Systém proti skimmingu

Co je vlastně skimming a jaké riziko pro Vás představuje.

 

Pro většinu uživatelů platebních karet, je tento pojem celkem neznámý. I když v poslední době se začíná tento výraz čím dál častěji vyskytovat v policejních hlášení a zdaleka ne jen v České republice.

Jedná se o soubor zařízení, která povětšinou dobře organizovaná skupina nejprve vyrobí nebo jednodušeji pořídí na internetu a následně instaluje všude tam, kde se používá platební karta (bankomat, platební terminál, automat na výdej jízdenek, tankovací stojany apod.)

Prvním krokem k "úspěšnému" skimmingu Vaší karty je přečtení dat z magnetického proužku. Pachatel této činnosti nainstaluje na vstupní otvor pro vložení/zasunutí karty čtecí zařízení, které zkopíruje příslušná data, která se buď přímo do čtecího zařízení nahrají (flash disk), následně je zařízení vyjmuto a data z něj jsou stažena nebo je přenášeno dálkově (Wifi, Bluetooth) přímo do počítače pachatele, který od daného zařízení nebude příliš daleko.

Druhým, téměř společným krokem je zjištění PINu Vaší karty. K těmto účelům slouží např. instalovaná imitace klávesnice, která je k nerozeznání od té pravé, viz foto. Nebo, různé skryté mikrokamery, snímající činnost Vašich prstů a v nejdražším případě zaměření klávesnice termokamerou poté, co odejdete od bankomatu.

Skimmovací zařízení bývá z pravidla instalováno jen na určitý časový úsek, tj. několik hodin a poté je vyjmuto. Získaná data jsou v krátké době zpracována a poslouží většinou k výrobě duplikátu Vaší platební karty nebo platbě po Internetu. Následně organizovaná skupina vybere na základě získaných dat Váš účet. Výběr se zpravidla uskuteční ve velmi vzdálených destinacích jako USA apod. Nezřídka se s údaji o Vaší platební kartě obchoduje na Internetu.

 

 

Rizika spojená s držením platební karty:

Skimming (elektronické zkopírování) platební karty při jejím použití jako je výběr hotovosti z bankomatu, platbě u obchodníka, platbě v hotelu … Aby karta byla zneužita, je potřeba znát tzv. PIN kód. Ten zná jen a pouze držitel karty. Je velice rozšířený omyl, že PIN je uveden na kartě, v databázi banky … nic takového není pravda. Na kartě je uvedeno pole 5-ti znaků (PVV), které se složí se zadaným PIN a podle přísně utajovaného polynomu se vypočte hodnota, která je v databázi banky. Kromě vás a zlodějů nikdo nepotřebuje znát PIN. Zloději  PIN získávají mnoha triky: od koukání přes rameno, minikamerami, termokamerami, falešnými klávesnicemi, falešnými e-maily, falešnými bankovními stránkami …
Zneužití  dat platební karty na internetu. Pokud máte svoji kartu aktivovanou pro platby přes internet, pak se pro autorizaci platby nepoužívá PIN ale CVV2 (trojmístné číslo za podpisovým proužkem). Naskimmovaná data jsou při znalosti CVV2 kódu zneužitelná při platbě na internetu. Zde pozor při použití karty v hotelech nebo u menších obchodníků. Při předstíraném upuštění karty dojde ke skimmingu a trojmístné číslo není problém si zapamatovat a po vašem odchodu zapsat. Tím jste ztratili kontrolu nad svým bankovním účtem.
Zneužití dat při platbách ve velkých nákupních střediscích. Pokud si organizovaný zločin vyhlédne obchodní  řetězec, ve kterém z nepochopitelných důvodů archivují vámi při platbě zadaný PIN (třeba i zašifrovaný), do serveru propašují škodlivý software, pak s tím vůbec nic nenaděláte, a přijdete o všechny peníze na vašem bankovním účtu. V ČR se takový případ ještě nevyskytl.
Karta s PIN kódem umístěným v blízkosti karty. To je snad ta nejhorší varianta. Raději věnujte své finanční prostředky na dobročinné účely. V případě krádeže - okamžitá blokace karty, ve většině případů už vám ale není pomoci.

Je dobré si přečíst sazebník poplatků na pojištění platební karty a souvisejících nařízení v rámci EU. Zde se dozvíte o výši poplatků, pojistném plnění, spoluúčasti na škodě, na jaké případy se pojištění vztahuje a nevztahuje.

