Zmanipulované bankomaty

Ti nejchytřejší zločinci se už nesnaží vylupovat dobře zabezpečené banky. Místo toho zaměřili svou pozornost na bankomaty a pomocí skimmingu dosahují s minimálním rizikem vyšších zisků než se zbraněmi u přepážek. Ukážeme vám podrobnosti a poradíme, jak se bránit.
DOMINIK HOFERER, PETR KRATOCHVÍL

Na zahraniční dovolené jste potřebovali vybrat z bankomatu pár eur, po návratu z ní vám však na účtu nezbyla ani koruna. Jak je to možné? I když jsou lidé stále opatrnější, ztráty způsobené podvodníky odhadují odborníci jen v Evropě na stovky milionů eur. Přesné číslo nikdo nezná, protože banky jen velmi nerady přiznávají, že je dokáže někdo okrást. Jak to funguje? Častokrát jde o velmi rychlou akci: umístit vlastní čtečku v přední části slotu na platební kartu trvá podvodníkům přibližně pět sekund a zapojení skryté kamery na bankomatu, která nafilmuje všechny klíčové operace, přibližně deset sekund. Tento druh bankovní loupeže se nazývá skimming a podle policejních statistik byl v roce 2010 ještě populárnější než kdy předtím. Mezi lednem a dubnem zaznamenala policie více případů než v celé první polovině roku 2009. Pro zloděje je tento druh podvodu výhodný, protože k němu nepotřebují zbraně a riziko odhalení je velmi nízké. Tato metoda podvodu má i několik shodných rysů: ke skenování platebních karet dochází v západní Evropě, zatímco výběr odcizených peněz probíhá obvykle v Evropě východní – hlavní pevností "výběrčích" je především Bulharsko a Rumunsko. My vám ukážeme, jak podvodníci pracují a také jak se bránit…

Místo činu: Turistické oblasti

Jednoznačně nejčastějšími oblastmi, ve kterých dochází k manipulaci s bankomaty, jsou turistické oblasti. Tato taktika předpokládá, že turisté neznají "pravý" vzhled bankomatů v dané oblasti a také mají jen omezené možnosti kontrolu účtu. Obvyklou taktikou podvodníků je instalace zařízení, které přečte magnetický pásek karty, a kamery, která zaznamená přístupový kód – PIN. V průměru zločinci u jednoho bankomatu sesbírají data přibližně z 60 karet – teprve poté zařízení odstraní a zpracují načtená a zaznamenaná data. Zajímavé je, že zločinci si tato zařízení nemusí koupit, ale v řadě případů si je jen pronajímají – velké množství nabídek v oblasti zařízení pro skimming koluje po specializovaných internetových fórech. Kontaktovali jsme jednoho z prodejců a zeptali jsme se ho, za kolik se takové zařízení prodává a do jaké země nám zařízení může doručit. Jeho odpověď byla krátká a stručná: "Prodávám po celém světě." Americký novinář zabývající se počítačovou bezpečností Brian Krebs (www.krebsonsecurity.com) na svém blogu uvádí, že mnoho z takových nabídek zahrnuje podvody, při kterých se snaží velké ryby z oblasti zločinu přilákat (a okrást) "rádobyskimmery" a drobné zločince. Podle Krebse probíhají obchody s opravdu funkčním hardwarem pouze na vybraných exkluzivních fórech, kde se za průměrné zařízení platí okolo 8 000 eur. Zajímavé je, že podle odborníků mnoho začínajících zločinců ani nepotřebuje internet – dokáží si totiž sami vytvořit vlastní systémy připojitelné k bankomatům, které jsou jen obtížně rozeznatelné i pro zkušené profesionály.

Technika: Jak zloději získají přístup k vašim datům

Zloději ale nepotřebují nutně specializovaný "hardware" připojený k bankomatu, aby se dostali k vaší kartě nebo k přístupovým údajům k účtu. Stejného cíle mohou dosáhnout i jiným způsobem – například krádeží nebo podvodem. Ukážeme vám tři scénáře, které zloději s oblibou používají.
SCÉNÁŘ A: Nezanedbatelné množství bankomatů je umístěno v místnostech, do kterých se dostanete po protažení karty čtečkou – zločinci zneužívají toho, že při "otevírání obyčejných dveří" ještě není zákazník tak pozorný jako před samotným bankomatem. Kopie magnetického záznamu však sama o sobě není zlodějům k ničemu – potřebují ještě PIN. Aby ho získali, použijí miniaturní kameru nalepenou na stěnu bankomatu nebo do požárního čidla na strop. Tyto informace jsou pak pomocí běžně dostupného hardwaru zkopírovány na novou, falešnou kartu. Její pomocí je pak v zahraničí účet zcela vybrán.
SCÉNÁŘ B: O variantě označované jako "Libanonská smyčka" jsme se v Chipu již zmiňovali – byla hodně populární i v České republice. Trik podvodníků u ní spočívá ve vhodném vložení části naříznuté pásky (například od staré videokazety) do štěrbiny pro vkládání platební karty v bankomatu. Poté, co je karta vložena, už nemůže pokračovat v pohybu (kvůli pásce) hlouběji do bankomatu, který ji ale není schopen ani vysunout. Pak se obvykle k oběti přiblíží útočník a odpozoruje pokus o opětovné vložení PIN, v některých případech je použita miniaturní kamera. Jakmile oběť odejde problém reklamovat do nejbližší pobočky banky, vytáhne zloděj kartu z bankomatu a pomocí PIN odcizí v nejkratším možném čase (ještě před zablokováním) z karty co nejvíce peněz.
SCÉNÁŘ C: Další trik patří k těm náročnějším a vyžaduje od zloděje velkou zručnost, je však mnohem méně náročný na čas a zařízení. Místo pracného kopírování je vám totiž karta přímo odcizena. Prvním krokem je zjištění typu (a vzhledu) karty při vložení do bankomatu, druhým odpozorování PIN při jeho zadávání na klávesnici. Při odebírání hotovosti je pozornost oběti odvedena jiným směrem (např.účtenka na zemi) a poté je karta v bankomatu vyměněna. Oběť dokončí odebírání peněz a automaticky vloží (falešnou) kartu do peněženky. Tento trik není příliš populární, protože vyžaduje mimořádnou zručnost, navíc zloděj přichází do přímého kontaktu s obětí, nicméně od ledna do srpna letošního roku bylo v Evropě zaznamenáno několik stovek takových případů.

