Na počátku šlo o nevinný chat na Facebooku, kdy u jednoho držitele platební karty, říkejme mu Martin, ve čtvrtek 22. května 2014 proběhla tato konverzace s jedním dobrým kamarádem:
Ahoj, můžu tě o něco poprosit? Moc mi pomůžeš.
Určitě.
Mám na účtu –25 Kč, neposlal bys mi prosím 30 korun? Mám udělanou stránku, kde to zaplatíš rovnou z karty. Moc by jsi mi pomohl. Dám ti pak klidně 200 Kč, ale nemám to jak poslat a musím to mít dneska.
Jasné, určitě, akorát nevím, jestli ti to dneska dorazí, někdy to trvá i 2–3 dny. ale určitě ti to hned posílám, nechceš víc?
Poslal jsi? Děkuji moc.
Jj, nepotřebuješ víc?
Chvíli po této konverzaci se Martin podíval na svůj účet k platební kartě a zjistil, že je o 5000 Kč chudší. Jeho kartou bylo zaplaceno na webu v sázkové kanceláři SynotTIP. Obratem proto volal do banky, kde se dozvěděl, že se pachatel pokoušel z karty dostat dalších 5000 Kč, a poté ještě 3000 Kč, ale vzhledem k nastavenému limitu karty se transakce nezdařila.
Platby (jako) z Facebooku
Možná se nad tímto příběhem usmějete a pomyslíte si něco o finanční negramotnosti oběti. Ale to je jen první dojem. Ano, zachoval jsem se hloupě, ale v tomto případě a u tohoto člověka mě to ani ve snu nenapadlo, a ještě navíc, když se mnou přes Facebook normálně komunikoval. Bohužel to byl někdo cizí,
říká Martin, jehož skutečné jméno redakce Měšce zná. Navíc, když se teď zavádějí ty platby přes Facebook a SMS, myslel jsem si, že je to jedno z toho,
popisuje svoji hořkou zkušenost a varuje tak ostatní před podobnou chybou. A to ještě může mluvit o štěstí, protože podle jeho vlastních slov měl na kartě limit pro platby na internetu 100 000 Kč. Ten mu připadal zbytečně vysoký, tak si jej snížil na 5000 Kč.
Podvodný web na Webnode.cz, používající sociální inženýrství.
3D Secure by pomohlo, ale jen na chvilku
V případě tohoto konkrétního podvodu by záchrannou sítí mohla být služba 3D Secure. Platební brána SynotTIP ji podporuje, pokud by ji podporoval i vydavatel karty, Martinovi by přišla SMS o transakci kartou a zjistil by ihned, že se s kartou něco děje, případně by ji mohl obratem zablokovat. Na druhé straně pachatel by si tohoto zabezpečení všiml také a musel by rychle najít web s platební bránou, která platbu přes 3D Secure nepodporuje. Protože jde doslova o minuty, není jisté, že by zabezpečení 3D Secure stoprocentně Martina ochránilo od podvodu, ale pomohlo by alespoň získat čas navíc.
Podvodný web na Webnode.cz, používající sociální inženýrství.
Reklamace s nejistým koncem
Dalším správným krokem je podání reklamace na podvodnou transakci kartou, ale naděje, že bude úspěšně vyřešena, není vysoká. Zvláště, když se budeme striktně držet výkladu zákona o platebním styku:
§ 116 Plátce nese ztrátu z neautorizovaných platebních transakcí…
…v plném rozsahu, pokud tuto ztrátu způsobil … tím, že úmyslně nebo z hrubé nedbalosti porušil některou ze svých povinností stanovených v § 101.
§ 101 Povinnosti uživatele
Uživatel oprávněný používat platební prostředek je povinen
a) používat platební prostředek v souladu s rámcovou smlouvou, zejména je povinen okamžitě poté, co obdrží platební prostředek, přijmout veškerá přiměřená opatření na ochranu jeho personalizovaných bezpečnostních prvků,
b) bez zbytečného odkladu po zjištění oznámit poskytovateli nebo osobě jím určené ztrátu, odcizení, zneužití nebo neautorizované použití platebního prostředku.