 

Modely chování:

1. Použití jediného bankovního účtu. Nejdříve si opatřete sazebník poplatků vámi zvolené banky. Platební kartu opatřete bezpečnostní známkou. Zjistěte, zda banka provozuje elektronické bankovnictví, kolik účtuje za vedení  účtu a za vaše nejčastější bankovní operace. Pokud jste si nezvolil banku s vstřícným klientským chováním (viz seznam bank v sekci Informace o známce), pak si zjistěte, kolik účtuje za výběr z cizích bankomatů. Odmítněte aktivaci karty při platbě na internetu. To nahraďte elektronickým bankovnictvím (jednoduché a pohodlné).  Tento model chování vás spolehlivě ochrání před riziky elektronického zneužití dat na bázi skimmingu. Pokud svojí neopatrností někomu sdělíte PIN, nebo jej zloději nějakým trikem získají, to vůbec NEVADÍ, známka i tak spolehlivě zabrání zneužití dat na magnetickém proužku vaší karty. Nejste však chráněni před rizikem uvedeným v bodě 3.

2. Určete si sumu peněz, o kterou když přijdete, zásadně neohrozí vaši ekonomiku. Tuto sumu udržujte na vašem provozním účtu, který je spojen s vaší platební kartou. Zbytek finančních prostředků udržujte na jiném účtu bez platební karty. Jinak platí totéž, co v bodě 1.

3. Pokud nechcete na svém chování nic měnit a jste klientem uživatelsky vstřícných bank, pak si alespoň nalepte bezpečnostní nálepku na vaši platební kartu. Počítejte však s tím, že takto zabezpečená platební karta ochrání váš účet tak, že z nevhodně nastavených sítí bankomatů hotovost nevyberete. Těmto sítím bankomatů se obloukem vyhněte! Zatím NIKDO nechápe neochotu nevstřícných bank, proč zarputile trvají na zastaralém nastavení bankomatů nerespektující přítomnost čipu na platební kartě. Nastavení po síti je přitom rychlé a zdarma.

4. Pokud nechcete na svém chování nic měnit a nejste klientem uživatelsky vstřícných bank, pak si nalepte bezpečnostní nálepku na vaši platební kartu, a zjistěte si, kolik vám bude účtovat vaše banka za výběr hotovosti z cizích bankomatů.

5. Jezdíte-li často mimo Evropu, pak si bezpečnostní nálepku nepořizujte. Ta chrání data takovým způsobem, na který neevropské bankomaty (s výjimkou Austrálie) neumí reagovat a hotovost vám nevydají. Abyste hotovost z neevropských bankomatů dostali, odlepte nálepku (případné zbytky lepidla odstraňte lihem), a s rizikem zneužití dat dostanete vámi požadovanou hotovost.

6. Zejména na východě Evropy se informujte předem, zda obchodník, restauratér, recepční v hotelu, čerpací stanice  …  akceptuje čipovou platební kartu. Pokud tvrdí, že jeho platební terminál čte jen magnetický proužek – pak je tento subjekt nedůvěryhodný a urychleně opusťte daný prostor nebo uhraďte platbu v hotovosti. 

 

 

Dokonalá ochrana.

 


Při zkoumání magnetického proužku platebních karet ve forenzní laboratoři, byla vyvinuta metoda, která dokonale ochrání data uložená na magnetickém proužku platební karty a se kterou si zločinci neví rady.

Odborníci bank tvrdili, že taková ochrana neexistuje, protože skimmovací zařízení obdrží data dříve než bankomat. Teprve praktická ukázka je přesvědčila o opaku.

Jedná se o speciální bezpečnostní známku, která se nalepí na magnetický proužek platební karty. A to je vše! 


Má metoda nějaké omezení?

 


Bankomaty


Existuje seznam bank, jejichž bankomaty mají nastavenu prioritu čtení dat na "ČIP" a nalepená bezpečnostní známka spolehlivě chrání účty všech klientů,kteří vybírají hotovost. PIN ztrácí na důležitoati a přestává být základním ochranným prvkem. 

Avšak existuje druhý seznam bank jejichž bankomaty mají nastavenu prioritu na "magnetický proužek" a v těchto případech bezpečnostní známka způsobí, že karta je vrácena zpět aniž by byla vydána hotovost. Jinými slovy "pokud je na tomto bankomatu namontováno skimmovací zařízení, pak po odstranění bezpečnostní známky zcela jistě přijdete o finanční prostředky na tomto účtu"!

