{"id":1200,"date":"2009-03-22T00:31:59","date_gmt":"2009-03-21T22:31:59","guid":{"rendered":"http:\/\/vaxxi.net\/log\/?p=1200"},"modified":"2009-03-22T13:40:32","modified_gmt":"2009-03-22T11:40:32","slug":"cum-se-fura-de-pe-carduri","status":"publish","type":"post","link":"https:\/\/vaxxi.net\/log\/cum-se-fura-de-pe-carduri\/","title":{"rendered":"cum se fur\u0103 de pe carduri"},"content":{"rendered":"
\"POS
Aparat POS (Point Of Sale)<\/figcaption><\/figure>\n

Eh, valabil titlu, nu? din p\u0103cate, nu am spus “cum s\u0103 furi”, ci “cum se fur\u0103”. E o diferen\u0163\u0103.<\/p>\n

Cardul bancar (fie el de debit sau de credit) este din ce \u00een ce mai utilizat \u00een ziua de azi. Fiind portofelul electronic al majorit\u0103\u0163ii, tenta\u0163ia e mare: fraudele cu carduri bancare s-au \u00eenmul\u0163it ca num\u0103r \u015fi ca valoare, iar pericolul p\u00e2nde\u015fte la fiecare col\u0163, tovar\u0103\u015fi. Fraudarea unui card bancar se poate face \u00een 2 feluri mari \u015fi late: achizi\u0163ionarea de bunuri sau servicii cu un card bancar clonat, sau extragerea direct\u0103 de fonduri. Trebuie notat c\u0103 (din p\u0103cate) la noi predomin\u0103 cardurile de debit (chiar \u015fi cardurile de debit cu overdraft sunt tot carduri de debit, \u00een esen\u0163\u0103), care nu beneficiaz\u0103 de at\u00e2tea m\u0103suri de protec\u0163ie precum cardurile de credit. \u00cen USA, de exemplu, o \u00een\u015fel\u0103torie la plata cu credit card-ul (de exemplu ai pl\u0103tit online produsul X, \u015fi nu-l prime\u015fti, sau prime\u015fti altceva) poate fi reclamat\u0103 la banca emitent\u0103 a cardului, \u015fi clientul \u00ee\u015fi prime\u015fte banii \u00eenapoi – este treaba b\u0103ncii s\u0103 se descurce cu furnizorul (procesul se nume\u015fte chargeback<\/em>). Eh, chestia asta nu exist\u0103 la cardurile de debit; pe de alt\u0103 parte, la cardurile de credit se pl\u0103te\u015fte dob\u00e2nd\u0103, la cele de debit nu. Un card de debit \u00ee\u0163i permite s\u0103 cheltui doar bani pe care \u00eei ai, un card de credit \u00ee\u0163i permite s\u0103 cheltui bani pe care nu-i ai.<\/p>\n

<\/p>\n

Mai departe. Cardul bancar este o am\u0103r\u00e2t\u0103 bucat\u0103 de plastic, ce con\u0163ine c\u00e2teva elemente foarte importante: numele de\u0163in\u0103torului, num\u0103rul de card, data expir\u0103rii \u015fi codul de verificare (denumit \u015fi CVV). Primele 3 se reg\u0103sesc pe fa\u0163a cardului, CVV-ul const\u0103 \u00een ultimele 3 cifre inscrip\u0163ionate pe spatele cardului. Toate aceste date (cu excep\u0163ia CVV-ului) sunt vizibile \u00een clar, \u015fi stocate criptat pe banda magnetic\u0103 a cardului pentru a putea fi citite de POS-uri (Point Of Sale). Motivul existen\u0163ei CVV-ului este un nivel suplimentar \u00een siguran\u0163a tranzac\u0163iei: teoretic, neav\u00e2nd CVV-ul, tranzac\u0163ia nu poate fi completat\u0103; CVV-ul este un fel de dovad\u0103 a existen\u0163ei \u015fi prezen\u0163ei cardului la desf\u0103\u015furarea tranzac\u0163iei.<\/p>\n

