Jak zminimalizować skutki kradzieży danych karty?

Szacuje się, że w darknecie mogą być dostępne miliony nielegalnie pozyskanych numerów kart, nazw użytkowników i haseł. Skala tego rynku jest trudna do oszacowania, jednak działania cyberprzestępców przynoszą im ogromne zyski. Szacuje się, że administratorzy największego nielegalnego serwisu handlującego skradzionymi danymi kart płatniczych w darknecie, zarobili na swojej działalności przestępczej ponad 350 milionów dolarów. Przestępcy, którzy znajdą się w ich posiadaniu najczęściej wykorzystują metodę płatności card-not-present, która nie wymaga obecności fizycznej karty przy dokonywaniu transakcji. W ten sposób mogą korzystać ze skradzionych danych kart kredytowych.

Taka sytuacja przytrafiła się jednej z mieszkanek Katowic. Wieczorem (ok. godz. 21.00) otrzymała SMS z banku o obciążeniu jej karty na kwotę 160 AUD (dolary australijskie). Jak się okazało ktoś na Facebooku podał dane karty kredytowej w koncie reklamowym, najprawdopodobniej w wyniku ich kradzieży.

Jak informuje, kartę od razu zablokowała, a po kontakcie z bankiem okazało się, że SMS informował o pierwszej z kilku planowanych transakcji tego typu. Szybka reakcja uniemożliwiła przeprowadzenie kolejnych, które były już zgłoszone i oczekiwały w kolejce. Ich łączna wartość opiewała na sumę kilku tysięcy złotych.

Jak zareagować w wypadku oszustwa?

W kontakcie z przedstawicielem banku została złożona reklamacja, a karta unieważniona. Dodatkowo zmienione zostały hasła oraz ustawienia płatności w serwisach, gdzie karta była użytkowana.

Niestety z poziomu użytkownika w relacji z Facebookiem nie było możliwości w jasny i czytelny sposób dowiedzieć się szczegółów, jak i czy w ogóle można zgłosić fakt wykorzystania wykradzionych danych portalowi.

Cyberprzestępcy nie próżnują

Cyberprzestępcy nie próżnują, rozwijając techniki i technologie pozwalające na kradzież danych kart kredytowych. Jak informuje ESET, w najnowszej edycji raportu ESET Threat Raport T2 (maj-sierpień 2022), operatorzy trojana Emotet opracowali moduł pozwalający wyodrębnić zapisane informacje o danych karty kredytowej z przeglądarki Google Chrome.

Jednocześnie w okresie od stycznia do końca maja odnotowano niezwykle udaną operację cyberprzestępców, gdzie co najmniej 50 tys. numerów kart kredytowych klientów z kilkuset restauracji zostało wykradzionych. Za te operacje odpowiadał Magecart, trzecie najczęściej wykrywane szkodliwe oprogramowanie typu Infostealer (kradzież danych), jedyne z kategorii bankowej, które znalazło się w pierwszej dziesiątce raportu ESET.

Jak zminimalizować skutki kradzieży danych karty?

"Czasami pomimo starań w obszarze ochrony danych kart kredytowych czy płatniczych może dojść do nieautoryzowanych transakcji. To możliwe w sytuacji, gdy dane w wyniku ataku cyberprzestępców zostaną skradzione np. z systemów rezerwacji w hotelach. Niestety jako klienci nie mamy dużego wpływu na taki proceder, jednak możemy podjąć kilka profilaktycznych działań, pozwalających znacząco ograniczyć potencjalne zagrożenia i straty – mówi Beniamin Szczepankiewicz, specjalista ds. cyberbezpieczeństwa ESET.

Wśród wskazówek, jakie warto stosować wymieniono:

1. Warto stosować limity transakcyjne na kartach, a jeśli nie kupujemy w internecie, to optymalnym rozwiązaniem jest wyłączenie takiej opcji, podobnie jak możliwości realizacji transakcji zza granicy.
2. Do płatności internetowych warto stosować karty typu pre-paid.
3. Niektóre banki oferują stosowanie jednorazowych kart płatniczych. Po transakcji karta staje się nieaktywna i nie można jej wykorzystać ponownie.
4. Warto sprawdzić czy bank i wystawca karty oferuje usługę typu 3D secure, która wymaga, aby transakcje były potwierdzane np. w aplikacji mobilnej. Taka forma uwierzytelniania znacząco podnosi bezpieczeństwo użytkownika.
5. Jeśli serwis internetowy oferuje nowoczesne formy płatności typu Apple Pay / Google Pay, to warto z nich korzystać, gdyż są o wiele bezpieczniejsze od klasycznej formy, gdzie podajemy komplet danych kart.

"Z perspektywy klienta najważniejsza jest jednak usługa Chargeback, którą oferują banki i wystawcy kart. Każdą transakcję, która nie była przez nas wykonana należy zgłosić bankowi, a ten powinien zwrócić nam pieniądze, za nieautoryzowane transakcje" – mówi Beniamin Szczepankiewicz. "Dobrą praktyką w sytuacji, gdy mimo podjętych działań staniemy się ofiarą kradzieży, byłaby również profilaktyczna zmiana haseł dostępowych do najbardziej istotnych usług, typu główne adresy email czy hasło w banku" – podsumowuje ekspert ESET.

/Na podst. informacji prasowej

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].