Nigdy nie ukrywałem, że jeśli chodzi o bezpieczeństwo w sieci, to jestem już spaczony po linii zawodowej. Wiecie, bo pisałem o tym wielokrotnie 🙂 Do tej pory jednak włosy jeszcze nie stawały mi dęba, jeśli chodzi o transakcje za pośrednictwem kart płatniczych, ale już powoli zaczynają…
A to dlatego, że regularnie i coraz częściej czytam o udanych atakach na terminale kasowe w dużych sieciach: o Targecie i 40 mln pełnych danych kart już pisałem, ostatnio oberwała też sieć Home Depot, a kilka dni temu Brian Krebs napisał o podobnym ataku na światową (w Polsce ich jeszcze nie ma) sieć sklepów ze sprzętem biurowym Staples. Póki co wszystko dzieje się za oceanem, ale – jak w przypadku cyber-przestępczości, globalnej wioski, itd. – nie zastanawiam się, czy to paskudztwo przejdzie do Europy, ale raczej kiedy to się stanie…
O co chodzi? W skrócie: żli ludzie wchodzą do sieci firmy-ofiary (w przypadku Targetu wykorzystali połączenie VPN z firmy serwisującej klimatyzację w sklepach) i umieszczają na terminalach kasowych malware, zrzucający pamięć kasy dokładnie w tym momencie, gdy na potrzeby transakcji dane, zawarte na karcie są rozkodowywane. Spokojnie je gromadzą, a potem jednym „strzałem” wysyłają paczkę do cyber-przestępcy. Wykradzione dane są potem sprzedawane na czarnym rynku, kodowane na „czystych” kartach i wykorzystywane w krajach, gdzie karty z paskiem magnetycznym są wciąż popularne.
Jak sobie z tym poradzić? To przede wszystkim zadanie dla sieci handlowych i ich zespołów bezpieczeństwa – możliwość dostępu z zewnątrz do… oprogramowania terminali kasowych to dla mnie gruba abstrakcja, tak samo jak fakt, że jakiekolwiek tego typu działania nie wzbudza alarmu. Poza tym, marzy mi się, by banki zaczęły wreszcie wydawać karty wyłącznie z chipem, bez tego piekielnego paska magnetycznego. Nie siedzę w kwestiach bezpieczeństwa bankowości, ale wydaje mi się (w sumie to logiczne), że w sytuacji, gdy karta oznaczona jest w systemach jako wyłącznie chipowa, nie powinno być możliwości przeprowadzenia jakiekolwiek transakcji przy użyciu przyporządkowanych do niej danych zakodowanych na pasku magnetycznym. To trochę poprawiłoby naszą – jako klientów – sytuację, bowiem o ile chipy na ataki też są oczywiście podatne, o tyle zakodowanie ich na powrót na chipie to już sprawa znacznie trudniejsza. Albo jeszcze prościej i to – o tym akurat wiem – praktyka regularnie stosowana przez banki. Jeśli regularnie dokonujemy zakupów w Polsce, a nagle pojawia się transakcja z innej części Europy, że o Ameryce już nie wspomnę, blokują jej wykonanie do momentu potwierdzenia z posiadaczem, czy to na pewno on.
A póki co polecam sposób, z którego sam korzystam – większość banków oferuje przysyłanie informacji po wykonanej transakcji, czy to SMSem, czy za pośrednictwem aplikacji mobilnej. Wtedy ewentualne problemy zakończą się co najwyżej na jednym fraudzie. Czego sobie i pań… a nie, czekajcie. Tym razem to ani Wam ani sobie nie życzę nawet tego.
