2011. augusztus 27., szombat

Jó ha tudod, nehogy átverjenek

Minden hitelkártya 13-16 számjegyből álló számmal azonosítható, amit egy megadott módon állítanak elő, a Luhn Formula nevű matematikai algoritmus segítségével. Ezt arra találták ki, hogy meg lehessen bizonyosodni arról, hogy csak bizonyos számok használhatók - megakadályozva ezzel a próbálkozásokat.
Egy ingyen letölthető program segítségével egyszerűen generálhatunk rengeteg érvényes számot. Csak megadunk egy évényes hitelkártya számot, s ez alapján megadott mennyiségű további számmal lát el minket.
Jogos azt hinni, hogy a számból generált más számokhoz tartozó kártyák lejárati ideje hasonló.
A hacker ellátogat egy webáruházba, s vesz valami letölhető programot.
Álnéven és címen belép, majd megad egy hamis biztonsági kódot és az előbb generált kártyaszámot, a kártya lejárati idejével együtt.
Ha ezt a számot egy bank már kiadta egy ügyfelének, akkor szorgalomtól függően a fizetség el is jut az áruházhoz. Hogyan lehetséges ez? Egyszerűen, mivel a fizetőkapuk (payment gateway) általában csak adatokat tárolnak, de azok hitelességét nem ellenőrzik. Így, ha minden adat megfelelő volt, és a lejárati idő is stimmel, akkor a fizetség eljut az áruházhoz, s a letöltés megkezdődhet.
Ha a kártya valódi tulajdonosa nem jön rá a hackelésre, akkor sohasem veszik észre. A 3D Secure néven ismert megoldást a Master Card és a VISA fejlesztette ki - ez minden fent bemutatott támadásnak alanya lehet. Érdekes, hogy a felelősséget a kártya tulajdonosára vagy bankjára hárítja, így, ha valaki online csalást követ el a kártyánkkal, könnyen elcsodálkozhatunk a kapott számlákon. Erről is részletesen szó lesz eben a cikksorozatban. A rendszer adminisztrátorok és a biztonsági szakértők számára az Internet egy csatatér. Mindig reméljük, hogy minket nem ér találat, ha mégis, akkor igyekszük kezelni a következményeket. A dolog titka itt az, hogy fel kell ismernünk, hogy találat ért minket, észlelnünk kell a behatolást, majd befoltozni a lukakat, mielőtt bármi is kijuthatna rajtuk. Amint a hacker harcba indul, számos NMAPper és más probléma kerül felszínre. (Az NMAP egy nagyon népszerű 'biztonsági' szkenner program, ami lehetővé teszi, hogy minimális zavarkeltés mellett gyűjtsünk vele információkat a lehetséges támadási módokról. Számos fontos kérdést kell itt feltennünk. Hány helyen adják meg a felhasználók a jelszavaikat és egyéb adataikat? Minden oldalhoz külön PIN-t alkalmaznak? Ha igen, hol tárolják ezeket az adatkat? Az ilyen oldalak adminisztátorainak hozzáférésük van a felhasználók PIN-jeihez és jelszavaihoz. A bankoknak pedig rá kéne jönniük arra, hogy az oldalhoz való hozzáférés egyedül még nem elegendő, ha máshonnan hozzájutottak a felhasználó azonosítóihoz.
A "libiai módszer" népszerűségét minden bizonnyal annak köszönheti, hogy rendkívül egyszerű és olcsó trükkön alapszik, ennek ellenére nagyon sokan beleesnek a csapdába. Az első lépés egy nagyon vékony, műanyag fólia elhelyezése a bankjegykiadó automata (ATM) kártya-nyílásába. A hitelkártya ennek következtében beragad, a kétségbeesett tulajdonoson pedig azonnal segít egy jól öltözött "úriember", akinek -- az áldozat naivitásának függvényében -- több használható ötlete is van.


2,3 millió tulajdonos
Egyetlen év alatt 122 százalékkal nőtt a Romániában forgalomban lévő bank- és hitelkártyák száma, de a kártyák tulajdonosainak 90 százaléka csak pénzfelvételre használja a műanyag lapocskákat. 2001 végén 2,3 millió kártyatulajdonost tartottak nyilván Romániában. Egy évvel korábban valamivel több mint egymillió kártya volt forgalomban. Ez Közép- és Kelet- Európa leglátványosabb növekedése volt.

A segítséget ajánló csaló elpanaszolja, hogy nemrég hasonló helyzetbe került, és a PIN-kód ismételt beütésére talán kidobódhat a kártya. Esetleg megad egy telefonszámot, ahol gyors eligazítást nyújtanak. Ha jótanácsait megfogadják, már nincs más dolga, mint megjegyezni az előtte beütött kódot, vagy a telefonvonal másik végén található partnerétől elkérni az átvert személyből kiszedett adatokat. A következő javaslata már arra vonatkozik, hogy a pórul járt illető azonnal forduljon a legközelebbi bankfiókhoz. Távozása után a tolvaj egy csipesz segítségével kiszedi a kártyát, és a PIN-kód ismeretében azonnal leüríti, még mielőtt a számlát zárolhatnák.

Költségesebb ötletek

Egy másik Romániában alkalmazott módszer, amely azonban valamivel bonyolultabb, gyorsaságot és matematikai ismereteket is igényel, abban áll, hogy a tolvajok egy szinte láthatatlan port szórnak a bankautomata billentyűire. Így megszerezhető a négy keresett szám, de még hátra van a neheze: ellopni a kártyát és a számokból kikísérletezni a helyes kódot. Közismert módszer még, hogy az automatán ragasztócsíkot helyeznek el a pénzkiadó nyílásban, ezért a pénzt nem lehet felvenni. Ha távozunk a helyszínről, a csalók elhúzzák a csíkot, a pénzzel együtt.

Fejlettebb technika és bonyolultabb eszközök szükségeltettnek ahhoz a csalási módozathoz, amelyben az ellopott kártyába új azonosító-számot égetnek. Bizonyos esetekben az is előfordulhat, hogy kereskedőknél a kártyával való fizetés közben az eladó egy olyan speciális, személyi hívó nagyságú szerkezet előtt is elhúzza a kártyát, amely képes leolvasni annak adatait.