Bezpiecze艅stwo a la carte
Nie tak dawno temu na ca艂ym 艣wiecie p艂aci艂o si臋 got贸wk膮. Potem sw贸j triumfalny poch贸d rozpocz臋艂a karta kredytowa. W ko艅cu p艂acenie przez Internet nie wymaga dokumentu to偶samo艣ci ze zdj臋ciem czy podpisu, a jedynie numeru karty kredytowej. Dla sklep贸w internetowych nie ma 偶adnego znaczenia, czy numery te znajduj膮 si臋 na karcie u偶ytkownika czy na nielegalnej stronie WWW.
Naturalnie wykorzystuje to podziemie przest臋pcze. W zesz艂ym roku firma Card Systems trafi艂a do czo艂贸wek gazet, po tym jak luka w zabezpieczeniu systemu p艂atno艣ci zosta艂a wykorzystana do kradzie偶y danych dotycz膮cych 40 milion贸w kart kredytowych. W czasie gdy Ty przebywasz na wakacjach, kto艣 mo偶e u偶y膰 czytnika kart nie tylko do przeprowadzenia transakcji, ale r贸wnie偶 do zarejestrowania wszystkich danych dotycz膮cych Twojej karty kredytowej, aby wykorzysta膰 je do przysz艂ych nadu偶y膰. Po powrocie do domu mo偶esz prze偶y膰 nieprzyjemny szok, gdy stwierdzisz, 偶e Twoja karta zosta艂a obci膮偶ona wydatkami, za kt贸re nie jeste艣 odpowiedzialny. Jak pokazuje incydent sprzed dw贸ch lat, gdy w Niemczech aresztowano o艣mioosobow膮 grup臋, kt贸ra w restauracjach kopiowa艂a dane dotycz膮ce kart kredytowych, nie musisz nawet sp臋dza膰 wakacji w pa艅stwie, gdzie kradzie偶 takich danych jest szczeg贸lnie rozpowszechniona. Co wi臋cej, do tego typu kradzie偶y mo偶na wykorzysta膰 programy spyware, ataki phishing oraz socjotechnik臋. Mo偶liwo艣ci kradzie偶y danych dotycz膮cych kart kredytowych s膮 liczne.
Ludzie, kt贸rzy kradn膮 dane dotycz膮ce kart kredytowych, zazwyczaj sami ich nie wykorzystuj膮. Zamiast tego tworz膮 wi臋ksze "pakiety" danych, kt贸re sprzedaj膮 w cenie oko艂o dolara za pakiet. Cena ta wydaje si臋 niska, jednak sprzedawca ponosi mniejsze ryzyko ni偶 kupuj膮cy. Nabywca takich danych dokonuje drobnych zakup贸w przy pomocy wielu kart (aby zminimalizowa膰 ryzyko zostania z艂apanym) albo maksymalnie wykorzystuje jedn膮 kart臋. W wielu przypadkach wydawcy kart kredytowych okazuj膮 ofiarom kradzie偶y wyrozumia艂o艣膰.
Najnowszy incydent
4 sierpnia 2006 roku firma Kaspersky Lab natrafi艂a na rosyjsk膮 stron臋 zawieraj膮c膮 skradzione dane dotycz膮ce kart kredytowych. By艂o tam oko艂o 300 komplet贸w danych; niekt贸re z nich dost臋pne by艂y ju偶 od d艂u偶szego czasu, jednak w dniu, w kt贸rym odkryli艣my t臋 stron臋, dodano 60 nowych. Oczywi艣cie jest to nic w por贸wnaniu z 40 milionami numer贸w kart skradzionych w zesz艂ym roku. Z drugiej strony, dane na tej stronie oferowane s膮 za darmo. Poza tym dla ofiary kradzie偶y nie ma 偶adnej r贸偶nicy, czy jest jedn膮 z 300 czy 40 milion贸w.
