Ciekawy atak na właścicieli kart płatniczych, przestępcy wyrywają z nich chip

Dostałeś nową kartę z banku pocztą? Dokładnie ją sprawdź przed aktywacją, ostrzega Secret Service. Przestępcy wpadli na nową metodę kradzieży pieniędzy z kart, które do właścicieli docierają pocztą. I — nie mówimy tego często — ta metoda budzi nas podziw. Suszarka w dłoń

Kradzież jest tak prosta, że aż dziw, że dopiero teraz ktoś wpadł, aby tak okradać właścicieli kart płatniczych. Cały trik polega na:

  • 1. Przechwyceniu koperty, w której bank wysyła ofierze nową kartę płatniczą
    2. Otworzenia koperty i podmianie chipa na karcie (można go łatwo wyjąć, jedna z metod, to podgrzanie go suszarką)
    3. Włożenia na miejsce oryginalnego chipa, chipa z innej, nieważnej karty
    4. Odłożenia karty do koperty, zaklejenia jej i umieszczenia z powrotem w skrzynce ofiary
    5. Poczekania aż ofiara aktywuje swoją kartę.

I tu zatrzymajmy się na chwilę i opiszmy na czym polega aktywacja karty. W większości banków trzeba zalogować się na swoje konto internetowe, a następnie w zakładce “karty płatnicze” wpisuje się numer karty i nadaje się jej nowy PIN. Tyle. Od teraz karta jest ważna i można nią wykonywać płatność.

Oczywiście, w przypadku ofiary takiego ataku, pomimo aktywacji karty, ofiara nie będzie w stanie wykonać nią żadnej transakcji w sklepie, ponieważ terminal odczyta podmieniony chip włożony w kartę przez przestępcę, do którego PIN ustanowiony przez ofiarę nie będzie pasował. Co ciekawe, ofiara może z tej karty korzystać w bankomatach, przynajmniej w Polsce, ponieważ część z nich bazuje na pasku magnetycznym — a ten pozostaje w tym ataku oryginalny.

Kradzież w Polsce nie będzie łatwa, chyba, że…

No dobra, a jak przestępca wyciąga kasę z oryginalnego chipu, skoro nie zna PIN-u online jaki został do niego przypisany? Otóż okazuje się, że w USA, w przeciwieństwie do Europy, możliwe są wciaż operacacje CHIP & sign (czyli użycie karty chipowej, ale autoryzowanie transakcji podpisem, nie PIN-em). I dlatego właśnie ostrzeżenie o tym ataku wydałyamerykańskie służby. Innymi słowy, ten atak wydaje się być zupełnie nie praktyczny w Europie, chyba że……przestępca po prostu odczyta imię, nazwisko, datę ważności i kod CVV2 i zamiast używać niezbyt często spotykanej w Polsce autoryzacji Chip & Sign, danych odczytanych z karty użyje do zakupów przez internet. Nie musi nawet podmieniać chipa.

Polacy też powinni uważać

A więc choć atak jest póki co realizowany tylko na terenie USA, to mimo wszystko dokładnie oglądajcie koperty z kartami, jakie na Wasz adres przesyła bank. I pamiętajcie, aby po aktywacji karty ustawić na niej odpowiednie limity (co do kwoty i liczby transakcji w ciagu dnia i miesiąca) — to jedno z najlepszych działań ograniczających ryzyko negatywnych następstw oszustwa.

Bezpieczeństwu kart płatniczych poświęciliśmy drugi odcinek naszego podcastu “Na Podsłuchu”, więc jeśli jeszcze go nie podsłuchiwałeś, zachęcamy Cię do tego.

Przypominamy też, że jeśli nie korzystacie z danej karty do zakupów przez telefon albo internet, to możecie całkowicie wyłączyć te kanały płatności — i warto to zrobić (zawsze też możecie je z powrotem odblokować, jak przyjdzie taka potrzeba).

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *