Kiberkriminal v Sloveniji (2): zakaj je boljša varnost vzrok za več zlorab bančnih kartic

Slovenske banke so v letu 2011 vpeljale boljše varnostne standarde za preprečevanje zlorab bančnih kartic. A ironično je stranski učinek boljše varnosti več kraj magnetnih zapisov kartic komitentov slovenskih bank.

kreditne
Foto: Sean MacEntee

Uživate na zasluženem in težko prisluženem dopustu v tujini. Ker je dvigovanje s slovensko plačilno kartico na tujih bankomatih že leta zelo enostavno, pa tudi poceni, s seboj nimate veliko gotovine. A nenadoma dobite klic: »Vaša kartica je bila uporabljena na bankomatu, na katerem je bila nameščena naprava za krajo magnetnega zapisa kartice. Zato smo vam kartico preventivno blokirali.«

Dobra namera banke je slaba tolažba za nevšečnosti pri blokadi kartice. Hočeš nočeš je vsako dopustovanje povezano s precejšnjimi izdatki na poti. In, od koga si lahko v tujini sposodite gotovino?

Zgodba ni izmišljena. Nekaj podobnega se je, na srečo v Sloveniji, lani zgodilo piscu teh vrstic. Na novo izdano bančno kartico je treba po osebnih izkušnjah čakati približno dva tedna.

K sreči pa naše banke ob kraji denarja z vašega računa ukradeno v celoti povrnejo. Zloraba kartice s krajo magnetnega zapisa kartice s pomočjo posebne naprave na bankomatu in nato izdelava nove, ponarejene kartice z ukradenim zapisom, je za imetnika torej predvsem nevšečnost. Nevšečnost, ki jo je doživel že marsikdo. Zato se postavlja vprašanje: zakaj so takšne kraje, žargonsko imenovane skimming, mogoče? Oziroma, ali banke storijo dovolj za njihovo preprečevanje?

Pri iskanju odgovora na to vprašanje se izkaže, da smo žrtve skimminga predvsem zaradi slabše varnosti plačilnih sistemov tujih bank. Ponarejenih plačilnih kartic namreč zaradi boljših varnostnih mehanizmov na bankomatih in POS terminalih v Sloveniji ni mogoče uporabiti. Zlikovci lahko kartice Slovencem torej ukradejo in zlorabijo v tujini. Medtem ko so zlorabe tujih kartic na naših bankomatih precej bolj redke.

S skimmingom ukradli slabega pol milijona evrov

Skimming je v Sloveniji pravi razmah doživel leta 2011, ko so zlikovci na bankomate po Sloveniji po podatkih policije namestili kar 42 skimming naprav. Pred tem je bilo kraj magnetnih zapisov kartic le za vzorec, po letu 2011 pa se je številka ustalila pri nekaj deset na leto.

skimming stevilo
Vir: policija

Temu trendu sledi tudi skupna škoda zaradi skimminga. Vodi leto 2011, ko so zlikovci z računov Slovencev ukradli za kar 300.000 evrov. Pred tem letom škode praktično ni bilo. Po tem letu pa zlikovci vsako leto ukradejo nekaj 10.000 evrov.

Postopek skimminga po pojasnilu Davida Gracerja, višjega kriminalističnega inšpektorja iz uprave kriminalistične policije, poteka v več delih. Najprej na bankomat namestijo napravo, ki je zelo podobna maski bankomata. Naprava je sestavljena iz dveh delov – en del storilci pritrdijo pred oziroma v režo, v katero vstavimo kartico v bankomat. Drug del, ki vsebuje kamero, pa je pritrjen v bližini številčnice bankomata zato, da posname PIN številko.

skimming naprava 1
Skimming naprava. Foto: policija

Za tarče si izberejo tiste bankomate, na katerih denar dviguje veliko število ljudi. Tako lahko v čim krajšem času ukradejo čim več magnetnih zapisov plačilnih kartic nič hudega slutečih uporabnikov bankomata. Zato so tarče največkrat bankomati v večjih mestih. V Sloveniji ni nič drugače – daleč največ naprav je bilo po podatkih policije med leti 2009 in 2014 nameščenih v Ljubljani (84), v Mariboru, ki je na drugem mestu, pa že osemkrat manj. Naprave so policisti odkrili še v Celju, Kranju, Murski Soboti, Kopru in Novem mestu.

Zemljevid: število namestitev skimming naprav v slovenskih mestih

Za podrobnosti o namestitvah skimming naprav v posameznih mestih kliknite na oznaku na zemljevidu.

Z napravami preslikane magnetne zapise kartic nato prenesejo na računalnik, jih obdelajo in prekopirajo na magnetne zapise drugih kartic. Nato pa s temi ponarejenimi karticami dvigujejo denar z imetnika računa.

