Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Bezpieczeństwo a la carte

Tagi:

Magnus Kalkuhl

Nie tak dawno temu na całym świecie płaciło się gotówką. Potem swój triumfalny pochód rozpoczęła karta kredytowa. W końcu płacenie przez Internet nie wymaga dokumentu tożsamości ze zdjęciem czy podpisu, a jedynie numeru karty kredytowej. Dla sklepów internetowych nie ma żadnego znaczenia, czy numery te znajdują się na karcie użytkownika czy na nielegalnej stronie WWW.

Naturalnie wykorzystuje to podziemie przestępcze. W zeszłym roku firma Card Systems trafiła do czołówek gazet, po tym jak luka w zabezpieczeniu systemu płatności została wykorzystana do kradzieży danych dotyczących 40 milionów kart kredytowych. W czasie gdy Ty przebywasz na wakacjach, ktoś może użyć czytnika kart nie tylko do przeprowadzenia transakcji, ale również do zarejestrowania wszystkich danych dotyczących Twojej karty kredytowej, aby wykorzystać je do przyszłych nadużyć. Po powrocie do domu możesz przeżyć nieprzyjemny szok, gdy stwierdzisz, że Twoja karta została obciążona wydatkami, za które nie jesteś odpowiedzialny. Jak pokazuje incydent sprzed dwóch lat, gdy w Niemczech aresztowano ośmioosobową grupę, która w restauracjach kopiowała dane dotyczące kart kredytowych, nie musisz nawet spędzać wakacji w państwie, gdzie kradzież takich danych jest szczególnie rozpowszechniona. Co więcej, do tego typu kradzieży można wykorzystać programy spyware, ataki phishing oraz socjotechnikę. Możliwości kradzieży danych dotyczących kart kredytowych są liczne.

Ludzie, którzy kradną dane dotyczące kart kredytowych, zazwyczaj sami ich nie wykorzystują. Zamiast tego tworzą większe "pakiety" danych, które sprzedają w cenie około dolara za pakiet. Cena ta wydaje się niska, jednak sprzedawca ponosi mniejsze ryzyko niż kupujący. Nabywca takich danych dokonuje drobnych zakupów przy pomocy wielu kart (aby zminimalizować ryzyko zostania złapanym) albo maksymalnie wykorzystuje jedną kartę. W wielu przypadkach wydawcy kart kredytowych okazują ofiarom kradzieży wyrozumiałość.

Najnowszy incydent

4 sierpnia 2006 roku firma Kaspersky Lab natrafiła na rosyjską stronę zawierającą skradzione dane dotyczące kart kredytowych. Było tam około 300 kompletów danych; niektóre z nich dostępne były już od dłuższego czasu, jednak w dniu, w którym odkryliśmy tę stronę, dodano 60 nowych. Oczywiście jest to nic w porównaniu z 40 milionami numerów kart skradzionych w zeszłym roku. Z drugiej strony, dane na tej stronie oferowane są za darmo. Poza tym dla ofiary kradzieży nie ma żadnej różnicy, czy jest jedną z 300 czy 40 milionów.

Aby sprawdzić autentyczność tych danych, skontaktowaliśmy się z jedną z niemieckich ofiar kradzieży. Osoba ta zauważyła 15 maja, że jej karta kredytowa została obciążona kwotą 10 euro za zakup, którego nie dokonała. Dane dotyczące tej karty zostały opublikowane na stronie 26 maja, od tego czasu przy jej pomocy dokonano innych zakupów. Osoba ta zablokowała kartę, a Mastercard był na tyle uprzejmy, że zwrócił jej poniesione straty.

Ofiara wyjaśniła, że zazwyczaj nie wykorzystuje karty kredytowej do robienia zakupów poprzez Internet. Jednak w maju pojechała na wakacje do Czech, gdzie używała karty w restauracjach oraz przy kupowaniu benzyny; z dat dokonania oszukańczych transakcji jasno wynikało, że dane dotyczące karty kredytowej zostały skradzione.

Format danych dotyczących innych kart kredytowych na tej stronie wskazywał na to, że pochodzą one z baz danych. Ofiarami byli nie tylko klienci Mastercard, ale również posiadacze kart Visa, American Express oraz Discovery, łącznie z niektórymi posiadaczami karty Platinum Card.

Ciekawostką jest to, że wiele wpisów na stronie ponumerowanych było sześciocyfrowymi liczbami. Wygląda na to, że opublikowane na niej dane stanowiły tylko niewielką część o wiele większej kolekcji zawierającej ponad 100 000 kompletów danych. Wiele z kart ma ważność do 2008 roku, stąd wniosek, że dane te są aktualne.

Obecna sytuacja

O całej sprawie zawiadomiliśmy władze w Niemczech, Stanach Zjednoczonych i Rosji. Amerykańskie przedstawicielstwo Kaspersky Lab skontaktowało się z Visa i Mastercard. Jak pisaliśmy już w Dzienniku Analityków, komunikacja z władzami nie przebiegała tak gładko, jak tego chcielibyśmy czy wyobrażaliśmy sobie.