Cele 2 mari companii emi\u0163\u0103toare de carduri bancare sunt, dup\u0103 cum \u015fti\u0163i probabil, Visa \u015fi Mastercard. Toate cardurile Mastercard sunt carduri embosate (au informa\u0163iile de pe fa\u0163\u0103 scrise \u00een relief), pe c\u00e2nd Visa ofer\u0103 \u015fi Visa Electron (un fel de Visa limitat, dac\u0103 vre\u0163i). Motivul pentru care literele sunt scrise \u00een relief st\u0103 \u00een istorie, pe c\u00e2nd POS-urile electronice nu existau, \u015fi informa\u0163ia de pe card era preluat\u0103 mecanic prin plasarea cardului \u00eentr-un dispozitiv care presa literele pe o h\u00e2rtie tip indigo (cam ca atunci c\u00e2nd freca\u0163i cu creionul o coal\u0103 de h\u00e2rtie plasat\u0103 peste o moned\u0103). \u00cen prezent, majoritatea POS-urilor sunt electronice: cardul este introdus \u00een dispozitiv, \u015fi acesta comunic\u0103 (de obicei prin intermediul unei linii telefonice) cu “centrala” pentru a transmite datele citite de pe card. Eh, \u015fi o s\u0103 \u00eentreba\u0163i de codul PIN. Codul PIN este aplicat doar cardurilor de debit, ca principal\u0103 m\u0103sur\u0103 de protec\u0163ie (\u0163ine\u0163i minte c\u0103 un card de debit nu te protejeaz\u0103 \u00een cazul tranzac\u0163iilor dubioase, a\u015fa cum o face un card de credit). Eh, de-aici vine \u015fi problema.<\/p>\n

S\u0103 lu\u0103m un card de debit obi\u015fnuit, emis de Visa. Mergem la magazin, cump\u0103r\u0103m ceva \u015fi pl\u0103tim. Cardul este trecut prin POS, se introduce suma de plat\u0103, \u015fi … depinde.<\/p>\n

\"PIN
PIN Pad (dispozitiv pentru introducerea PIN-ului)<\/figcaption><\/figure>\n

Cazul 1: tranzac\u0163ie online, cu PIN<\/strong>. Tranzac\u0163ia este autentificat\u0103 pe baz\u0103 de PIN. Dup\u0103 introducerea sumei ce trebuie pl\u0103tit\u0103, ni se cere codul PIN, pe care \u00eel tast\u0103m pe o mic\u0103 tastatur\u0103 numeric\u0103 numit\u0103 PIN pad<\/em>. Codul tastat este criptat cu un algoritm oarecare, \u015fi e comparat cu valoarea criptat\u0103 stocat\u0103 pe banda magnetic\u0103. Dac\u0103 se potrivesc, succes: este deschis\u0103 o conexiune cu centrala b\u0103ncii, sunt comunicate informa\u0163iile despre pl\u0103titor, suma ce trebuie debitat\u0103 din contul persoanei, \u015fi se a\u015fteapt\u0103 r\u0103spunsul de la centrala b\u0103ncii (poate nu avem destui bani \u00een cont? atunci, erorare). Dac\u0103 avem bani \u00een cont, atunci totul e \u00een regul\u0103 \u015fi se tip\u0103resc cele 2 chitan\u0163e. O chitan\u0163\u0103 e semnat\u0103 de posesorul cardului \u015fi r\u0103m\u00e2ne la magazin, semn\u0103tura fiind acceptul de plat\u0103. S\u0103 numim acest tip de tranzac\u0163ie a fi “o tranzac\u0163ie online”.<\/p>\n

Cazul 2: tranzac\u0163ie offline, f\u0103r\u0103 PIN.<\/strong> Eh, \u0103sta e cazul mai delicat; c\u00e2nd o tranzac\u0163ie nu necesit\u0103 cod PIN, se nume\u015fte a fi “o tranzac\u0163ie offline”. \u00cen esen\u0163\u0103, cardul de debit este procesat ca un card de credit: sunt memorate informa\u0163iile de pe card \u015fi suma de plat\u0103, acestea urm\u00e2nd a fi transmise ulterior la banc\u0103 pentru procesare. Acesta este \u015fi motivul pentru care tranzac\u0163iile desf\u0103\u015furate f\u0103r\u0103 PIN apar \u00een extrasul de cont abia dup\u0103 2-3 zile de la efectuarea tranzac\u0163iei. Procesul se desf\u0103\u015foar\u0103 exact ca prelucrarea unei tranzac\u0163ii cu un card de credit, doar c\u0103 banii implica\u0163i \u00een tranzac\u0163ie exist\u0103 \u00een contul bancar (nu sunt bani “\u00eemprumuta\u0163i” de banc\u0103, precum \u00een cazul unui card de credit real). \u00cen cazul inexisten\u0163ei unui POS electronic, aici intr\u0103 \u00een ac\u0163iune literele embosate de pe card \u015fi informa\u0163iile sunt transferate mecanic pe h\u00e2rtie (ca un cec, s\u0103 zicem); la noi, 99.9999% din POS-uri sunt electronice, deci nu ne intereseaz\u0103 asta. Cardul nostru de debit emis \u00een Rom\u00e2nia se va comporta ca un card de credit<\/strong> atunci c\u00e2nd suntem \u00een afara \u0163\u0103rii, din motive tehnice (imposibilitatea de a comunica \u00een timp real cu banca din \u0163ara emitent\u0103 este unul din aceste motive).<\/p>\n

