S útoky hackerů se potýkají i další banky. Například Česká spořitelna od začátku roku zablokovala pro placení přes internet několik set karet. Loni v červnu hackeři ukradli údaje o 360 000 kreditních kartách společnosti Citigroup.
ČTĚTE VÍCE: |
Lidovky.cz: Když člověk nakupuje přes internet, hrozí nějaké riziko, že by se údaje o jeho kartě dostaly do rukou někomu nepovolanému (ať už obchodníkovi nebo hackerovi)?
Riziko samozřejmě existuje vždycky, a to dokonce i když budete platit přes prověřený e-shop či platební bránu. Vždy je tu riziko selhání lidského faktoru. Nicméně tím nechci odrazovat od platby kartou.
Jak hackeři získávají údaje o platebních kartách?"Přímá cesta je zabrousit na některé z hackerských fór např. v Rusku a nakoupit balík ukradených čísel karet. Tyto údaje jsou tím dražší čím jsou kompletnější a případně ověřené," říká šéf laboratoří antivirového softwaru AVG Pavel Krčma. Hacker může podle Krčmy ukrást databázi nějakému špatně zabezpečenému obchodu, další cestou je sbírání údajů pomocí virů přímo u klientů. "Kybernetičtí zločinci se ale zajímají o víc než jen bankovní data – kradou jakékoliv informace (ze sociálních sítí), aby se mohli nabourat do online účtů," upozorňuje bezpečnostní expert z firmy KasperskyLab David Emm. "Pokud použiju stejnou e-mailovou adresu jako uživatelské jméno (což bývá běžné) a stejné heslo (také velice běžné), i napadení byť jen jediného účtu ohrozí ty další," dodává Emm. |
Lidovky.cz: Mohou hackeři prolomit taková zabezpečení, jako je třeba 3D secure?
Nedokážou prolomit samotnou komunikaci mezi portálem platební brány a počítačem uživatele, mohou však mít pod kontrolou počítač uživatele. V takovém případě na tomto počítači například skrytě běží aplikace, která zaznamenává stisky kláves, případně vytváří snímky obrazovky. Tyto cenné informace pak odesílá útočníkovi, který je může zneužít. Velice reálný útok je i typu „Men in the middle“. To znamená, že útočník zařídí, že PC uživatele se v reálu nepřipojuje k oficiální platební bráně, ale ke stejně vyhlížející podstrčené stránce útočníka, která zadané informace o platební kartě využije k jiným účelům. Přitom dnes není problém zařídit, aby se podvodná platební brána nacházela na stejné adrese jako ta oficiální a klidně byla opatřena i důvěryhodným certifikátem. Uživatel by tedy neměl slepě důvěřovat HTTPS šifrované komunikaci, ale brát vážně i případné varování prohlížeče, že došlo ke změně v „otisku“ certifikátu.
Lidovky.cz: Pokud bych byla hacker a chtěla získat údaje o platebních kartách lidí, kteří nakupují na internetu, co všechno bych musela udělat?
Dobře funguje tzv. sociální inženýrství – každému z nás už jistě někdy přišel e-mail, který sděloval, že jsme vyhráli jistou částku peněz, a k jejímu získání stačí už jen sdělit odesílateli údaje o naší platební kartě – to je typický příklad sociálního inženýrství. Z několika desítek nebo dokonce sta tisíc oslovených uživatelů se vždy najde někdo, kdo na tento trik naletí.
Lidovky.cz: Jak je to, pokud kupuji něco v zahraničí a platím přes internet kartou - je zabezpečení plateb do zahraničí větší než při českých obchodech, nebo naopak hrozí riziko, že si údaje o mé kartě někdo přečte?
V tomto případě nejde generalizovat – dnes je již zabezpečení tuzemských obchodů na slušné úrovni, srovnatelné s těmi v západní Evropě. Riziku se nevyhnete bohužel nikdy. Můžete ho pouze minimalizovat.
Lidovky.cz: Jakými konkrétními způsoby se mi mohou hackeři dostat k údajům o platební kartě nebo k heslům internetového bankovnictví?
Buď již zmiňovanými technikami sociálního inženýrství nebo speciálně vyvinutými aplikacemi, které dokážou posílat stisky kláves útočníkovi. Nezanedbatelný podíl na úniku těchto údajů má tzv. lidský faktor.
Klíčova rizika, jak se hackeři dostanou k citlivým datům:Podle bezpečnostního experta společnosti KasperskyLab Davida Emma existují tři klíčová rizika, jak se hackeři mohou dostat k údajům na platební kartě nebo k heslům internetového bankovnictví: a) pokud je počítač nakupujícího už infikován a je na něm nainstalován odezírač činnosti klávesnice (keylogger), který zaznamenává všechno, co uživatel píše, může kybernetický zločinec ukrást všechny napsané informace, například hesla, PINy, cc čísla apod. b) pokud nakupující klikne na e-mail, odkaz na chatu, tweet apod. a ukáže se, že to byla phishingová zpráva, hrozí, že zadá svá data na falešné stránce, na níž zločinci loví cizí data. c) detaily mohou být odcizeny, pokud je samotná stránka obchodu napadena hackery (je jasné, že tohle lidé neovlivní, ale znamená to, že byste měli užívat různá hesla pro různé účty). |