Aby sprawdzi膰 autentyczno艣膰 tych danych, skontaktowali艣my si臋 z jedn膮 z niemieckich ofiar kradzie偶y. Osoba ta zauwa偶y艂a 15 maja, 偶e jej karta kredytowa zosta艂a obci膮偶ona kwot膮 10 euro za zakup, kt贸rego nie dokona艂a. Dane dotycz膮ce tej karty zosta艂y opublikowane na stronie 26 maja, od tego czasu przy jej pomocy dokonano innych zakup贸w. Osoba ta zablokowa艂a kart臋, a Mastercard by艂 na tyle uprzejmy, 偶e zwr贸ci艂 jej poniesione straty.
Ofiara wyja艣ni艂a, 偶e zazwyczaj nie wykorzystuje karty kredytowej do robienia zakup贸w poprzez Internet. Jednak w maju pojecha艂a na wakacje do Czech, gdzie u偶ywa艂a karty w restauracjach oraz przy kupowaniu benzyny; z dat dokonania oszuka艅czych transakcji jasno wynika艂o, 偶e dane dotycz膮ce karty kredytowej zosta艂y skradzione.
Format danych dotycz膮cych innych kart kredytowych na tej stronie wskazywa艂 na to, 偶e pochodz膮 one z baz danych. Ofiarami byli nie tylko klienci Mastercard, ale r贸wnie偶 posiadacze kart Visa, American Express oraz Discovery, 艂膮cznie z niekt贸rymi posiadaczami karty Platinum Card.
Ciekawostk膮 jest to, 偶e wiele wpis贸w na stronie ponumerowanych by艂o sze艣ciocyfrowymi liczbami. Wygl膮da na to, 偶e opublikowane na niej dane stanowi艂y tylko niewielk膮 cz臋艣膰 o wiele wi臋kszej kolekcji zawieraj膮cej ponad 100 000 komplet贸w danych. Wiele z kart ma wa偶no艣膰 do 2008 roku, st膮d wniosek, 偶e dane te s膮 aktualne.
Obecna sytuacja
O ca艂ej sprawie zawiadomili艣my w艂adze w Niemczech, Stanach Zjednoczonych i Rosji. Ameryka艅skie przedstawicielstwo Kaspersky Lab skontaktowa艂o si臋 z Visa i Mastercard. Jak pisali艣my ju偶 w Dzienniku Analityk贸w, komunikacja z w艂adzami nie przebiega艂a tak g艂adko, jak tego chcieliby艣my czy wyobra偶ali艣my sobie.
Wiele pyta艅 pozosta艂o bez odpowiedzi. Sk膮d pochodzi艂y te dane? Czy w艂a艣ciciele strony sami je ukradli? Czy naprawd臋 mieli dost臋p do du偶ej kolekcji danych dotycz膮cych kart kredytowych? Je偶eli tak, ofiar膮 pad艂o wi臋cej posiadaczy kart kredytowych, kt贸rzy nie zdaj膮 sobie z tego sprawy.
Pocz膮tkowo zamierzali艣my opublikowa膰 szczeg贸艂y incydentu wkr贸tce po opublikowaniu naszego bloga. Jednak w艂adze wci膮偶 badaj膮 t臋 spraw臋, nie chcemy wi臋c zaszkodzi膰 dochodzeniu poprzez przedwczesne ujawnienie informacji. Z tego powodu artyku艂 ten nie zawiera 偶adnych zrzut贸w ekran贸w.
Jak mo偶na si臋 zabezpieczy膰?
Okoliczno艣ci pojawienia si臋 tej w膮tpliwej strony by膰 mo偶e s膮 interesuj膮ce, jednak dla os贸b korzystaj膮cych z kart kredytowych wa偶ne jest, w jaki spos贸b mog膮 zabezpieczy膰 si臋 i zapobiega膰 pojawieniu si臋 ich danych w podobnych zestawieniach.
Mo偶liwo艣ci nadu偶y膰 s膮 liczne, r贸wnie d艂uga jest lista mo偶liwych krok贸w, kt贸re nale偶y podj膮膰, aby si臋 przed nimi chroni膰. Oto niekt贸re z nich:
- Instaluj na komputerze oprogramowanie antywirusowe oraz zapor臋 ogniow膮.
- Nie otwieraj za艂膮cznik贸w wiadomo艣ci z nieznanych 藕r贸de艂 - nawet je艣li wiadomo艣膰 wydaje si臋 pochodzi膰 od eBaya, Twojego operatora telefonicznego, banku itd., zachowaj ostro偶no艣膰.
