Rezerwacja hoteli i podobnych usług z użyciem karty kredytowej to okazja dla cyberzłodziei. Czy mamy wpływ na ochronę wrażliwych danych?

Nawet kilka tysięcy złotych mogła stracić mieszkanka Katowic w efekcie wykradzenia danych jej karty kredytowej, które okazjonalnie podawała w sklepach internetowych i na jednym z portali rezerwacyjnych.

Szybka reakcja pozwoliła ograniczyć szkody poczynione przez przestępców. Eksperci cyberbezpieczeństwa firmy ESET wskazują, że wobec powszechności takich incydentów kluczowe znaczenie ma profilaktyka i radzą co zrobić, aby zminimalizować skutki podobnych zdarzeń.

Szacuje się, że w darknecie mogą być dostępne miliony nielegalnie pozyskanych numerów kart, nazw użytkowników i haseł. Skala tego rynku jest trudna do oszacowania, jednak działania cyberprzestępców przynoszą im ogromne zyski. Szacuje się, że administratorzy największego nielegalnego serwisu handlującego skradzionymi danymi kart płatniczych w darknecie, zarobili na swojej działalności przestępczej ponad 350 milionów dolarów.

Przestępcy, którzy znajdą się w ich posiadaniu najczęściej wykorzystują metodę płatności card-not-present, która nie wymaga obecności fizycznej karty przy dokonywaniu transakcji. W ten sposób mogą korzystać ze skradzionych danych kart kredytowych.

Taka sytuacja przytrafiła się jednej z mieszkanek Katowic. Wieczorem (ok. godz. 21.00) otrzymała sms z banku o obciążeniu jej karty na kwotę 160 AUD (dolary australijskie). Jak się okazało, ktoś na Facebooku podał dane karty kredytowej w koncie reklamowym, najprawdopodobniej w wyniku ich kradzieży.

– Oczywiście kartę od razu zablokowałam, a po kontakcie z bankiem okazało się, że sms informował o pierwszej
z kilku planowanych transakcji tego typu. Szybka reakcja uniemożliwiła przeprowadzenie kolejnych, które były już zgłoszone i oczekiwały w kolejce. Łączna ich wartość to kilka tysięcy złotych – komentuje mieszkanka Katowic.

W kontakcie z przedstawicielem banku złożona została reklamacja, a karta unieważniona. Dodatkowo zmienione zostały hasła oraz ustawienia płatności w serwisach, gdzie karta była użytkowana. Niestety z poziomu użytkownika w relacji z Facebookiem nie było możliwości w jasny i czytelny sposób dowiedzieć się szczegółów, jak i czy w ogóle można zgłosić fakt wykorzystania wykradzionych danych portalowi.

Cyberprzestępcy nie próżnują, rozwijając techniki i technologie pozwalające na kradzież danych kart kredytowych. Jak informuje ESET, w najnowszej edycji raportu ESET Threat Raport T2 (maj-sierpień 2022), operatorzy trojana Emotet opracowali moduł pozwalający wyodrębnić zapisane informacje o danych karty kredytowej z przeglądarki Google Chrome. Jednocześnie w okresie od stycznia do końca maja odnotowano niezwykle udaną operację cyberprzestępców, gdzie co najmniej 50 tys. numerów kart kredytowych klientów z kilkuset restauracji zostało wykradzionych. Za te operacje odpowiadał Magecart, trzecie najczęściej wykrywane szkodliwe oprogramowanie typu Infostealer (kradzież danych), jedyne z kategorii bankowej, które znalazło się w pierwszej dziesiątce raportu ESET.

– Czasami pomimo starań w obszarze ochrony danych kart kredytowych czy płatniczych może dojść do nieautoryzowanych transakcji. To możliwe w sytuacji, gdy dane w wyniku ataku cyberprzestępców zostaną skradzione np. z systemów rezerwacji w hotelach. Niestety jako klienci nie mamy dużego wpływu na taki proceder, jednak możemy podjąć kilka profilaktycznych działań pozwalających znacząco ograniczyć potencjalne zagrożenia i straty – mówi Beniamin Szczepankiewicz, specjalista ds. cyberbezpieczeństwa ESET.

– Z perspektywy klienta najważniejsza jest jednak usługa Chargeback, którą oferują banki i wystawcy kart. Każdą transakcję, która nie była przez nas wykonana należy zgłosić bankowi, a ten powinien zwrócić nam pieniądze, za nieautoryzowane transakcje – dodaje Szczepankiewicz. – Dobrą praktyką w sytuacji, gdy mimo podjętych działań staniemy się ofiarą kradzieży, byłaby również profilaktyczna zmiana haseł dostępowych do najbardziej istotnych usług, typu główne adresy email czy hasło w banku – podsumowuje ekspert ESET.

Proste sposoby ochrony kart kredytowych używanych w Internecie

• Warto stosować limity transakcyjne na kartach, a jeśli nie kupujemy w internecie, to optymalnym rozwiązaniem jest wyłączenie takiej opcji, podobnie jak możliwości realizacji transakcji zza granicy.
• Do płatności internetowych warto stosować karty typu pre-paid.
• Niektóre banki oferują stosowanie jednorazowych kart płatniczych. Po transakcji karta staje się nieaktywna i nie można jej wykorzystać ponownie.
• Warto sprawdzić czy bank i wystawca karty oferuje usługę typu 3D secure, która wymaga, aby transakcje były potwierdzane np. w aplikacji mobilnej. Taka forma uwierzytelniania znacząco podnosi bezpieczeństwo użytkownika.
• Jeśli serwis internetowy oferuje nowoczesne formy płatności typu Apple Pay / Google Pay, to warto z nich korzystać, gdyż są o wiele bezpieczniejsze od klasycznej formy, gdzie podajemy komplet danych kart.