Boljša varnost za več kraj

Do leta 2011 je bilo denar s ponarejenimi karticami moč dvigniti tudi na bankomatih v Sloveniji. Po letu 2011 zaradi izboljšane varnosti to ni več mogoče. »Takrat se je modus operandi storilcev spremenil in zato po tem letu beležimo več nameščanja skimming naprav pri nas,« pojasni kriminalist David Gracer. Precej ironično, torej – zaradi izboljšane varnosti slovenskih kartic in bankomatov smo Slovenci zdaj večkrat tarča skimming napadov, medtem ko je zloraba kartic tujcev pri nas precej težja.

S ponarejenimi bančnimi karticami Slovencev storilci denar tako najpogosteje dvigujejo v državah Indonezije, Daljnega Vzhoda, Latinske Amerike, pa tudi ZDA.  Te države namreč še niso vpeljale obvezne zaščite, ki se imenuje EMV standard.

Za kakšno zaščito gre? Do leta 2011 smo vsi komitenti slovenskih bank dobili nove bančne kartice s čipom na enem koncu. Ponareditev tega čipa ni mogoča. Bankomat in POS terminal v Sloveniji bereta podatke o kartici izključno s čipa na kartici, branje podatkov iz magnetnega traku na spodnji strani kartice pa ni več mogoče. Kartice slovenskih bank imajo magnetni trak tako le še za dvigovanje na tistih tujih bankomatih in POS terminalih, ki še ne znajo brati čipov.

Primerjava bankomata z nameščeno skimming napravo in bankomata brez naprave. Na oko skimming naprave na bankomatu ni moč prepoznati. Foto: policija
Primerjava bankomata z nameščeno skimming napravo in bankomata brez naprave. Na oko skimming naprave na bankomatu ni moč prepoznati. Za povečavo kliknite na sliko. Foto: policija

Precej držav, med njimi tudi ZDA, še ni vpeljalo univerzalne EMV zaščite. Šibkejša zaščita je povezana predvsem z visokimi stroški vpeljave EMV standarda, pojasni David Gracer. »V ZDA imajo toliko tisoč bankomatov, da bi jim vpeljava EMV zaščite predstavljala višji strošek od škode, povzročene z zlorabami kreditnih kartic.«

A slabši varnostni standardi banke v teh državah stanejo. Večina držav je namreč vključena v tako imenovano shemo prenosa odgovornosti med bankami. V kolikor zlikovci kartico komitenta slovenske banke zlorabijo na bankomatu tuje banke, ki nima EMV zaščite, mora vso škodo slovenskemu komitentu poravnati ta tuja banka, pojasni Robert Rakar z NLB.

Edina večja izjema je Indonezija, ki v shemo prenosa odgovornosti ni vključena. Zato indonezijske banke slovenskim v primeru zlorab njihovih kartic ne povrnejo sredstev. A bo po pojasnilih Rakarja tudi Indonezija v roku dveh do treh let vstopila v shemo prenosa odgovornosti.

Shema prenosa odgovornosti tako kaznuje banke, ki ne vlagajo v varnost. Nevšečnosti za slovenske komitente ob blokiranju in menjavi kartic pa seveda ostajajo – če se uporabniki ob dvigovanju denarja na bančnih avtomatih primerno ne zaščitijo.

Skimming je dejavnost organiziranega kriminala

Zaščit pred skimmingom je več vrst. Uporabniku bančnega avtomata na policiji svetujejo, naj z roko potresejo nastavek za kartico na avtomatu. Ker napadalci skimming napravo prilepijo, bi se morala naprava ob malo večjem pritisku odlepiti. A novejše naprave se lahko vstavijo v režo za kartico, zato tresenje tu ne pomaga, pojasnjuje Robert Rakar z NLB. Edina univerzalna zaščita je tako popolno prekritje roke, s katero vpisujete PIN številko, z drugo roko. Če kamera namreč ne posname vpisovanja PIN, potem vaše kartice ni moč zlorabiti.

Nova verzija skimming naprave, ki se vstavi v režo. Foto: policija
Nova verzija skimming naprave, ki se vstavi v režo. Foto: policija

Proti zlorabam se borijo tudi banke in policija. Banke lahko k manj zlorabam pripomorejo predvsem z vgrajevanjem posebnih naprav, ki motijo signal pri preslikovanju magnetnega zapisa. Obstajajo pa še druge vrste zaščit, ki so skrite v bankomatu.

Po pojasnilih Roberta Rakarja so z zaščito proti skimingu opremljeni praktično vsi bankomati NLB. Ta zaščita tudi zazna namestitev skimming naprave ter to javi banki in policiji.

Druga obrambna linija pa je računalniško spremljanje dvigov komitentov posamezne banke. Če banka zazna povečanje dvigov slovenskih kartic na enem ali nekaj bankomatih v tujini, uvede preiskavo. »Po navadi se potem ugotovi, da je šlo za skimming,« pove Robert Rakar.

Takrat banke obvestijo policijo. Slednja lahko nato z zasedo počaka na zlikovca ali poskuša vsaj zaseči napravo za njeno preiskavo in ugotavljanje novih načinov za boj proti skimmingu.

Kljub temu ujeti storilca ni tako lahko, kot se morda sliši. »Namestitev naprave traja manj kot minuto. Storilec napravo enostavno prilepi na bankomat,« pove Rakar. Zato lahko napadejo tudi bankomat v poslovalnici banke. In to so v preteklosti že izvedli.

Po namestitvi se storilec po navadi giblje v okolici bankomata, napravo pa odstrani že po par urah. Ker so storilci prispejo iz tujine in gredo takoj po koncu »akcije« iz Slovenije, jih je težko ujeti. Do zdaj je naša policija zaradi skimminga obravnavala bolgarske, romunske, srbske in makedonske državljane. Slovencev pri tem početju (za enkrat) še ni ujela.

Preiskovanje pa otežuje še dejstvo, da je skimming dejavnost organiziranega kriminala. Ne gre torej za par posameznikov, ki bi si sestavili skimming napravo in nato z njo želeli nezakonito zaslužiti. »S skimmingom se na območju Europola ukvarjajo mafijske združbe. Tako pridobljen denar nato porabijo za nakup orožja ali droge. Ugotavljamo namreč, da je mnogo storilcev, ki se ukvarjajo s skimmingom, oziroma njihovih nadrejenih, povezanih tudi z drogo. Torej je skimming le ena veja dejavnosti kriminalnih združb,« pojasni kriminalist Gracer.

Varnost vs. potrošništvo

Zloraba bančnih kartic s skimmigom po pojasnilih policije obsega le polovico zlorab plačilnih kartic. Drugo polovica pa so zlorabe kreditnih kartic pri spletnem nakupovanju. Med leti 2009 in prvo polovico 2014 so po podatkih policije zlikovci na tak način z bančnih računov ukradli 486.000 evrov.

 

Vir: policija
Vir: policija

Storilci lahko pridejo do podatkov o vaši kreditni kartici na več načinov. Najpreprostejši je seveda kraja fizične kreditne kartice. Do podatkov pa se lahko dokopljejotudi z vdorom v informacijski sistem podjetja, ki shranjuje podatke o vaši kartici. Torej v sisteme podjetij, ki se ukvarjajo s spletno prodajo.

Če pri skimmingu banka imetniku kartice povrne ves ukraden denar, pri spletnih zlorabah temu ni tako. Banka se lahko po zakonu odloči, da stranki ne vrne prvih 150 ukradenih evrov do prijave zlorabe kartice. V kolikor je lastnik kartice zlorabo omogočil s »hudo malomarnostjo«, banki ni treba povrniti nobene škode.

Pri zlorabi kreditnih kartic ima Slovenija srečo predvsem zaradi jezika. Spletne trgovine naših podjetij so v slovenskem jeziku, zato se zlikovci po navadi ne ubadajo z vdori vanje oziroma postavljanjem lažnih kopij teh spletnih strani, s katerimi bi lahko pridobili podatke o kreditnih karticah. Zato pa so zaradi velikosti trga in uporabnikov toliko bolj na udaru spletne strani podjetij v angleško govorečih državah oziroma državah s širšim trgom, pojasnjujejo na NLB. Če pri nas zlorabe kartic na spletu predstavljajo polovico zlorab plačilnih kartic, znaša delež v celotni Evropi po podatkih naše policije kar tri četrtine vseh zlorab bančnih kartic.

visa verified
Oznaka Vise, da je stran
zaščitena s 3D secure
Foto: http://www.logoeps.com

Tako kot pri zaščiti proti skimmingu je tudi zaščita proti spletnim zlorabam odvisna od ekonomske računice. Precej spletnih trgovin uporablja tako imenovano 3D secure zaščito, pri kateri mora imetnik kartice poleg podatkov o svoji kreditni kartici vpisati tudi svoje geslo. Če so zlikovci kreditno kartico zlorabili na spletni trgovini brez 3D secure zaščite, mora banka, ki spletni trgovini omogoča kartično plačevanje, imetniku zlorabljene kartice povrniti vso škodo. Zadeva je torej podobna kot pri EMV standardu.

mastercard secure
Oznaka mastercarda, da stran uporablja
3D secure zaščito. Foto: mastercard

Vpeljava 3D secure pa seveda stane. V kolikor so stroški zlorab nižji od vpeljave standarda, spletne trgovine te zaščite ne bodo uporabljale. Zato jih večina tega standarda še nima.

