Skip to main content

Kybernetická bezpečnosť

10. októbra 2024

 

Čo je digitálne skimming? Váš sprievodca pre bezpečnosť pri nakupovaní online

Skimming kariet sa vyvinul s technológiou. S novým druhom tohto podvodu kyberzločinci inštalujú malvér na stránky elektronického obchodu, aby ukradli údaje o kartách.

Christina Gibsonová

Prispievateľ

V online maloobchode sa objavil nový druh kybernetickej kriminality. Zameriava sa na spotrebiteľov, ktorí sa venujú svojim každodenným záležitostiam, či už ide o rezerváciu leteniek u veľkej leteckej spoločnosti alebo nákup vstupeniek na koncert prostredníctvom ich obľúbenej platformy.

Nazýva sa to digitálny skimming, tiež známy ako e-skimming, online skimming kariet alebo web skimming, a je to vývoj staršieho podvodu známeho ako skimming kariet. Vtedy zločinci inštalujú zariadenia do predajných systémov alebo malé kamery do bankomatov či čerpacích staníc na zachytávanie údajov z kariet. Pri digitálnom skimmingu hackeri umiestňujú do online obchodov škodlivý softvér, aby zhromaždili tieto informácie, a jeho odhalenie môže byť ťažšie ako pri fyzickom skimmingu a môže zasiahnuť viac obetí naraz. 

skimming

/ˈ'ski-miŋ/ • podstatné meno

 

    1. odstránenie látky z povrchu kvapaliny

    2. prax zatajovania ziskov z hazardných hier alebo iných ziskov s cieľom vyhnúť sa plateniu daní, provízií

    3. prax elektronického privlastňovania si čísel účtov alebo iných dôverných údajov na nezákonné použitie

V online maloobchode sa objavil nový druh kybernetickej kriminality. Zameriava sa na spotrebiteľov, ktorí sa venujú svojim každodenným záležitostiam, či už ide o rezerváciu leteniek u veľkej leteckej spoločnosti alebo nákup vstupeniek na koncert prostredníctvom ich obľúbenej platformy.

Nazýva sa to digitálny skimming, tiež známy ako e-skimming, online skimming kariet alebo web skimming, a je to vývoj staršieho podvodu známeho ako skimming kariet. Vtedy zločinci inštalujú zariadenia do predajných systémov alebo malé kamery do bankomatov či čerpacích staníc na zachytávanie údajov z kariet. Pri digitálnom skimmingu hackeri umiestňujú do online obchodov škodlivý softvér, aby zhromaždili tieto informácie, a jeho odhalenie môže byť ťažšie ako pri fyzickom skimmingu a môže zasiahnuť viac obetí naraz. 

Čo je to skimming kariet?

Skimming kariet je podvod, pri ktorom zločinci narušia platobné automaty, aby ukradli informácie o kartách zákazníkov. Zmanipulované čítačky kariet sa nenápadne držia bankomatov, čerpacích staníc a predajných systémov a tajne zaznamenávajú čísla kariet a fakturačné údaje. Prekrytia klávesnice alebo miniatúrne kamery zaznamenávajú PINy zákazníkov.

Informácie sa potom môžu preniesť cez Bluetooth do blízkeho úložného zariadenia ovládaného útočníkom.

Čo je digitálne skimming?

Digitálny skimming je skimming kariet, ktorý sa vykonáva cez internet. Namiesto skrytia sledovacích zariadení na fyzických počítačoch zločinci prepašujú škodlivý kód na webové stránky elektronického obchodu, aby ukradli platobné údaje každého zákazníka, ktorý tam používa ich karty.

Digitálny skimming je ešte ťažšie odhaliť ako fyzický skimming a môže postihnúť viac obetí naraz.

Ako funguje digitálne skimming?

Digitálny skimming infikuje stránky a aplikácie elektronického obchodu počítačovým kódom, ktorý kradne platobné údaje. Skimeri vpletajú svoje pokyny do zdrojového kódu stránky. Keď nič netušiaci zákazníci vyplnia platobné formuláre, malvér skopíruje údaje o ich karte a osobné údaje.

Hackeri tiež vkladajú škodlivý kód do produktov tretích strán, ako je napríklad softvér pre nákupné košíky. Keď online obchodníci integrujú tieto sabotované nástroje, nevedomky infikujú svoje vlastné siete. Falšované produkty často obsahujú skripty, ktoré maskujú prítomnosť skimmera na stránke elektronického obchodu zákazníka. V dôsledku toho môže trvať roky, kým si niektorí obchodníci všimnú – a odstránia – skimming malware.

Aké rozšírené je digitálne skimming?

Digitálne skimming sa stáva obľúbenou metódou kybernetických zločincov. Podľa údajov spoločnosti Mastercard takmer tri štvrtiny verejne zverejnených porušení v roku 2022 zahŕňali digitálny skimming. V tom roku skimery infikovali 4 500 nových lokalít – čo predstavuje 129 % nárast oproti roku 2021 – a v roku 2023 sa ich počet zvýšil o ďalších 2 700.

FBI odhaduje, že tieto podvody teraz stoja držiteľov kariet a banky viac ako 1 miliardu dolárov ročne.

Aké druhy údajov hľadajú digitálni skimmeri?

Digitálni skimmeri hľadajú platobné údaje, ktoré by mohli použiť pri iných typoch finančnej kriminality, ako sú podvody a krádeže. Zhromažďujú údaje o kreditných kartách vrátane čísel kariet, dátumov expirácie a kódov CVC, ako aj osobné identifikačné údaje, ako je meno, adresa a telefónne číslo držiteľa karty.

Čo robia zločinci s informáciami, ktoré ukradnú?

Útočníci zvyčajne predávajú ukradnuté informácie podvodníkom na čiernom trhu – v roku 2023 bolo v USA 416 582 prípadov krádeže identity umožnených odcudzenými údajmi z kreditných kariet. Podvodníci používajú prihlasovacie údaje na prehľadávanie účtov s neoprávnenými transakciami.

Podvodné transakcie sa zvyčajne začínajú približne päť mesiacov po tom, čo boli prihlasovacie údaje odobraté, po overení platnosti údajov z karty a ich predaji. Na základe incidentov nahlásených spoločnosti Mastercard je o 31 % vyššia pravdepodobnosť, že sa zákazníci, ktorí obchodujú u infikovaných obchodníkov, stanú obeťami podvodu.

Čo sa stane, ak mi niekto zneužije kartu?

Skimmery kariet predstavujú vážnu hrozbu pre vaše financie. Držitelia kariet môžu zistiť, že ich úspory sú vyčerpané, ich kreditné karty sú na maxime, dokonca aj ich zdravotné záznamy sú sfalšované, pretože zlodeji hromadia výdavky na lieky na predpis a iné služby.

Hoci držitelia kariet môžu straty zvrátiť, možno budú musieť stráviť hodiny sporením sa o poplatky a vypĺňaním papierov. Medzitým by im mohli byť účty zmrazené alebo by im mohli byť účtované poplatky za prečerpanie.  

Držitelia kariet Mastercard nemajú žiadnu zodpovednosť a nebudú niesť zodpovednosť za neoprávnené transakcie, ak vynaložili primeranú starostlivosť na ochranu svojej karty pred stratou alebo krádežou a ak stratu alebo krádež bezodkladne nahlásili svojej finančnej inštitúcii.

Ako zistím, či som sa stal obeťou digitálneho skimmingu?

Digitálne skimming môže byť ťažké odhaliť. