicama.
Budite veoma oprezni sa aplikacijama koje od vas traže da prislonite platnu
karticu na pametni telefon, a kamoli da unesete PIN kod. Ako je to aplikacija
banke od poverenja, onda je to u redu. Međutim, ako se radi o nečemu
sumnjivom što ste tek instalirali sa nepoznatog linka van zvanične prodavnice
aplikacija, bolje je da se držite podalje.
Koristite plastične kartice na bankomatima a ne pametni telefon sa NFC
funkcijom.
Instalirajte sveobuhvatno bezbednosno rešenje na sve računare i pametne
telefone kako biste minimizovali rizik od posete fišing sajtovima i instalacije
zlonamernih aplikacija.
Omogućite opciju Safe Money, koja je dostupna u svim Kaspersky
bezbednosnim rešenjima, kako biste zaštitili finansijske transakcije i onlajn
kupovine.
Aktivirajte najbrža moguća obaveštenja o transakcijama (SMS i push) za sve
platne kartice i odmah kontaktirajte banku ili izdavaoca ako primetite bilo šta
sumnjivo.