Zde je ke stažení atest - speciální bezpečnostní známky dodané výrobcem. 

 

Platební terminály


Od r. 1996 jsou vyráběny pouze duální platební terminály, tj. čtou jak magnetický proužek, tak i čip. Nalezne -li se nějaký "zapomenutý" obchodník ale spíše "zapomenutá" čerpací stanice, která provozuje muzeální typ platebního terminálu, pak nezbývá nic jiného, než zaplatit v hotovosti a příště se danému subjektu vyhnout. V žádném případě známku neodstraňujte.

S takto chráněnou platební kartou nezaplatíte v zemích kde neznají čip na platební kartě (Severní a Jižní Amerika, Africké státy). Mějte na mysli jediné -pokud známku odstraníte, můžete přijít o všechny finanční prostředky na účtu.

 

TECHNOLOGICKÝ SKOK

 

Ve forenzní laboratoři se zkoumají zajištěná skimmovací zařízení, která byla namontována na bankomatech v ČR. Musíme konstatovat, že organizovaný zločin v oblasti skimmingu udělal za uplynulé pololetí obrovský technologický skok.

Triky a současné technické prostředky jsou téměř dokonalé a veřejnost již nemá téměř žádnou šanci zjistit, zda na bankomatu je namontováno skimmovací zařízení či nikoliv. Totéž platí o maskovaných kamerách, termokamerách a falešných klávesnicích mající za úkol zjistit PIN karty.

Na internetu jsou nabízeny začínajícím zlodějům v oblasti skimmingu profesionální výrobky i s návodem jak si "vydělat" 50.000 USD za týden.

 

O prolomení dat uložených na čipu karty

 

V Evropě neexistuje vydavatelská banka platebních karet, která by vydávala karty bez čipu. Čip na platební kartě je jednoúčelový počítač se vším všudy a snad proto se ještě organizovanému zločinu nepodařilo data na něm uložená z něj vyčíst. V dubnu r. 2011 se objevily zprávy, že britským vědcům se podařilo prolomit tajemství čipu. Možná. Ale je to velice zkreslená informace. Neboť nejde o skimming ale o odcizenou platební kartu, na které  se odbrousí některé vrstvy a pod mikroskopem se na přesně určené plošky naletují dva drátky, které se spojí  s notebookem, který nasimuluje, platebnímu terminálu, že byl zadán správný PIN. Požadované laboratorní vybavení je v hodnotě několika milionů Kč a rozhodně tímto způsobem není možné vybrat hotovost z bankomatu do jehož útrob platební  karta zajíždí.  

Ze zkušenosti lze říci, že montovat drahá a nespolehlivá antiskimmovací zařízení na bankomaty nemá valný smysl a téměř vždy se najde na zeměkouli bankomat, který vydá hotovost z platební karty, aniž by požadoval čip. Pro tyto případy se již vžil pojem "finanční turistika".

Dne 5.11.2013 ve vysílání ČR Radiožurnál v pořadu "Češi vyvinuli bezpečnostní známky, které ochrání platební karty před kopírováním" zaznělo, cituji:

"Podle České bankovní asociace už banky o bezpečnostních známkách vědí. Zatím k nim ale mají výhrady, protože nálepka podle nich omezuje funkce karty. Například před některými bankomaty jsou ještě dveře, které se otevírají právě kartou s magnetickým proužkem. Pokud je proužek přelepený známkou, k bankomatu se zákazník vůbec nedostane." konec citátu.

Ve forenzní laboratoři jsme zkoumali skimmovací zařízení, které zloději umístili ne do bankomatu, kde se při nejbližším doplňování hotovosti najde, ale právě do ovládání vstupních dveří prostoru bankomatu, kde zůstávalo dlouhou dobu neobjeveno. Zloději měli Vaše bankovní data dříve, než jste došel k bankomatu. Jednalo se o daleko "nejúspěnější" použití skimmingu v historii. Škody byly tehdy značné. Takže, nepustí -li Vás vstupní dveře do prostoru bankomatu - nezoufejte a vyhledejte jinou síť, neboť tato je nevhodně nastavena a vystavujete se riziku, že přijdete o své peníze na účtu. Výhrady nejsou namístě, ale opak je pravdou. Známka chrání Vaše peníze i v tomto případě.

V současné době je prodej ochranných známek pozastaven. Připravujeme nový marketingový plán.