cum se fură de pe carduri

POS wireless
Aparat POS (Point Of Sale)

Eh, valabil titlu, nu? din păcate, nu am spus “cum să furi”, ci “cum se fură”. E o diferenţă.

Cardul bancar (fie el de debit sau de credit) este din ce în ce mai utilizat în ziua de azi. Fiind portofelul electronic al majorităţii, tentaţia e mare: fraudele cu carduri bancare s-au înmulţit ca număr şi ca valoare, iar pericolul pândeşte la fiecare colţ, tovarăşi. Fraudarea unui card bancar se poate face în 2 feluri mari şi late: achiziţionarea de bunuri sau servicii cu un card bancar clonat, sau extragerea directă de fonduri. Trebuie notat că (din păcate) la noi predomină cardurile de debit (chiar şi cardurile de debit cu overdraft sunt tot carduri de debit, în esenţă), care nu beneficiază de atâtea măsuri de protecţie precum cardurile de credit. În USA, de exemplu, o înşelătorie la plata cu credit card-ul (de exemplu ai plătit online produsul X, şi nu-l primeşti, sau primeşti altceva) poate fi reclamată la banca emitentă a cardului, şi clientul îşi primeşte banii înapoi – este treaba băncii să se descurce cu furnizorul (procesul se numeşte chargeback). Eh, chestia asta nu există la cardurile de debit; pe de altă parte, la cardurile de credit se plăteşte dobândă, la cele de debit nu. Un card de debit îţi permite să cheltui doar bani pe care îi ai, un card de credit îţi permite să cheltui bani pe care nu-i ai.

Mai departe. Cardul bancar este o amărâtă bucată de plastic, ce conţine câteva elemente foarte importante: numele deţinătorului, numărul de card, data expirării şi codul de verificare (denumit şi CVV). Primele 3 se regăsesc pe faţa cardului, CVV-ul constă în ultimele 3 cifre inscripţionate pe spatele cardului. Toate aceste date (cu excepţia CVV-ului) sunt vizibile în clar, şi stocate criptat pe banda magnetică a cardului pentru a putea fi citite de POS-uri (Point Of Sale). Motivul existenţei CVV-ului este un nivel suplimentar în siguranţa tranzacţiei: teoretic, neavând CVV-ul, tranzacţia nu poate fi completată; CVV-ul este un fel de dovadă a existenţei şi prezenţei cardului la desfăşurarea tranzacţiei.

Cele 2 mari companii emiţătoare de carduri bancare sunt, după cum ştiţi probabil, Visa şi Mastercard. Toate cardurile Mastercard sunt carduri embosate (au informaţiile de pe faţă scrise în relief), pe când Visa oferă şi Visa Electron (un fel de Visa limitat, dacă vreţi). Motivul pentru care literele sunt scrise în relief stă în istorie, pe când POS-urile electronice nu existau, şi informaţia de pe card era preluată mecanic prin plasarea cardului într-un dispozitiv care presa literele pe o hârtie tip indigo (cam ca atunci când frecaţi cu creionul o coală de hârtie plasată peste o monedă). În prezent, majoritatea POS-urilor sunt electronice: cardul este introdus în dispozitiv, şi acesta comunică (de obicei prin intermediul unei linii telefonice) cu “centrala” pentru a transmite datele citite de pe card. Eh, şi o să întrebaţi de codul PIN. Codul PIN este aplicat doar cardurilor de debit, ca principală măsură de protecţie (ţineţi minte că un card de debit nu te protejează în cazul tranzacţiilor dubioase, aşa cum o face un card de credit). Eh, de-aici vine şi problema.

Să luăm un card de debit obişnuit, emis de Visa. Mergem la magazin, cumpărăm ceva şi plătim. Cardul este trecut prin POS, se introduce suma de plată, şi … depinde.