\"Aparat<\/strong>
Aparat de inscrip\u0163ionare a cardurilor clonate<\/figcaption><\/figure>\n

Bun, \u015fi \u00een cazul \u0103sta, cum se poate fura de pe carduri p\u00e2n\u0103 la urm\u0103? \u00cen 2 moduri, care corespund celor 2 cazuri de mai sus.<\/p>\n

Cazul 1: card clonat \u015fi PIN<\/strong> Ho\u0163ul are PIN-ul, \u015fi poate extrage direct bani de la ATM cu un card clonat (varianta preferat\u0103, deoarece este eliminat\u0103 interac\u0163iunea cu magazinul \u015fi necesitatea v\u00e2nz\u0103rii bunurilor achizi\u0163ionate).
\nCazul 2: card clonat utilizat ca un card de credit<\/strong> Ho\u0163ul are informa\u0163iile de pe card, \u015fi nu are nevoie de PIN, put\u00e2nd pl\u0103ti cu cardul clonat la magazin, urm\u00e2nd a vinde produsele cump\u0103rate pentru bani lichizi.<\/p>\n

S\u0103 trat\u0103m cele 2 cazuri pe r\u00e2nd.<\/p>\n

Cazul 1:<\/strong> ho\u0163ul cloneaz\u0103 cardul \u015fi are PIN-ul. O pereche “card clonat + PIN” este foarte valoroas\u0103, deoarece se pot ob\u0163ine direct banii de la ATM, \u015fi nu exist\u0103 facilitatea de “chargeback” \u00een cazul tranzac\u0163iilor efectuate cu un card de credit. Practic, un card clonat \u015fi PIN-ul s\u0103u ar putea foarte bine s\u0103 fie privite exact ca un portofel plin cu bani: c\u00e2nd este furat, banii s-au cam dus.<\/p>\n

Clonarea cardului este relativ facil\u0103: procedeul se cheam\u0103 skimming<\/a>. Cardul care se dore\u015fte a fi clonat este trecut printr-un dispozitiv (numit “pisicu\u0163\u0103” la noi) care cite\u015fte datele de pe banda magnetic\u0103 \u015fi le memoreaz\u0103. Cu datele copiate de pe banda magnetic\u0103 a cardului \u015fi un inscriptor de carduri “blank” se poate ob\u0163ine o copie perfect\u0103 a cardului clonat (din punct de vedere al datelor stocate). De obicei, datele sunt copiate chiar prin intermediul angaja\u0163ilor de la magazine: d\u0103m cardul pentru plat\u0103, \u015fi \u00eentr-un moment de neaten\u0163ie cardul este trecut repede prin dispozitivul de copiere, opera\u0163iunea dur\u00e2nd nici 2 secunde. Varianta 2: montarea pe fanta bancomatelor a dispozitivului de copiere (acesta e motivul pentru care au ap\u0103rut “gulerele” alea verzi din plastic transparent de ceva vreme, la bancomate). \u015ei bum, avem cardul clonat.<\/p>\n

Iat\u0103 cum arat\u0103 o pisicu\u0163\u0103 de bancomat (mai multe poze se g\u0103sesc la surs\u0103, aici<\/a>):<\/p>\n

\"skimapparaat-klein15\"<\/a>
Aparat de clonat carduri pentru instalare \u00een ATM - exterior<\/figcaption><\/figure>\n
\"skimapparaat-klein22\"<\/a>
Aparat de clonat carduri pentru instalare \u00een ATM - interior<\/figcaption><\/figure>\n

Dar cum ob\u0163in PIN-ul? P\u0103i, se zice c\u0103 (aproape la fel de de) u\u015for. Varianta 1, pentru dispozitivele de clonare instalate pe bancomate: se monteaz\u0103 o camer\u0103 mic\u0103 de luat vederi \u00een col\u0163ul de sus al bancomatului, \u00eendreptat\u0103 fix spre tastatura pe care introduce\u0163i PIN-ul. Varianta 2, pentru cele instalate \u00een magazine: se ob\u0163ine acces la calculatorul din magazin pe care e instalat software-ul care proceseaz\u0103 pl\u0103\u0163ile, \u015fi se intercepteaz\u0103 PIN-ul \u00een momentul \u00een care-l tasta\u0163i pe PIN pad. Teoretic, comerciantul nu are voie s\u0103 p\u0103streze PIN-ul tastat nici m\u0103car \u00een form\u0103 criptat\u0103; practic, odat\u0103 ce se ob\u0163ine acces fizic la calculatorul sau \u00een re\u0163eaua unde lucreaz\u0103 software-ul de procesare (\u015fi implicit acces la cheile de criptare), e prea t\u00e2rziu. Varianta 3, cea mai rar \u00eent\u00e2lnit\u0103 (dar \u015fi cea mai distructiv\u0103): ob\u0163inerea accesului la baza de date a b\u0103ncii (de obicei prin intermediul unui angajat corupt), \u015fi copierea perechilor de date + PIN direct din sistemul b\u0103ncii. Se b\u0103nuie\u015fte c\u0103 fraudarea cardurilor Millenium de la Bancpost din mai 2008 <\/a>a fost efectuat\u0103 astfel.<\/p>\n