Obrana: Moduly proti skimmingu

Je logické, že banky se proti zmiňovaným metodám snaží chránit různými způsoby – od osvěty klientů až po úpravy bankomatů. Například u velkého množství domácích bankomatů už najdete tzv. FDI ochranu (FDI – Fraudulent Device Inhibitor) štěrbiny pro vkládání karty do bankomatu. Problémem zmiňovaného zařízení ale je, že neinformovaný zákazník (například v zahraničí) může jen s obtížemi rozeznat ochranné zařízení banky od nástroje podvodníka. Dalším opatřením chránícím před zkopírováním informací z karty je úprava rychlosti vysunování karty – u většiny bankomatů je poslední fáze pohybu mimořádně pomalá. Tím lze zabránit skeneru útočníka ve zkopírování dat z magnetického proužku. Univerzální řešení hrozby zneužití bankovní karty neexistuje – na to jsou metody útočníků příliš rozmanité. Část bank zkouší variantu karet s integrovaným čipem (a nutností při platbě vždy zadávat kód), ovšem vzhledem k menšímu rozšíření specializovaných platebních terminálů (především mimo Evropu, potažmo v USA) musí banky obvykle i vydat klientům druhou kartu s klasickým magnetickým proužkem. A to není příliš optimální řešení…
AUTOR@CHIP.CZ


MAPA KARETNÍCH PODVODŮ
Se skenováním karet se nejčastěji můžete setkat v některých oblastech jižní Evropy, v Americe a Africe. Důvodem jsou nízké bezpečnostní standardy bankomatů.
USA a Kanada používají na kartách pouze magnetické proužky, zavedení čipových karet se neplánuje.
I kdyby se povedlo v blízké budoucnosti zavést v Evropě čipové karty, v Jižní Americe se bude ještě dlouho platit klasickými kartami.
Bulharsko a Rumunsko jsou v současnosti pevností "zneužívačů" karet. Jejich postavením může do budoucna jen těžko něco otřást.
20 procent případů skimmingu se odehraje mimo Evropu, například v Maroku.


Jak se bránit před zneužitím karty
VYBÍREJTE BANKOMAT
Vybírejte si bankomaty na rušných a dobře hlídaných místech. Riziko zneužití v takovémto bankomatu je podstatně nižší než u osamělého přístroje na předměstí…
KONTROLUJTE ODSTUP
Ujistěte se, že za vámi nikdo nestojí tak blízko (nebo v takovém úhlu), aby mohl vidět na klávesnici při zadávání PIN. Nedejte se vyrušit ani při odebírání karty nebo hotovosti.
KONTROLA ZAŘÍZENÍ
Pečlivě si zkontrolujte bankomat (či čtečku karet), který hodláte použít. Zárukou není ani speciální, tzv. antiskimovací nástavec – v loňském roce se na bankomatech České spořitelny objevila skenovací zařízení identická s tímto nástavcem.
ZADÁVEJTE SKRYTĚ
Při zadávání PIN zakrývejte klávesnici rukou, aby potenciální kamera útočníků nezaznamenala stisknuté klávesy. Podle statistik nemohou zločinci využít devět z deseti získaných "otisků karet" právě kvůli chybějícímu PIN. Zároveň si ale dávejte pozor, aby skrytá kamera nebyla umístěna v plastovém krytu klávesnice.
NASTAVTE SI LIMITY
Určete si denní limit pro použití karty. I v případě jejího zneužití přijdete jen o určitou částku a zabráníte kompletnímu "vykradení" účtu. Pravidelně také kontrolujte stav účtu a pohyby na něm.


Foto: Nenápadné: Nástavce sloužící ke skenování karet mohou vypadat jako standardní součást bankomatu.
Foto: Protiúder: Česká spořitelna vybavila své bankomaty speciálními nástavci proti skimmingu, podvodníci ho ale už jednou nahradili vlastní čtečkou z podobného materiálu a ve stejné barvě.
Foto: Natočený: Jen velmi pozorný klient má šanci všimnout si kamery zaznamenávající PIN k jeho kartě.
Foto: Záludné: Někteří zločinci se nesnaží do existujících bankomatů přidat své skenovací prvky, ale rovnou nahradí celou "vstupní" strukturu bankomatu, kterou zakryjí originál.