Čuvanje kartice blizu telefona ponekad je dovoljan razlog da ostanete bez novca. Sajber-kriminalci smišljaju nove načine da ukradu novac sa platnih kartica, koristeći pristupne podatke koji su fišingom ukradeni putem interneta ili telefona – upozoravaju stručnjaci kompanije „Kasperski”. Iako se bezbednost platnih kartica konstantno poboljšava, napadači stalno pronalaze nove načine da ukradu novac. Nakon što bi prevarili žrtvu da preda podatke sa kartice na lažnoj onlajn prodavnici ili putem druge prevare, sajber-kriminalci su nekada pravili duplikat kartice upisivanjem ukradenih podataka na magnetnu traku. Takve kartice su se zatim mogle koristiti u prodavnicama, pa čak i na bankomatima bez problema. Pojava čip kartica i jednokratnih lozinki (takozvani OTP ili jednokratne lozinke) značajno je otežala posao prevarantima, ali su se oni prilagodili. Prelazak na mobilna plaćanja putem pametnih telefona povećao je otpornost na neke vrste prevara, ali je i otvorio nove prilike za njih.
– Sada, nakon što ukradu broj kartice, prevaranti pokušavaju da je povežu sa sopstvenim epl pej ili gugl volet nalogom. Kada to urade, koriste ovaj nalog sa pametnog telefona da plate robu koristeći karticu žrtve, bilo u regularnoj prodavnici ili na lažnom prodajnom mestu – navode stručnjaci. Kako se podaci sa kartice kradu putem fišinga? Internet je preplavljen mrežom lažnih veb-sajtova čiji je cilj fišing, odnosno krađa podataka sa platnih kartica. Ovi sajtovi mogu imitirati usluge dostave, velike onlajn prodavnice, pa čak i portale za plaćanje komunalnih računa ili saobraćajnih kazni. Sajber-kriminalci kupuju, takođe, desetine pametnih telefona, prave epl ili gugl naloge na njima i instaliraju aplikacije za beskontaktna plaćanja.
– Kada žrtva bude namamljena na sajt, od nje se traži da poveže svoju karticu ili izvrši obavezno malo plaćanje. Ovo zahteva unos podataka o kartici i potvrdu vlasništva kartice unosom OTP koda. U ovom trenutku se novac još uvek ne skida sa kartice. Zapravo, podaci žrtve se gotovo odmah prenose sajber-kriminalcima, koji povezuju karticu sa mobilnim novčanikom na svom pametnom telefonu. Potreban je OTP kod da bi se autorizovala ova operacija. Da bi ubrzali i pojednostavili proces, napadači koriste specijalan softver koji uzima podatke koje je žrtva unela i generiše sliku kartice koja joj savršeno odgovara. Nakon toga, dovoljno je samo da se uslika ova slika koristeći „Epl pej” ili „Gugl volet”. Tačan proces povezivanja kartice sa mobilnim novčanikom zavisi od konkretne zemlje i banke, ali obično nije potrebno ništa osim broja kartice, datuma isteka, imena vlasnika kartice, koda sa poleđine kartice i OTP-a. Svi ovi podaci mogu biti ukradeni u jednoj sesiji i odmah upotrebljeni – navode stručnjaci.
U kompaniji „Kasperski” su otkrili i dodatne trikove koje sajber-kriminalci koriste kako bi napadi bili još efikasniji. Prvo, ako žrtva posumnja pre nego što pritisne dugme „Pošalji”, svi podaci koji su već uneseni ipak se prosleđuju kriminalcima – čak i ako je to samo nekoliko karaktera ili nepotpun unos. Drugo, lažni sajt može prijaviti da je uplata neuspešna i podstaknuti žrtvu da pokuša sa drugom karticom. Na taj način, kriminalci mogu ukrasti podatke za dve ili tri kartice u jednom pokušaju. Novac sa kartice se, objašnjavaju, ne skida odmah a mnogi ljudi, ne videvši ništa sumnjivo u izvodu iz banke, zaborave na ceo incident.
Kako se novac krade sa kartica
Sajber-kriminalci u nekim slučajevima povežu desetine kartica sa jednim pametnim telefonom i ne potroše odmah novac sa njih. Ovaj pametni telefon, pun brojeva kartica, zatim se preprodaje na „Dark vebu”. Često prođe nekoliko nedelja, pa čak i meseci između fišinga i potrošnje. Ali kada taj neprijatan dan konačno dođe, kriminalci mogu odlučiti da kupe luksuzne predmete u prodavnici jednostavno obavljanjem beskontaktne transakcije sa telefona punog ukradenih brojeva kartica. Takođe, mogu postaviti svoju lažnu prodavnicu na legitimnoj platformi za elektronsku trgovinu i naplatiti novac za nepostojeće proizvode. Neke zemlje čak omogućavaju podizanje gotovine sa bankomata pomoću pametnog telefona sa NFC podrškom. U svim gore navedenim slučajevima, nije potrebna potvrda transakcije putem PIN-a ili OTP-a, tako da novac može biti preusmeren dok žrtva ne blokira karticu, navode oni.
Antrfile
Prislanjanje kartice na telefon
Krajem 2024. godine stručnjaci kompanije „Kasperski” su otkrili prevaru koja zloupotrebljava NFC tehnologiju za krađu novca sa računa povezanih sa karticom. U ovoj prevari od žrtava se ne traže podaci sa kartice. Umesto toga, napadači ih društvenim inženjeringom navode da instaliraju navodno korisnu aplikaciju na svom pametnom telefonu pod izgovorom administrativne, bankarske ili druge usluge. Žrtva zatim bude upitana da prinese svoju karticu na telefon i unese PIN kod za „autorizaciju” ili „verifikaciju”. Instalirana aplikacija, naravno, nema dodira sa svojim opisom. U prvom talasu ovih napada žrtvama je očitavana kartica kada je bila prislonjena uz pametni telefon i prenosila je podatke zajedno sa PIN kodom napadačima koji su ih koristili za kupovinu ili podizanje gotovine sa bankomata koji podržavaju NFC, objašnjavaju stručnjaci kompanije „Kasperski”.
