Eh, valabil titlu, nu? din păcate, nu am spus “cum să furi”, ci “cum se fură”. E o diferenţă.

Cardul bancar (fie el de debit sau de credit) este din ce în ce mai utilizat în ziua de azi. Fiind portofelul electronic al majorităţii, tentaţia e mare: fraudele cu carduri bancare s-au înmulţit ca număr şi ca valoare, iar pericolul pândeşte la fiecare colţ, tovarăşi. Fraudarea unui card bancar se poate face în 2 feluri mari şi late: achiziţionarea de bunuri sau servicii cu un card bancar clonat, sau extragerea directă de fonduri. Trebuie notat că (din păcate) la noi predomină cardurile de debit (chiar şi cardurile de debit cu overdraft sunt tot carduri de debit, în esenţă), care nu beneficiază de atâtea măsuri de protecţie precum cardurile de credit. În USA, de exemplu, o înşelătorie la plata cu credit card-ul (de exemplu ai plătit online produsul X, şi nu-l primeşti, sau primeşti altceva) poate fi reclamată la banca emitentă a cardului, şi clientul îşi primeşte banii înapoi – este treaba băncii să se descurce cu furnizorul (procesul se numeşte chargeback). Eh, chestia asta nu există la cardurile de debit; pe de altă parte, la cardurile de credit se plăteşte dobândă, la cele de debit nu. Un card de debit îţi permite să cheltui doar bani pe care îi ai, un card de credit îţi permite să cheltui bani pe care nu-i ai.

Mai departe. Cardul bancar este o amărâtă bucată de plastic, ce conţine câteva elemente foarte importante: numele deţinătorului, numărul de card, data expirării şi codul de verificare (denumit şi CVV). Primele 3 se regăsesc pe faţa cardului, CVV-ul constă în ultimele 3 cifre inscripţionate pe spatele cardului. Toate aceste date (cu excepţia CVV-ului) sunt vizibile în clar, şi stocate criptat pe banda magnetică a cardului pentru a putea fi citite de POS-uri (Point Of Sale). Motivul existenţei CVV-ului este un nivel suplimentar în siguranţa tranzacţiei: teoretic, neavând CVV-ul, tranzacţia nu poate fi completată; CVV-ul este un fel de dovadă a existenţei şi prezenţei cardului la desfăşurarea tranzacţiei.

Cele 2 mari companii emiţătoare de carduri bancare sunt, după cum ştiţi probabil, Visa şi Mastercard. Toate cardurile Mastercard sunt carduri embosate (au informaţiile de pe faţă scrise în relief), pe când Visa oferă şi Visa Electron (un fel de Visa limitat, dacă vreţi). Motivul pentru care literele sunt scrise în relief stă în istorie, pe când POS-urile electronice nu existau, şi informaţia de pe card era preluată mecanic prin plasarea cardului într-un dispozitiv care presa literele pe o hârtie tip indigo (cam ca atunci când frecaţi cu creionul o coală de hârtie plasată peste o monedă). În prezent, majoritatea POS-urilor sunt electronice: cardul este introdus în dispozitiv, şi acesta comunică (de obicei prin intermediul unei linii telefonice) cu “centrala” pentru a transmite datele citite de pe card. Eh, şi o să întrebaţi de codul PIN. Codul PIN este aplicat doar cardurilor de debit, ca principală măsură de protecţie (ţineţi minte că un card de debit nu te protejează în cazul tranzacţiilor dubioase, aşa cum o face un card de credit). Eh, de-aici vine şi problema.

Să luăm un card de debit obişnuit, emis de Visa. Mergem la magazin, cumpărăm ceva şi plătim. Cardul este trecut prin POS, se introduce suma de plată, şi … depinde.

Cazul 1: tranzacţie online, cu PIN. Tranzacţia este autentificată pe bază de PIN. După introducerea sumei ce trebuie plătită, ni se cere codul PIN, pe care îl tastăm pe o mică tastatură numerică numită PIN pad. Codul tastat este criptat cu un algoritm oarecare, şi e comparat cu valoarea criptată stocată pe banda magnetică. Dacă se potrivesc, succes: este deschisă o conexiune cu centrala băncii, sunt comunicate informaţiile despre plătitor, suma ce trebuie debitată din contul persoanei, şi se aşteaptă răspunsul de la centrala băncii (poate nu avem destui bani în cont? atunci, erorare). Dacă avem bani în cont, atunci totul e în regulă şi se tipăresc cele 2 chitanţe. O chitanţă e semnată de posesorul cardului şi rămâne la magazin, semnătura fiind acceptul de plată. Să numim acest tip de tranzacţie a fi “o tranzacţie online”.