PIN pad
PIN Pad (dispozitiv pentru introducerea PIN-ului)

Cazul 1: tranzacţie online, cu PIN. Tranzacţia este autentificată pe bază de PIN. După introducerea sumei ce trebuie plătită, ni se cere codul PIN, pe care îl tastăm pe o mică tastatură numerică numită PIN pad. Codul tastat este criptat cu un algoritm oarecare, şi e comparat cu valoarea criptată stocată pe banda magnetică. Dacă se potrivesc, succes: este deschisă o conexiune cu centrala băncii, sunt comunicate informaţiile despre plătitor, suma ce trebuie debitată din contul persoanei, şi se aşteaptă răspunsul de la centrala băncii (poate nu avem destui bani în cont? atunci, erorare). Dacă avem bani în cont, atunci totul e în regulă şi se tipăresc cele 2 chitanţe. O chitanţă e semnată de posesorul cardului şi rămâne la magazin, semnătura fiind acceptul de plată. Să numim acest tip de tranzacţie a fi “o tranzacţie online”.

Cazul 2: tranzacţie offline, fără PIN. Eh, ăsta e cazul mai delicat; când o tranzacţie nu necesită cod PIN, se numeşte a fi “o tranzacţie offline”. În esenţă, cardul de debit este procesat ca un card de credit: sunt memorate informaţiile de pe card şi suma de plată, acestea urmând a fi transmise ulterior la bancă pentru procesare. Acesta este şi motivul pentru care tranzacţiile desfăşurate fără PIN apar în extrasul de cont abia după 2-3 zile de la efectuarea tranzacţiei. Procesul se desfăşoară exact ca prelucrarea unei tranzacţii cu un card de credit, doar că banii implicaţi în tranzacţie există în contul bancar (nu sunt bani “împrumutaţi” de bancă, precum în cazul unui card de credit real). În cazul inexistenţei unui POS electronic, aici intră în acţiune literele embosate de pe card şi informaţiile sunt transferate mecanic pe hârtie (ca un cec, să zicem); la noi, 99.9999% din POS-uri sunt electronice, deci nu ne interesează asta. Cardul nostru de debit emis în România se va comporta ca un card de credit atunci când suntem în afara ţării, din motive tehnice (imposibilitatea de a comunica în timp real cu banca din ţara emitentă este unul din aceste motive).

Aparat de inscripţionare a cardurilor clonate
Aparat de inscripţionare a cardurilor clonate

Bun, şi în cazul ăsta, cum se poate fura de pe carduri până la urmă? În 2 moduri, care corespund celor 2 cazuri de mai sus.

Cazul 1: card clonat şi PIN Hoţul are PIN-ul, şi poate extrage direct bani de la ATM cu un card clonat (varianta preferată, deoarece este eliminată interacţiunea cu magazinul şi necesitatea vânzării bunurilor achiziţionate).
Cazul 2: card clonat utilizat ca un card de credit Hoţul are informaţiile de pe card, şi nu are nevoie de PIN, putând plăti cu cardul clonat la magazin, urmând a vinde produsele cumpărate pentru bani lichizi.

Să tratăm cele 2 cazuri pe rând.

Cazul 1: hoţul clonează cardul şi are PIN-ul. O pereche “card clonat + PIN” este foarte valoroasă, deoarece se pot obţine direct banii de la ATM, şi nu există facilitatea de “chargeback” în cazul tranzacţiilor efectuate cu un card de credit. Practic, un card clonat şi PIN-ul său ar putea foarte bine să fie privite exact ca un portofel plin cu bani: când este furat, banii s-au cam dus.

Clonarea cardului este relativ facilă: procedeul se cheamă skimming. Cardul care se doreşte a fi clonat este trecut printr-un dispozitiv (numit “pisicuţă” la noi) care citeşte datele de pe banda magnetică şi le memorează. Cu datele copiate de pe banda magnetică a cardului şi un inscriptor de carduri “blank” se poate obţine o copie perfectă a cardului clonat (din punct de vedere al datelor stocate). De obicei, datele sunt copiate chiar prin intermediul angajaţilor de la magazine: dăm cardul pentru plată, şi într-un moment de neatenţie cardul este trecut repede prin dispozitivul de copiere, operaţiunea durând nici 2 secunde. Varianta 2: montarea pe fanta bancomatelor a dispozitivului de copiere (acesta e motivul pentru care au apărut “gulerele” alea verzi din plastic transparent de ceva vreme, la bancomate). Şi bum, avem cardul clonat.

