Ako koristite digitalne kartice, Apple Pay ili Google Wallet, ne radite ovo…

Koliko god se banke i kartičarske kuće trudile da platne kartice, a danas i mobilno bankarstvo, bude bezbedno toliko napreduje i trudi se i ona druga strana – sajber kriminalci koji bi da dođu do vašeg novca.

Pojava čip platnih kartica i jednokratnih lozinki (OTP, one time password) za dvostepenu identifikaciju, značajno se otežao posao prevarantima, ali su se oni brzo prilagodili. A prelazak na plaćanja putem pametnih telefona otvorio je nove prilike za njih.

Sada kada se ukrade broj kartice, prevaranti ga povežu sa sopstvenim Apple Pay ili Google Wallet nalogom i plaćaju robu koristeći karticu žrtve, bilo u regularnoj prodavnici ili na lažnom prodajnom mestu sa NFC terminalom, upozorava kompanija za sajber-bezbednost Kasperski.

A ovo upozorenje nije rutinsko i teorijsko, pokazuju vesti širom sveta, od SAD do Rusije.

Upozorenje VTB banke

Prevaranti su poboljšali svoje šemu koristeći NFC-klonove kartica klijenata, sa kojih su mogli da podižu novac na bankomatu. Sada traže da se sredstva presele na takozvani sigurni račun, koji je zapravo prevarantski duplikat bežičnog interfejsa, što napadačima omogućava da ne ostavljaju digitalne tragove zločina, saopštio je krajem prošlog meseca predstavnik VTB banke, velike banke u Rusiji.

– Prevaranti zovu žrtvu, predstavljajući se kao zaposleni mobilnog operatera, banke ili neke velike kompanije, i pod raznim izgovorima, uglavnom „da bi ažurirali aplikaciju“, traže da se instalira program na telefonu – saopštila je banka.

Međutim, ovaj zlonamerni softver je modifikovana verzija aplikacije NFCGate, koja omogućava daljinsko upravljanje tuđim pametnim telefonima i kreiranje virtuelnih kopija bankovnih kartica.
Nakon toga, napadač uverava žrtvu da prenese novac „na siguran račun“, na primer, depozitom na bankomatu. Kada korisnik prinese telefon bankomatu, novac se ne polaže na njegov račun, već na klon prevarantove kartice. Nakon toga, napadač povlači ukradena sredstva kroz niz transfera na svoja računa u različitim bankama.

– Nova šema je opasna jer otežava anti-fraud sistemima (programima protiv prevara) identifikaciju takvih uplata, jer su tehnološki one isto kao i obične operacije za transfer novca na račun – objasnio je Dmitrij Revjakin, potpredsednik VTB-a i šef odeljenja za zaštitu korporativnih interesa u bezbednosnom sektoru.

Hapšenja u SAD

A svako ko posedujete mobilni telefon, gotovo sigurno je u poslednje dve godine bar jednom primio fišing (eng. Phishing, pecanje) poruku, pokazuju i vesti iz SAD, gde su na nekoliko mesta ove godine pohapšeni ljudi koji su pokušali da naplate novac uzet sa tuđih računa.

Prevara je počela tako što se pošiljalac poruke pretvarao da je iz Američke pošte, navodno kako bi se naplatila neka neizmirena taksa za isporuku, ili od lokalnog operatera naplatnih rampi i upozorava na nepodmirenu taksu.

Ove poruke slale su se kroz sofisticirane fišing alate koje prodaju nekoliko sajber kriminalaca sa teritorije Kine. Ove poruke nisu tradicionalne SMS fišing, ili „smišing“ poruke, jer zaobišle mobilne mreže u potpunosti. Umesto toga, poruke se šalju putem Apple iMessage servisa i putem RCS tehnologije na Google telefonima.

Profimedia

 

Osobe koje unesu podatke sa svoje platne kartice na jednoj od ovih stranica biće obaveštene da njihova finansijska institucija treba da potvrdi malu transakciju slanjem jednokratne lozinke na mobilni uređaj korisnika. U stvarnosti, taj kod će biti poslat od strane finansijske institucije žrtve kao odgovor na zahtev prevaranata da povežu ukradene podatke sa mobilnim novčanikom.

Ako žrtva zatim unese tu jednokratnu lozinku, prevaranti će povezati podatke sa kartice sa novim mobilnim novčanikom Apple ili Google, prebacujući novčanik na mobilni telefon koji prevaranti kontrolišu. Ovi telefoni se potom puni sa više ukradenih novčanika (često između 5-10 po uređaju) i prodaju u velikim količinama prevarantima na Telegramu.

Iz Kasperskog upozoravaju da se podaci žrtve se gotovo odmah prenose sajber kriminalcima, koji povezuju karticu sa mobilnim novčanikom na svom pametnom telefonu. OTP kod je potreban da bi se autorizovala ova operacija.

Da bi ubrzali i pojednostavili proces, napadači koriste specijalan softver koji uzima podatke koje je žrtva unela i generiše sliku kartice koja joj savršeno odgovara. Nakon toga, dovoljno je samo da se uslika ova slika koristeći Apple Pay ili Google Wallet.