Cazul 2: tranzacţie offline, fără PIN. Eh, ăsta e cazul mai delicat; când o tranzacţie nu necesită cod PIN, se numeşte a fi “o tranzacţie offline”. În esenţă, cardul de debit este procesat ca un card de credit: sunt memorate informaţiile de pe card şi suma de plată, acestea urmând a fi transmise ulterior la bancă pentru procesare. Acesta este şi motivul pentru care tranzacţiile desfăşurate fără PIN apar în extrasul de cont abia după 2-3 zile de la efectuarea tranzacţiei. Procesul se desfăşoară exact ca prelucrarea unei tranzacţii cu un card de credit, doar că banii implicaţi în tranzacţie există în contul bancar (nu sunt bani “împrumutaţi” de bancă, precum în cazul unui card de credit real). În cazul inexistenţei unui POS electronic, aici intră în acţiune literele embosate de pe card şi informaţiile sunt transferate mecanic pe hârtie (ca un cec, să zicem); la noi, 99.9999% din POS-uri sunt electronice, deci nu ne interesează asta. Cardul nostru de debit emis în România se va comporta ca un card de credit atunci când suntem în afara ţării, din motive tehnice (imposibilitatea de a comunica în timp real cu banca din ţara emitentă este unul din aceste motive).

Bun, şi în cazul ăsta, cum se poate fura de pe carduri până la urmă? În 2 moduri, care corespund celor 2 cazuri de mai sus.

Cazul 1: card clonat şi PIN Hoţul are PIN-ul, şi poate extrage direct bani de la ATM cu un card clonat (varianta preferată, deoarece este eliminată interacţiunea cu magazinul şi necesitatea vânzării bunurilor achiziţionate).
Cazul 2: card clonat utilizat ca un card de credit Hoţul are informaţiile de pe card, şi nu are nevoie de PIN, putând plăti cu cardul clonat la magazin, urmând a vinde produsele cumpărate pentru bani lichizi.

Să tratăm cele 2 cazuri pe rând.

Cazul 1: hoţul clonează cardul şi are PIN-ul. O pereche “card clonat + PIN” este foarte valoroasă, deoarece se pot obţine direct banii de la ATM, şi nu există facilitatea de “chargeback” în cazul tranzacţiilor efectuate cu un card de credit. Practic, un card clonat şi PIN-ul său ar putea foarte bine să fie privite exact ca un portofel plin cu bani: când este furat, banii s-au cam dus.

Clonarea cardului este relativ facilă: procedeul se cheamă skimming. Cardul care se doreşte a fi clonat este trecut printr-un dispozitiv (numit “pisicuţă” la noi) care citeşte datele de pe banda magnetică şi le memorează. Cu datele copiate de pe banda magnetică a cardului şi un inscriptor de carduri “blank” se poate obţine o copie perfectă a cardului clonat (din punct de vedere al datelor stocate). De obicei, datele sunt copiate chiar prin intermediul angajaţilor de la magazine: dăm cardul pentru plată, şi într-un moment de neatenţie cardul este trecut repede prin dispozitivul de copiere, operaţiunea durând nici 2 secunde. Varianta 2: montarea pe fanta bancomatelor a dispozitivului de copiere (acesta e motivul pentru care au apărut “gulerele” alea verzi din plastic transparent de ceva vreme, la bancomate). Şi bum, avem cardul clonat.

Iată cum arată o pisicuţă de bancomat (mai multe poze se găsesc la sursă, aici):

Dar cum obţin PIN-ul? Păi, se zice că (aproape la fel de de) uşor. Varianta 1, pentru dispozitivele de clonare instalate pe bancomate: se montează o cameră mică de luat vederi în colţul de sus al bancomatului, îndreptată fix spre tastatura pe care introduceţi PIN-ul. Varianta 2, pentru cele instalate în magazine: se obţine acces la calculatorul din magazin pe care e instalat software-ul care procesează plăţile, şi se interceptează PIN-ul în momentul în care-l tastaţi pe PIN pad. Teoretic, comerciantul nu are voie să păstreze PIN-ul tastat nici măcar în formă criptată; practic, odată ce se obţine acces fizic la calculatorul sau în reţeaua unde lucrează software-ul de procesare (şi implicit acces la cheile de criptare), e prea târziu. Varianta 3, cea mai rar întâlnită (dar şi cea mai distructivă): obţinerea accesului la baza de date a băncii (de obicei prin intermediul unui angajat corupt), şi copierea perechilor de date + PIN direct din sistemul băncii. Se bănuieşte că fraudarea cardurilor Millenium de la Bancpost din mai 2008 a fost efectuată astfel.