Tako kot pri EMV 3D secure zaščito pospešeno vpeljujejo spletne trgovine v evropskih državah, čez lužo pa interes ni tako velik. »Zgleda, da ima ostali svet drugo računico kot Evropska unija. Tako kot pri EMV standardu tudi 3D secure prva uvaja Evropska unija. Verjetno prav poenotenje standardov v državah članicah pod okriljem EU pomembno pripomore k višji varnosti poslovanja v Uniji,« pojasnjuje Robert Rakar z NLB.

Obstaja še drug razlog za odklanjanje 3D Secure zaščite. Veliki trgovci, kot so Amazon, Ebay, Apple, pa tudi globalni ponudnik plačilnih storitev PayPal, svoj poslovni model v pomembni meri gradijo na enostavnosti plačevanja. Kupec mora zapravljati, zato vsako oteževanje plačevanja ni zaželeno. Tudi vpisovanje dodatnega gesla ob plačevanju s kreditno kartico pomeni dodatno delo za potrošnika – in v tem času si lahko potrošnik premisli in izdelka ne kupi. Boljša varnost tako ne odtehta izgube, ki bi jo ta podjetja (domnevno) imela z oteževanjem plačevanja prek spleta. Po pojasnilu Roberta Rakarja sicer ti trgovci v primeru zlorabe imetniku zlorabljene kartice znesek takoj povrnejo.

Kljub vsemu v Evropi že obstaja dovolj spletnih trgovin, ki uporabljajo sistem 3D secure, pove Rakar. Zato lahko kupci veliko večino izdelkov kupijo tudi v evropskih trgovinah s primerno zaščito, pri katerih je možnost zlorabe izjemno nizka. Evropejcem tako za kupovanje prek nezaščitenih spletnih strani ostaja le en izgovor – lastna lenoba.

Nastanek tega članka ste omogočili bralci z donacijami. Podpri Pod črto

Deli zgodbo 2 komentarja



Več iz teme: Kriminal

S pomočjo podatkov policije in reportaž s terena analiziramo kriminal v Sloveniji.

55 prispevkov

Pogrebniki podjetij pregledno – vsi primeri, ki smo jih preiskali pri Pod črto

Objavljamo pregled vseh primerov delovanja pogrebnikov podjetij, ki smo jih preiskali v okviru projekta Pogrebniki podjetij.

Tema: Kriminal
Članek,

Pogrebniki podjetij v Nivoju: kako opehariti delavce in dobiti državne posle

Medtem ko so delavci celjskega Nivoja ostali brez več sto tisoč evrov prisluženega denarja, posli nekdanjih lastnikov s pomočjo državnih …

Tema: Kriminal
Članek,

2 komentarja

KdoNekiSi 17. 1. 2015, 05.12

ali laho preverite ime gospoda Rakarja?

Mitar 19. 1. 2015, 06.25

Ha? Kaksen sklep pa je to? To pa je cisto zavajajoc naslov. Nismo zaradi vecje varnosti delezni vec skimming napadov, ampak preprosto zato, ker je to vedno bolj razsirjena oblika napada, in naprave za skimming so vedno boljse. V resnici njihov razvoj spodbujajo ravno ZDA in druge drzave, kjer se vedno uporabljajo bancne kartice, ki uporabljajo samo magnetni trak. Tam je skimming mozen. Ce uporablja kartica chip&pin varnost, skimming ni mozen, ampak zares potrebujes samo kartico. V Sloveniji se chip&pin zahteva, a v tujini pa pac se ne in je dovolj le zapis na magnetnem traku. Ampak kako pa pride iz tega do sklepa, da je zaradi tega vec zlorab, pa ni jasno. Korelacija ne pomeni kavzalnosti. Ste primerjali stevilo taksnih napadov v tujini? Mogoce pa jih je tam se vec?

Ce vas zanima vec o skimmerjih, vam priporocam, da si preberete ta super blog:

http://krebsonsecurity.com/all-about-skimmers/

Tam se lepo vidi, da gre za globalen pojav in kako zanimivo napreduje ta tehnologija. Primerjajte tehnologijo 2010 s tehnologijo 2014.

Skratka, prosim, manj pompoznih naslovov, ki bi naj pritegnili bralce. Saj se trudite biti drugacen medij, ne?

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Zadnje objavljeno