Iată cum arată o pisicuţă de bancomat (mai multe poze se găsesc la sursă, aici):

skimapparaat-klein15
Aparat de clonat carduri pentru instalare în ATM - exterior
skimapparaat-klein22
Aparat de clonat carduri pentru instalare în ATM - interior

Dar cum obţin PIN-ul? Păi, se zice că (aproape la fel de de) uşor. Varianta 1, pentru dispozitivele de clonare instalate pe bancomate: se montează o cameră mică de luat vederi în colţul de sus al bancomatului, îndreptată fix spre tastatura pe care introduceţi PIN-ul. Varianta 2, pentru cele instalate în magazine: se obţine acces la calculatorul din magazin pe care e instalat software-ul care procesează plăţile, şi se interceptează PIN-ul în momentul în care-l tastaţi pe PIN pad. Teoretic, comerciantul nu are voie să păstreze PIN-ul tastat nici măcar în formă criptată; practic, odată ce se obţine acces fizic la calculatorul sau în reţeaua unde lucrează software-ul de procesare (şi implicit acces la cheile de criptare), e prea târziu. Varianta 3, cea mai rar întâlnită (dar şi cea mai distructivă): obţinerea accesului la baza de date a băncii (de obicei prin intermediul unui angajat corupt), şi copierea perechilor de date + PIN direct din sistemul băncii. Se bănuieşte că fraudarea cardurilor Millenium de la Bancpost din mai 2008 a fost efectuată astfel.

Skimmer portabil
Skimmer portabil
Cazul 2: este şi mai simplu, după ce aţi citit cazul 1, deoarece nu mai implică PIN-ul. Când sunt în afara ţării cu cardul meu de debit, acesta se comportă ca un card de credit. Tranzacţia nu mai implică PIN, ci doar citirea datelor mele de pe card şi transmiterea lor împreună cu suma de plată către banca din ţara emitentă a cardului (similar cu facturarea apelurilor roaming, dar ăsta e alt subiect). Dacă în momentul în care eu îmi cumpăr pantofi din mall, cardul meu este copiat, totul s-a terminat. Datele copiate de pe card sunt transmise la vreo zece mii de kilometri distanţă într-o ţară cu legislaţie şi autorităţi mai relaxate (să zicem Bulgaria, Ucraina, şamd), şi este creat un card clonat cu datele cardului meu. Hoţul se duce la magazin şi cumpără cu acest card 10 parfumuri de 100 EUR, iar tranzacţia apare în extrasul meu de cont abia la 2-3 zile, mult după ce parfumurile au fost vândute “în piaţă” pentru bani buni. Ä‚sta e momentul de şoc, momentul în care suni la bancă, momentul în care cardul bancar este blocat.

Ca exemplu de păţanie: cardul bancar adevărat era în Dubai, tranzacţiile dubioase au apărut în Moscova şi USA (mişto Internetul ăsta, nu?) S-a sunat la banca românească pentru a reclama frauda. Banca românească a cerut o fotografie a cardului bancar cu un colţ tăiat, împreună cu un ziar recent (pentru a verifica faptul că posesorul cardului este cu adevărat acolo unde spune că este şi a verifica data reclamaţiei, presupun). Cardul a fost blocat, şi urmează ca banca să investigheze problema pentru a returna banii posesorului păgubit. Ah, şi pentru că este o bancă românească pe care eu o “simpatizez” mult de tot, aflaţi că se preia un COMISION DE RECUPERARE de 10 EUR – culmea nesimţirii, nu? culmea nesimţirii pentru că nu e normal, şi pentru că acel card tocmai fusese schimbat în urma altei fraude similare, şi nu fusese folosit DELOC până în momentul apariţiei tranzacţiilor frauduloase, ceea ce mă duce cu gândul la faptul că informaţiile de pe card au plecat din interiorul băncii. Da, de voi vorbesc, băi BRD!

Alt tip de pisicuţă, instalată pe fanta bancomatului
Alt tip de pisicuţă, instalată pe fanta bancomatului

Bun, şi ce putem face pentru a ne proteja în cazul ăsta? Păi:

  • aveţi grijă de card şi de PIN. Nu scrieţi PIN-ul pe hârtie, sau direct pe card!
  • la bancomat, evitaţi bancomatele suspecte şi inspectaţi vizual fanta de introducere a cardului. Dacă arată dubios, prezintă urme de forţare sau demontare … căutaţi alt bancomat. Eventual unul situat într-o incintă închisă, cu acces restricţionat (gen Office-urile de la ING).
  • când tastaţi PIN-ul la bancomat, acoperiţi mâna cu care tastaţi cu cealaltă mână. Valabil şi la plata cu cardul la POS.
  • când plătiţi la POS şi vi se spune că tranzacţia a fost refuzată, cereţi chitanţa tipărită de POS cu motivul refuzului (conexiune imposibilă, insuficiente fonduri, etc). Nu acceptaţi trecerea cardului prin POS fără a primi o chitanţă pentru fiecare trecere, indiferent de rezultatul operaţiunii!
  • nu pierdeţi cardul din vedere când plătiţi la POS. Nu permiteţi vânzătorului să plece cu cardul în altă cameră, să-l treacă pe sub tejghea, sau alte manevre similare.
  • nu introduceţi PIN-ul în nici o pagină de web (vezi recentele cazuri de phishing care ţintesc Raiffeisen Bank); tranzacţiile web folosesc cel mult CVV-ul, în nici un caz PIN-ul cardului.
  • folosiţi serviciul de online banking, şi verificaţi periodic extrasul de cont, urmărind apariţia tranzacţiilor suspecte. Dacă observaţi ceva dubios, sunaţi la bancă imediat.

Bibliografie:

1. 300.000 de euro fraudă la Bancpost, EVZ.ro
2. Did PIN thieves grab hacking’s Holy Grail?, MSNBC.com
3. Debit Transactions, PayMeNow.com
4. Debit cards, Credit cards, Credit card hijacking, Wikipedia.org
5. Card skimming, scamwatch.gov.au
6. Skimapparaat, Paul Wiegmans
7. Card-skimming gang targets train stations, Telegraph.co.uk
8. Your Say: Cash machine fraud, BBC
9. How thief duplicates your credit or debit card, Tea Poci
10. ATM, Debit Card and Credit Card Skimmer images, www.insideIDtheft.info

29 thoughts on “cum se fură de pe carduri

  1. Mai adaug:
    1. Nu folositi cardul la comerciantii obscuri, gen buticuri.
    2. Daca aveti internet banking puteti aplica urmatoare metoda:
    -Deschideti la banca doua conturi (sa zicem in RON)
    -Pe un cont (sa zicem contul A) atasati un card
    -Pe celalalt cont (sa zicem contul B) nu atasati nici un card
    -Intotdeauna tineti banii cei mai multi in contul B, sa zicem echivalentul a 1800 euro
    -Pe contul A tineti numai echivalentul a 200-300 euro
    -Cind cheltuiti banii din contul A, mai alimentati prin internet banking din contul B. Avantajul este ca daca cumva un hot va fura datele de pe card nu poate sa fure decit banii disponibili din contul A, cei 200-300 euro. Nu poate sa se atinga de banii ceilalti, 1800 euro din contul B.

  2. Foarte bune sfaturile … desi as adauga si eu un lucru:
    e ok daca treci PIN-ul pe card … atata timp cat nu e cel adevarat 🙂

  3. Nu-i de tipărit, ci de ţinut minte! 😀 Hitmane, e foarte bună şi metoda ta, şi o aplic pe cardul cel mai “potent” dintre cele pe care le posed (a se citi ăla de salariu).

  4. Pai daca te indoiesti atunci mai cauta pe la banci si o sa descoperi ca se poate.

  5. 1) Incercati va rog pe acest site sa nu duceti dicutiile off topic in certuri sau alte chestii ca pe cele mai multe forumiri si sa ii multumim lu Vasix pt info pe care le-a adus.
    2) De 2 Ani fol metoda cu 2 contrui. Pe acelasi nume la Raiffeisen am 4 conturi 2 USD,1 ron, 1 Euro. Poti avea cate vrei atata timp cat platesti. Un sfat in plus. Daca fac schimbul valutar pe Internet la aceasta banca obitn un curs mai bun decat daca ma duc la ghiseu.
    3) Ceea ce zice vasixx cu cardul de debit odata plecat din tara e adevarat. Peste tot pe unde am fost pana acum nu mi-au cerut codul pin. Dar as vrea sa adaog ceva aici. Magazinele care se respecta or sa ceara ID cu cardul pe care il prezinti si unele din ele pot chiar sa refuze daca suma este prea mare. EX: am cumparat un geamantan de 800USD si a trebuit sa ma legitimez si sa semnez declaratie ca sunt de acord cu precesul de cumparare.
    4) Au fost cazuri cand am avut banii blocati si pentru o luna pe cont pt ca orice am cumparat din afara sau magazine inca nu au ajuns la o intelegere cu banca. Durata maxima pe care eu am intalnit-o a fost 5 saptamani.