Cazul 2: este şi mai simplu, după ce aţi citit cazul 1, deoarece nu mai implică PIN-ul. Când sunt în afara ţării cu cardul meu de debit, acesta se comportă ca un card de credit. Tranzacţia nu mai implică PIN, ci doar citirea datelor mele de pe card şi transmiterea lor împreună cu suma de plată către banca din ţara emitentă a cardului (similar cu facturarea apelurilor roaming, dar ăsta e alt subiect). Dacă în momentul în care eu îmi cumpăr pantofi din mall, cardul meu este copiat, totul s-a terminat. Datele copiate de pe card sunt transmise la vreo zece mii de kilometri distanţă într-o ţară cu legislaţie şi autorităţi mai relaxate (să zicem Bulgaria, Ucraina, şamd), şi este creat un card clonat cu datele cardului meu. Hoţul se duce la magazin şi cumpără cu acest card 10 parfumuri de 100 EUR, iar tranzacţia apare în extrasul meu de cont abia la 2-3 zile, mult după ce parfumurile au fost vândute “în piaţă” pentru bani buni. Ä‚sta e momentul de şoc, momentul în care suni la bancă, momentul în care cardul bancar este blocat.

Ca exemplu de păţanie: cardul bancar adevărat era în Dubai, tranzacţiile dubioase au apărut în Moscova şi USA (mişto Internetul ăsta, nu?) S-a sunat la banca românească pentru a reclama frauda. Banca românească a cerut o fotografie a cardului bancar cu un colţ tăiat, împreună cu un ziar recent (pentru a verifica faptul că posesorul cardului este cu adevărat acolo unde spune că este şi a verifica data reclamaţiei, presupun). Cardul a fost blocat, şi urmează ca banca să investigheze problema pentru a returna banii posesorului păgubit. Ah, şi pentru că este o bancă românească pe care eu o “simpatizez” mult de tot, aflaţi că se preia un COMISION DE RECUPERARE de 10 EUR – culmea nesimţirii, nu? culmea nesimţirii pentru că nu e normal, şi pentru că acel card tocmai fusese schimbat în urma altei fraude similare, şi nu fusese folosit DELOC până în momentul apariţiei tranzacţiilor frauduloase, ceea ce mă duce cu gândul la faptul că informaţiile de pe card au plecat din interiorul băncii. Da, de voi vorbesc, băi BRD!

Bun, şi ce putem face pentru a ne proteja în cazul ăsta? Păi:

• aveţi grijă de card şi de PIN. Nu scrieţi PIN-ul pe hârtie, sau direct pe card!
• la bancomat, evitaţi bancomatele suspecte şi inspectaţi vizual fanta de introducere a cardului. Dacă arată dubios, prezintă urme de forţare sau demontare … căutaţi alt bancomat. Eventual unul situat într-o incintă închisă, cu acces restricţionat (gen Office-urile de la ING).
• când tastaţi PIN-ul la bancomat, acoperiţi mâna cu care tastaţi cu cealaltă mână. Valabil şi la plata cu cardul la POS.
• când plătiţi la POS şi vi se spune că tranzacţia a fost refuzată, cereţi chitanţa tipărită de POS cu motivul refuzului (conexiune imposibilă, insuficiente fonduri, etc). Nu acceptaţi trecerea cardului prin POS fără a primi o chitanţă pentru fiecare trecere, indiferent de rezultatul operaţiunii!
• nu pierdeţi cardul din vedere când plătiţi la POS. Nu permiteţi vânzătorului să plece cu cardul în altă cameră, să-l treacă pe sub tejghea, sau alte manevre similare.
• nu introduceţi PIN-ul în nici o pagină de web (vezi recentele cazuri de phishing care ţintesc Raiffeisen Bank); tranzacţiile web folosesc cel mult CVV-ul, în nici un caz PIN-ul cardului.
• folosiţi serviciul de online banking, şi verificaţi periodic extrasul de cont, urmărind apariţia tranzacţiilor suspecte. Dacă observaţi ceva dubios, sunaţi la bancă imediat.

Bibliografie:

1. 300.000 de euro fraudă la Bancpost, EVZ.ro
2. Did PIN thieves grab hacking’s Holy Grail?, MSNBC.com
3. Debit Transactions, PayMeNow.com
4. Debit cards, Credit cards, Credit card hijacking, Wikipedia.org
5. Card skimming, scamwatch.gov.au
6. Skimapparaat, Paul Wiegmans
7. Card-skimming gang targets train stations, Telegraph.co.uk
8. Your Say: Cash machine fraud, BBC
9. How thief duplicates your credit or debit card, Tea Poci
10. ATM, Debit Card and Credit Card Skimmer images, www.insideIDtheft.info