Tačan proces povezivanja kartice sa mobilnim novčanikom zavisi od konkretne zemlje i banke, ali obično nije potrebno ništa osim broja kartice, datuma isteka, imena vlasnika kartice, CVV/CVC koda i OTP-a. Svi ovi podaci mogu biti ukradeni u jednoj sesiji i odmah upotrebljeni.

Stručnjaci kompanije Kaspersky su otkrili i dodatne trikove koje sajberkriminalci koriste kako bi bi napadi bili još efikasniji.

Prvo, ako žrtva posumnja pre nego što pritisne dugme "Pošalji", svi podaci koji su već uneseni ipak se prosleđuju kriminalcima — čak i ako je to samo nekoliko karaktera ili nepotpun unos.

Drugo, lažni sajt može prijaviti da je uplata neuspešna i podstaknuti žrtvu da pokuša sa drugom karticom. Na taj način, kriminalci mogu ukrasti podatke za dve ili tri kartice u jednom pokušaju.
Novac sa kartice se ne skida odmah a mnogi ljudi, ne videvši ništa sumnjivo u izvodu iz banke, zaborave na ceo incident.

Kako se novac krade sa kartica

Sajber kriminalci u nekim slučajevima povežu desetine kartica sa jednim pametnim telefonom i ne potroše odmah novac sa njih. Ovaj pametni telefon, pun brojeva kartica, zatim se preprodaje na dark vebu. Često prođe nekoliko nedelja, pa čak i meseci između fišinga i potrošnje.

Ali kada taj neprijatan dan konačno dođe, kriminalci mogu odlučiti da kupe luksuzne predmete u prodavnici jednostavno obavljanjem beskontaktne transakcije sa telefona punog ukradenih brojeva kartica.

Takođe, mogu postaviti svoju lažnu prodavnicu na legitimnoj platformi za elektronsku trgovinu i naplatiti novac za nepostojeće proizvode. Neke zemlje čak omogućavaju podizanje gotovine sa bankomata pomoću pametnog telefona sa NFC podrškom. U svim gore navedenim slučajevima, nije potrebna potvrda transakcije putem PIN-a ili OTP-a, tako da novac može biti preusmeren dok žrtva ne blokira karticu.

Ni prislanjanje kartice na telefon nije bezbedno

Krajem 2024. godine, stručnjaci kompanije Kaspersky otkrili su prevaru koja zloupotrebljava NFC tehnologiju za krađu novca sa računa povezanih sa karticom. U ovoj prevari, od žrtava se ne traže podaci sa kartice. Umesto toga, napadači ih društvenim inženjeringom navode da instaliraju navodno korisnu aplikaciju na svom pametnom telefonu, pod izgovorom administrativne, bankarske ili druge usluge.

Žrtva zatim bude upitana da prinese svoju karticu na telefon i unese PIN kod za „autorizaciju“ ili „verifikaciju“. Instalirana aplikacija, naravno, nema nikakve veze sa svojim opisom.
U prvom talasu ovih napada, žrtvama je očitavana kartica kada je bila prislonjena uz pametni telefon i prenosila podatke zajedno sa PIN kodom napadačima koji su ih koristili za kupovinu ili podizanje gotovine sa bankomata koji podržavaju NFC.

Kako zaštititi kartice od prevaranata

Stručnjaci kompanije Kaspersky izdvojili su nekoliko osnovnih saveta i koraka koje korisnici  mogu preduzeti kako bi se zaštitili:

• Koristite virtuelne kartice za onlajn plaćanja. Nemojte držati velike iznose novca na njima i dopunite ih samo neposredno pre onlajn kupovine. Ako vaš izdavalac kartice to omogućava, onemogućite oflajn plaćanja i podizanje gotovine sa takvih kartica.
• Nabavite novu virtuelnu karticu i blokirajte staru barem jednom godišnje.
• Za oflajn plaćanja, povežite drugu karticu sa Apple Pay, Google Wallet ili sličnom uslugom. Nikada ne koristite ovu karticu onlajn, a ako je to moguće, koristite mobilni novčanik na vašem pametnom telefonu prilikom plaćanja u prodavnicama.
• Budite veoma oprezni sa aplikacijama koje od vas traže da prislonite platnu karticu na pametni telefon, a kamoli da unesete PIN kod. Ako je to aplikacija banke od poverenja, onda je to u redu. Međutim, ako se radi o nečemu sumnjivom što ste tek instalirali sa nepoznatog linka van zvanične prodavnice aplikacija, bolje je da se držite podalje.
• Koristite plastične kartice na bankomatima a ne pametni telefon sa NFC funkcijom.
• Instalirajte sveobuhvatno bezbednosno rešenje na sve računare i pametne telefone kako biste minimizovali rizik od posete fišing sajtovima i instalacije zlonamernih aplikacija.
• Omogućite opciju Safe Money, koja je dostupna u svim Kaspersky bezbednosnim rešenjima, kako biste zaštitili finansijske transakcije i onlajn kupovine.
• Aktivirajte najbrža moguća obaveštenja o transakcijama (SMS i push) za sve platne kartice i odmah kontaktirajte banku ili izdavaoca ako primetite bilo šta sumnjivo.

BONUS VIDEO

Instalirajte našu iOS ili android aplikaciju – 24sedam Vest koja vredi