\"Skimmer
Skimmer portabil<\/figcaption><\/figure>Cazul 2:<\/strong> este \u015fi mai simplu, dup\u0103 ce a\u0163i citit cazul 1, deoarece nu mai implic\u0103 PIN-ul. C\u00e2nd sunt \u00een afara \u0163\u0103rii cu cardul meu de debit, acesta se comport\u0103 ca un card de credit. Tranzac\u0163ia nu mai implic\u0103 PIN, ci doar citirea datelor mele de pe card \u015fi transmiterea lor \u00eempreun\u0103 cu suma de plat\u0103 c\u0103tre banca din \u0163ara emitent\u0103 a cardului (similar cu facturarea apelurilor roaming, dar \u0103sta e alt subiect). Dac\u0103 \u00een momentul \u00een care eu \u00eemi cump\u0103r pantofi din mall, cardul meu este copiat, totul s-a terminat. Datele copiate de pe card sunt transmise la vreo zece mii de kilometri distan\u0163\u0103 \u00eentr-o \u0163ar\u0103 cu legisla\u0163ie \u015fi autorit\u0103\u0163i mai relaxate (s\u0103 zicem Bulgaria, Ucraina, \u015famd), \u015fi este creat un card clonat cu datele cardului meu. Ho\u0163ul se duce la magazin \u015fi cump\u0103r\u0103 cu acest card 10 parfumuri de 100 EUR, iar tranzac\u0163ia apare \u00een extrasul meu de cont abia la 2-3 zile, mult dup\u0103 ce parfumurile au fost v\u00e2ndute “\u00een pia\u0163\u0103” pentru bani buni. \u00c4\u201asta e momentul de \u015foc, momentul \u00een care suni la banc\u0103, momentul \u00een care cardul bancar este blocat.<\/p>\n

Ca exemplu de p\u0103\u0163anie: cardul bancar adev\u0103rat era \u00een Dubai, tranzac\u0163iile dubioase au ap\u0103rut \u00een Moscova \u015fi USA (mi\u015fto Internetul \u0103sta, nu?) S-a sunat la banca rom\u00e2neasc\u0103 pentru a reclama frauda. Banca rom\u00e2neasc\u0103 a cerut o fotografie a cardului bancar cu un col\u0163 t\u0103iat, \u00eempreun\u0103 cu un ziar recent (pentru a verifica faptul c\u0103 posesorul cardului este cu adev\u0103rat acolo unde spune c\u0103 este \u015fi a verifica data reclama\u0163iei, presupun). Cardul a fost blocat, \u015fi urmeaz\u0103 ca banca s\u0103 investigheze problema pentru a returna banii posesorului p\u0103gubit. Ah, \u015fi pentru c\u0103 este o banc\u0103 rom\u00e2neasc\u0103 pe care eu o “simpatizez” mult de tot, afla\u0163i c\u0103 se preia un COMISION DE RECUPERARE de 10 EUR – culmea nesim\u0163irii, nu? culmea nesim\u0163irii pentru c\u0103 nu e normal, \u015fi pentru c\u0103 acel card tocmai fusese schimbat \u00een urma altei fraude similare, \u015fi nu fusese folosit DELOC p\u00e2n\u0103 \u00een momentul apari\u0163iei tranzac\u0163iilor frauduloase, ceea ce m\u0103 duce cu g\u00e2ndul la faptul c\u0103 informa\u0163iile de pe card au plecat din interiorul b\u0103ncii. Da, de voi vorbesc, b\u0103i BRD!<\/p>\n

\"Alt<\/a>
Alt tip de pisicu\u0163\u0103, instalat\u0103 pe fanta bancomatului<\/figcaption><\/figure>\n

Bun, \u015fi ce putem face pentru a ne proteja \u00een cazul \u0103sta? P\u0103i:<\/p>\n