Wiele pytań pozostało bez odpowiedzi. Skąd pochodziły te dane? Czy właściciele strony sami je ukradli? Czy naprawdę mieli dostęp do dużej kolekcji danych dotyczących kart kredytowych? Jeżeli tak, ofiarą padło więcej posiadaczy kart kredytowych, którzy nie zdają sobie z tego sprawy.

Początkowo zamierzaliśmy opublikować szczegóły incydentu wkrótce po opublikowaniu naszego bloga. Jednak władze wciąż badają tę sprawę, nie chcemy więc zaszkodzić dochodzeniu poprzez przedwczesne ujawnienie informacji. Z tego powodu artykuł ten nie zawiera żadnych zrzutów ekranów.

Jak można się zabezpieczyć?

Okoliczności pojawienia się tej wątpliwej strony być może są interesujące, jednak dla osób korzystających z kart kredytowych ważne jest, w jaki sposób mogą zabezpieczyć się i zapobiegać pojawieniu się ich danych w podobnych zestawieniach.

Możliwości nadużyć są liczne, równie długa jest lista możliwych kroków, które należy podjąć, aby się przed nimi chronić. Oto niektóre z nich:

  • Instaluj na komputerze oprogramowanie antywirusowe oraz zaporę ogniową.
  • Nie otwieraj załączników wiadomości z nieznanych źródeł - nawet jeśli wiadomość wydaje się pochodzić od eBaya, Twojego operatora telefonicznego, banku itd., zachowaj ostrożność.
  • Zawsze niezwłocznie instaluj łaty usuwające luki w zabezpieczeniach systemu operacyjnego i użytkowanych aplikacji.
  • Podczas dokonywania zakupów przez Internet korzystaj z karty kredytowej tylko wtedy, gdy sklep oferuje bezpieczne połączenie (SSL). Kupuj w sklepach online, które są na tyle znane, że będą chciały uniknąć negatywnego rozgłosu (chociaż nie gwarantuje to oczywiście 100% pewności).
  • Pilnuj swojej karty kredytowej. Jeśli komuś uda się spisać dane dotyczące Twojej karty, dowiesz się o tym dopiero przy okazji otrzymania następnego wyciągu.
  • Bądź ostrożny na urlopie - czeki podróżne czy gotówka są bezpieczniejsze, szczególnie gdy jesteś w kraju, gdzie kradzież tego typu danych jest rozpowszechniona. Twoje dane mogą zostać skopiowane na stacji benzynowej, w restauracji czy sklepie, nie wzbudzając Twoich podejrzeń.
  • Po powrocie z wakacji czy zakupach przez Internet dokładnie sprawdź wyciągi z karty kredytowej - osoby wykorzystujące Twoje dane - aby nie wydać się - mogą dokonywać tylko drobnych zakupów.
  • Natychmiast skontaktuj się z wydawcą swojej karty i poproś o zablokowanie, jeśli ją zgubisz lub uważasz, że dane dotyczące Twojej karty zostały skradzione.

Wniosek

Handel elektroniczny istnieje już od wielu lat, mimo to związek między kartami kredytowymi a Internetem nie należy do najłatwiejszych. To, czy dane dotyczące karty kredytowej zostały skradzione przez Internet czy opublikowane na stronie WWW, tak naprawdę ma znaczenie drugorzędne. Najważniejsze jest to, że dane dotyczące karty kredytowej mogą zostać skradzione. Opisywany incydent nie jest pierwszym tego typu przypadkiem i z pewnością nie ostatnim - przynajmniej jeśli chodzi o najbliższą przyszłość.

Po opisaniu incydentu otrzymaliśmy wiele maili od osób, których karty kredytowe zdawały się żyć własnym życiem. Niekoniecznie było to związane ze znalezioną przez nas stroną. Raczej świadczyło o tym, że ofiary nie wiedziały, w jaki sposób skradziono ich dane.

Tak długo jak wydawcy kart kredytowych będą tolerancyjni wobec swoich klientów, posiadacze kart nie będą ponosili znaczących strat w przypadku kradzieży ich danych. Jednak straty te będą miały wpływ na koszty usługi, które zostaną ostatecznie poniesione przez klientów. Chociaż skradzione karty można zablokować, jest to niewielka pociecha dla posiadacza karty, który wie, że jego adres domowy został opublikowany na stronie odwiedzanej przez przestępców. Zablokowanie karty jest jedynie rozwiązaniem tymczasowym; zarówno dla posiadacza jak i wydawcy karty.

Jak już pisaliśmy, firma Kaspersky Lab przesłała władzom wszystkie istotne informacje i sprawa znajduje się teraz w ich rękach. Miną jednak dni, jeśli nie miesiące, zanim ostatecznie zostanie rozwiązana: będziemy informowali Was na bieżąco.