    Inca odata mersi vasixx.

  6. caut un skimmer , cine stie de unde il pot cumpara : caiwerty (a) yahoo.es . Plata cash

  7. Faza cu virusul pe un card de credit special preparat e tare rau! Introduci cardul normal in ATM si hopa banu’ de la fazani!

  8. dak mai eshti liber cauta’ma fratelo sa impartashim unele impresii:)) asta’i id:schummerflorin69

  9. cine este interesat de aparaeeeeeeeeee sa ma caute la şmîţ_xrîte@yahoo.com

  10. wa fratilor dar spunetimi si mie cum se cloneaza alea de bcr tot asa>? ca nu de alta am 16 ani si le cam am cu asa ceva am furat la unu 5mii eura si miam luat un bmw
    🙂
    🙂
    🙂 vezi cum se fura electroni

  11. Sall , ma numesc Albert si am 15 ani si as dori sa stiu si eu cum se produc dispozitivele pentru citirea bandei magnetica
    as vrea sa imi explicatii asa cam pe ,, babeste ,, ca sa inteleg va rog frumos din suflet

  12. Nevoie de un card HACKED ATM cu PIN-ul?

    Comercializam carduri de ATM-uri încărcate fizice. Este o carte de crooned care pot fi folosite pentru a retrage numerar de la orice ATM. Acest lucru Carduri vine in Visa / Mastercard. Prin urmare, funcționează la orice mașină bancomat care acceptă Visa / MasterCard Worldwide.

    Pot folosi ACEST CARD gata de expediere ATM pentru a cumpara lucruri in magazine? SAU ONLINE SHOPPING? PLATESTE FACTURILE?

    Da, cu acest card de ATM-uri fizice, aveți posibilitatea să-l utilizați pentru a plăti lucruri la magazinele prin POS. Cu aceste informații carte de ATM-uri, puteți utiliza on-line pentru a plăti facturile sau de a face cumpărături on-line. Atunci când comandați pentru acest card, informații complete despre card va fi dat la tine. De asemenea, vom reîncărca cardul dvs. atunci când fondurile epuizate.

    Am nevoie pentru a COMANDA CARD NOU de fiecare data cand PETRECUT FONDURI FINISH?

    Nu, dacă ați comandat deja cartea noastra, nu este nevoie de a păstra comanda cărți noi, Doar contactați-ne pentru o reîncărcare. Vom reîncărca cu ușurință cartela de ATM-uri aflate deja în posesia dumneavoastră

    Cât timp nu sa primesc ATM CARD IN TARA MEA?

    Dacă vă aflați în Africa, veți primi cardul în 2-3 zile cu garantat. Dacă sunteți în afara Africii Cardul dvs. va ajunge la tine intre 3 – 5 zile lucrătoare garantate.

    CUM ESTE SIGUR ACEST CARD?

    Este 100% sigur de a utiliza acest card. Pentru că acesta va fi livrat la tine ca un card cadou.

    NU VĂ REÎNCĂRCAȚI DE ASEMENEA, ORICE ALTĂ CARD NU DIN ACEST crooned CARDURI?

    Da, putem reîncărca orice carduri active și valide, orice tip de card doar sa ne contactati pentru reîncărcare (cartele preplătite, carduri de credit / debit).

    Cum comand pentru card ATM?

    EMAIL: (dukeblankhacker@outlook.com) …

    CUM FACE ACEST CARD?

    Noi folosim o mașină MSR pentru a Crone aceste cărți. De asemenea, puteți cumpăra această mașină de la noi, de asemenea. Puteți comanda pentru cardul ATM, fie cardul proiectat sau cardul gol, dar încă aceleași informații despre ele.

    EMAIL: (dukeblankhacker@outlook.com) …. Multumesc

Leave a Reply

Your email address will not be published. Required fields are marked *


Anunţă-mă când sunt comentarii noi. Te poţi abona fără a comenta.

This site uses Akismet to reduce spam. Learn how your comment data is processed.