- Zawsze niezw艂ocznie instaluj 艂aty usuwaj膮ce luki w zabezpieczeniach systemu operacyjnego i u偶ytkowanych aplikacji.
- Podczas dokonywania zakup贸w przez Internet korzystaj z karty kredytowej tylko wtedy, gdy sklep oferuje bezpieczne po艂膮czenie (SSL). Kupuj w sklepach online, kt贸re s膮 na tyle znane, 偶e b臋d膮 chcia艂y unikn膮膰 negatywnego rozg艂osu (chocia偶 nie gwarantuje to oczywi艣cie 100% pewno艣ci).
- Pilnuj swojej karty kredytowej. Je艣li komu艣 uda si臋 spisa膰 dane dotycz膮ce Twojej karty, dowiesz si臋 o tym dopiero przy okazji otrzymania nast臋pnego wyci膮gu.
- B膮d藕 ostro偶ny na urlopie - czeki podr贸偶ne czy got贸wka s膮 bezpieczniejsze, szczeg贸lnie gdy jeste艣 w kraju, gdzie kradzie偶 tego typu danych jest rozpowszechniona. Twoje dane mog膮 zosta膰 skopiowane na stacji benzynowej, w restauracji czy sklepie, nie wzbudzaj膮c Twoich podejrze艅.
- Po powrocie z wakacji czy zakupach przez Internet dok艂adnie sprawd藕 wyci膮gi z karty kredytowej - osoby wykorzystuj膮ce Twoje dane - aby nie wyda膰 si臋 - mog膮 dokonywa膰 tylko drobnych zakup贸w.
- Natychmiast skontaktuj si臋 z wydawc膮 swojej karty i popro艣 o zablokowanie, je艣li j膮 zgubisz lub uwa偶asz, 偶e dane dotycz膮ce Twojej karty zosta艂y skradzione.
Wniosek
Handel elektroniczny istnieje ju偶 od wielu lat, mimo to zwi膮zek mi臋dzy kartami kredytowymi a Internetem nie nale偶y do naj艂atwiejszych. To, czy dane dotycz膮ce karty kredytowej zosta艂y skradzione przez Internet czy opublikowane na stronie WWW, tak naprawd臋 ma znaczenie drugorz臋dne. Najwa偶niejsze jest to, 偶e dane dotycz膮ce karty kredytowej mog膮 zosta膰 skradzione. Opisywany incydent nie jest pierwszym tego typu przypadkiem i z pewno艣ci膮 nie ostatnim - przynajmniej je艣li chodzi o najbli偶sz膮 przysz艂o艣膰.
Po opisaniu incydentu otrzymali艣my wiele maili od os贸b, kt贸rych karty kredytowe zdawa艂y si臋 偶y膰 w艂asnym 偶yciem. Niekoniecznie by艂o to zwi膮zane ze znalezion膮 przez nas stron膮. Raczej 艣wiadczy艂o o tym, 偶e ofiary nie wiedzia艂y, w jaki spos贸b skradziono ich dane.
Tak d艂ugo jak wydawcy kart kredytowych b臋d膮 tolerancyjni wobec swoich klient贸w, posiadacze kart nie b臋d膮 ponosili znacz膮cych strat w przypadku kradzie偶y ich danych. Jednak straty te b臋d膮 mia艂y wp艂yw na koszty us艂ugi, kt贸re zostan膮 ostatecznie poniesione przez klient贸w. Chocia偶 skradzione karty mo偶na zablokowa膰, jest to niewielka pociecha dla posiadacza karty, kt贸ry wie, 偶e jego adres domowy zosta艂 opublikowany na stronie odwiedzanej przez przest臋pc贸w. Zablokowanie karty jest jedynie rozwi膮zaniem tymczasowym; zar贸wno dla posiadacza jak i wydawcy karty.
Jak ju偶 pisali艣my, firma Kaspersky Lab przes艂a艂a w艂adzom wszystkie istotne informacje i sprawa znajduje si臋 teraz w ich r臋kach. Min膮 jednak dni, je艣li nie miesi膮ce, zanim ostatecznie zostanie rozwi膮zana: b臋dziemy informowali Was na bie偶膮co.