Wyobraźcie sobie sytuację, gdy ktoś cichaczem, gdy nie patrzycie, wyciąga Wam z kieszeni kartę płatniczą. Żeby tylko sam robił za nią zakupy, ale nie – on umieści ją w sklepie on-line, gdzie każdy zainteresowany będzie mógł ją sobie kupić, a dla ułatwienia dostanie nawet informację o mieście, w którym mieści się wydający ją oddział banku. Nie brzmi dobrze, prawda? No to teraz pomnóżcie to przez 110 milionów…
Pewnie niektórzy powiedzą, że ten tekst to odgrzewany kotlety, jednak sprawa sieci sklepów Target, o której huczą całe USA, w Polsce znalazła miejsce tylko na stronach WWW, poświęconych bezpieczeństwu IT, a jest o czym opowiadać.
Target to druga największa sieć sklepów detalicznych w USA, z 1921 lokalizacjami i niemal 3 mld zyskuj netto ustępująca tylko bardziej znanemu u nas Walmartowi. Ostatnio jednak nie piszę się o sukcesach firmy z Minneapolis, lecz o tym, jak stała się (a w zasadzie jej klienci) ofiarą jednego z największych cyber-ataków w historii – wyciek pełnych danych (numery kart, daty ważności, kody CVV, dane adresowe) 110 milionów klientów pozwolił Targetowi od razu wbić się na podium tej niechlubnej klasyfikacji i dołączyć jako trzecia firma do „Klubu 100”.
Jak wyglądał atak? Według informacji uzyskanych przez Briana Krebsa, znanego blogera, zajmującego się bezpieczeństwem IT, cyber-przestępcy dostali się do wewnętrznej sieci firmy korzystając z luki w wadliwie napisanej aplikacji zarządzającej. Stamtąd – co też łagodnie mówiąc nie świadczy dobrze o praktykach stosowanych przez Target – byli w stanie zlecić instalację na terminalach kasowych aplikacji, która w momencie przeciągania przezeń karty płatniczej zrzucała obraz pamięci terminala, w którym przez chwilę znajdowały się wszystkie wrażliwe dane. Informacje ze wszystkic zarażonych kas automatycznie przesyłały się na postawiony przez przestępców (wciąż w wewnętrznej sieci firmy!) serwer, skąd raz na jakiś czas paczkami były wysyłane do złych ludzi. A teraz trafiają regularnie na czarny rynek, gdzie chętnych na nie jest aż nadto.
Najgorsze jest to, że ze strony klienta praktycznie nie ma możliwości ochronić się przed tego typu atakiem. Z naszego punktu widzenia przecież wszystko wygląda dobrze: kartę trzymałem cały czas w kieszeni, podaję ją kasjerce, z której nie spuszczam oka, a i tak tracę pieniądze. Trochę to przerażające, prawda?
Oczywiście można zapłacić gotówką, ale przecież nie po to wymyślano samochody, by jeździć konno, poza tym akurat w USA nie jest to zbyt popularna metoda pokrywania należności. Można też… mieszkać w Polsce. Serio. Akurat narzędzia płatnicze w bankowości to nie jest coś, w czym musimy się czuć się gorsi od Amerykanów! Oczywiście przy płaceniu „naszymi” kartami wciąż możemy używać paska magnetycznego, ale znaczna większość terminali pozwala zamiast tego wsunąć kartę w otwór czipem do przodu i potwierdzić transakcję PINem. Czy to sprawi, że będziemy bezpieczni? Nie, bo nie ma czegoś takiego jak rozwiązanie bezpieczne (poza płaceniem gotówką), ale bez wątpienia będziemy znacznie bezpieczniejsi, o ile oczywiście nie podamy nikomu PINu, bądź nie jest on trywialnie prosty. Tymczasem znaczna większość kart za oceanem chipa po prostu… nie posiada, więc nie dość, że można w sposób trywialny wykraść dane z paska magnetycznego, to jeszcze można wgrać je na fałszywą kartę, z fałszywym nazwiskiem i sfałszowanym podpisem!
Podsumowując:
Nie używamy paska podczas transakcji
Nie stosujemy kodów PIN z „Top 10”: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969
Ja bym na listę zakazanych dodał jeszcze 2580
A na wypadek gdybyśmy mieli wyjątkowego pecha warto ustawić limity transakcji, bądź informacje SMS od banku
A tak w ogóle to zastanawiam się, czy w dzisiejszych czasach w ogóle chciałbym korzystać z opartych na internecie usług firmy, która nazywa się „Cel” i ma tak jednoznaczne logo? Przecież to trochę tak, jakby nosić przyklejoną na plecach kartkę „Kopnij mnie”..