Zákon odkazuje na rámcovou smlouvu (tedy obchodní podmínky vydavatele karty), kde vždy najdete varování, že údaje o platební kartě nesmíte nikdy předat třetí osobě, zvláště včetně bezpečnostního CVV/CVC kódu. Toto porušení má za následek plnou odpovědnost za všechny provedené transakce. Problematika však spočívá v možnosti rozumně zabránit zneužití těchto údajů, když je lze bez problémů zjistit při běžném fyzickém předání karty k platbě. Šance Martina dostat peníze zpět však nejsou nulové. Vzhledem k tomu, že platba kartou i její zaúčtování proběhlo v tuzemsku a u tuzemského obchodníka, je toto obrovskou výhodou. České banky v oblasti karetní bezpečnosti spolupracují a neměl by být žádný problém dostat zpět peníze od obchodníka, resp. jeho banky. Otázkou je, zda tuto cestu vydavatel karty podstoupí, anebo odkáže na znění zákona, a tím to pro něj končí.
V případě společnosti SynotTIP navíc muselo jít o účet registrovaný na konkrétní, ověřenou fyzickou osobu. Pro orgány činné v trestním řízení by nemělo být těžké dohledat, kdo peníze získal a jak jej použil. Podobně provozovatel webového projektu musí předat veškeré informace o zřízení webu „platba05“, včetně časové osy a IP adres. Bohužel, ze zkušeností autora článku s Policií ČR vyplývá, že v počítačové kriminalitě mají policisté velké neznalosti a mají pouze jednotky (nikoli desítky) odborníků, kteří se jí opravdu intenzivně věnují.
Kam hlásit podvodné weby
Pokud najdete webovou stránku, u které máte podezření na podvodný projekt, nahlašte ji ihned po nalezení přímo Policii České republiky pomocí online hlášení (formulář pro hlášení závadového obsahu a aktivit v síti internet), zrychlí to tak proces vyšetřování. Před tím si ale raději udělejte screeny webu.
Sociální inženýrství
Poté, co server Měšec.cz oznámil provozovateli podvodný web, byl do hodiny zablokovaný. V případě, že se jedná o stránky, které jasně porušují zákon, tak je hlásíme policii. Informace o jednotlivých webových projektech však předkládáme pouze na základě oficiální žádosti police,
napsala serveru Měšec.cz Martina Svozilová ze společnosti Webnode, na jejichž stránkách byl web provozovaný.
Tento příběh budiž dalším ponaučením, že zatím co e-mail vyzývající zadání vašich dat pro aktualizaci nastavení vaší karty či pro přístup do banky pravděpodobně všichni smažeme, tak v případě přímé interakce se jménem člověka, kterého v reálném životě známe, obranné mechanizmy vypínají. Sociální inženýrství funguje, buďte opatrní.
Co je sociální inženýrství
Pod pojmem sociální inženýrství se má (obecně) na mysli snaha o cílenou manipulaci chování člověka, nebo skupiny lidí k tomu, aby tento člověk (lidé) vykonal nějakou činnost, kterou sám útočník vykonat nemůže. Ve skutečnosti je sociální inženýrství vázáno na účinek vůči skupině osob – jedině tak může být sociální a nikoli psychologickou metodou.
Aktivity útočníků nasměřované vůči jednotlivcům tak ve skutečnosti představují spíše manipulaci, respektive cílenou snahu o uvedení oběti v omyl. Nechejme ale debat o přesnosti nebo nepřesnosti užívaných pojmů, podívejme se spíše na jejich obsah – a nebezpečnost.
To, co bývá označováno jako sociální inženýrství, je vůbec nejnebezpečnější hackerskou metodou překonávání ochran firemních a institucionálních infrastruktur. Přinejmenším od časů Kevina Mitnicka je prokázáno, že manipulace s legitimním uživatelem systému je mnohem snazší a efektivnější cestou k jeho obsahu, než komplikované překonávání technologických bariér.
Přitom technické možnosti, jak tuto manipulaci vyloučit, jsou velice omezené. Dokonce i pravděpodobně jediná perspektivní cesta k nim (důsledné používání nezcizitelných autentizačních postupů, především biometriky) nevylučuje zhoubnou aktivitu ze strany útočníků.
Zdroj: Článek Sociální sítě jako hackerský nástroj na Lupa.cz
ČLÁNKY DO MAILU