Podvod s platebními kartami, carding (z angl . carding ) - druh podvodu , při kterém je provedena operace pomocí platební karty nebo jejích údajů, která není iniciována nebo potvrzena jejím držitelem. Údaje o platebních kartách jsou zpravidla přebírány z hacknutých serverů internetových obchodů , platebních a zúčtovacích systémů a také z osobních počítačů (buď přímo, nebo prostřednictvím programů pro vzdálený přístup , „ trojské koně “, „boti“ s funkcí uchopení formuláře ) . Nejčastějším způsobem krádeže čísel platebních karet je dnes navíc phishing ( anglicky phishing , zkomolené „fishing“ – „rybaření“) – vytvoření webu podvodníky, kterému bude uživatel důvěřovat, např. web podobný na stránku banky uživatele, jejímž prostřednictvím dochází ke krádeži údajů o platební kartě .
Jedním z největších zločinů na poli podvodů s platebními kartami je hacknutí globálního zpracovatele kreditních karet Worldpay a krádež více než 9 milionů amerických dolarů pomocí jeho dat. V listopadu 2009 bylo v tomto případě vzneseno obvinění proti zločinecké skupině složené z občanů států SNS [1] .
Odcizenou nebo ztracenou kartu mohou zločinci používat pouze do té doby, než majitel oznámí ztrátu své bance, nebo při offline transakcích. Většina bank poskytuje pro takové zprávy 24hodinovou telefonní linku.
Hlavním ochranným opatřením je přítomnost podpisu na kartě a požadavek podepisovat šeky. V některých obchodech je při platbě kartou vyžadováno předložení identifikačních dokladů. V některých jurisdikcích je však nezákonné vyžadovat dokument.
Odcizené karty lze použít na některých samoobslužných terminálech (např. čerpacích stanicích), které nevyžadují PIN kód.
V Evropě je většina karet EMV vybavena čipem, který běžně vyžaduje při nákupu zadání 4místného číselného PIN . Není-li kód zachycen, může jej podvodník použít pouze v transakcích, kde kód není vyžadován, například v online (elektronických) transakcích nebo v POS terminálech vybavených pouze čtečkou magnetického proužku.
Existují softwarové systémy a soubor organizačních opatření, jejichž cílem je zabránit nebo zkomplikovat možné podvodné transakce. Například velká transakce uskutečněná daleko od místa bydliště majitele – případně – v jiné zemi, může být prohlášena za neplatnou nebo může dokonce vést k dočasnému zablokování karty.
K provedení transakce jsou zapotřebí pouze některé údaje zapsané na kartě. Karta obvykle obsahuje (ve formě nápisu a na magnetickém proužku): jméno majitele, číslo karty ( PAN ), měsíc a rok expirace, ověřovací kód ( CVV2 ).
Existují operace, které nevyžadují fyzickou přítomnost karty a transakce se provádí pouze podle údajů z ní. Minimální požadovaný soubor informací je číslo karty, často je vyžadováno také datum vypršení platnosti, o něco méně často - ověřovací kód.
Útočník může tato data zkopírovat, pokud se domluví s osobami, které mají ke kartám přístup, například s číšníkem nebo pokladní. Data lze vyfotografovat nebo obnovit z videa. Taková data je možné získat i pomocí viru nainstalovaného na počítači uživatele, metodami sociálního inženýrství (imitace hovoru z banky) nebo hackováním internetových obchodů či systémů obsluhujících karty. Zločinci pak data využívají při transakcích bez přítomnosti karty.
Určitou ochranu před tímto typem kriminality poskytuje zavedení operativního hlášení operací. Proti takovým podvodům částečně chrání také technologie 3-D Secure , MasterCard Security Code, Verified by Visa , kdy je pro přijetí operace na pobočce banky, bankomatu, SMS nebo hardwarového kódu vyžadován dodatečný kód. generátor (token).
Speciálním případem mykání je skimming (z anglického skim - skim cream), který pomocí skimmeru - nástroje útočníka přečte například magnetickou stopu platební karty . Při provádění této podvodné operace se používá komplex skimovacích zařízení:
Tato zařízení jsou napájena samostatnými zdroji energie – miniaturními bateriemi, a aby byla obtížně detekovatelná, jsou obvykle vyrobena a maskována jako barva a tvar bankomatu.
Skimmery mohou shromažďovat ukradené informace o plastových kartách nebo je dálkově přenášet pomocí rádia na narušitele poblíž. Po zkopírování údajů z karty si podvodníci udělají duplikát karty a se znalostí PIN vyberou všechny peníze v rámci emisního limitu jak v Rusku, tak v zahraničí. Podvodníci mohou také použít získané informace o bankovní kartě k nákupům v maloobchodních prodejnách.
Abyste zabránili nelegálním debetům na bankovní kartě, doporučujeme použít následující bezpečnostní opatření:
Na začátku roku 2010 bylo z 5,6 miliardy platných bankovních karet ve Spojených státech pouze asi 20 milionů čipových karet (obsahujících čip). Mezi lety 2007 a 2011 zatkla americká tajná služba více než 5 000 zločinců zapojených do skimmingu [3] . Ztráty za rok 2012 se odhadují na 11,3 miliardy dolarů. [4] Ročně je v zemi objeveno asi 20 000 skimmerů [5] .
Ve Spojeném království v letech 2001 až 2011 vedly podvody s plastovými kartami ke ztrátám 300–600 milionů liber ročně [6] . Značná část trestných činů byla spáchána s použitím údajů o kartě při transakcích, které nevyžadují předložení karty (například nákupy přes internet). Ztráty ze skimmingu, které se v letech 2001-2008 pohybovaly od 100 do 170 milionů liber ročně, se v letech 2010-2011 výrazně snížily na 47-36 milionů liber v důsledku rozsáhlého zavedení čipových karet a čipů s podporou iCVV a DDA [6] ] .
V Rusku v roce 2010 jsou podle oficiálních údajů ročně spáchány tisíce zločinů s plastovými kartami [7] . V roce 2011 byla škoda způsobená mykáním odhadnuta na 400 milionů $ [8] .
Bankovní karty | |
---|---|
Typy karet | |
Globální platební systémy | |
Místní platební systémy, včetně uzavřených |
|
Hlavní kreditní karty | |
Hlavní debetní karty | |
Vydávání bankovních karet | |
Přijímání bankovních karet | |
Související pojmy | |
Bezpečnost |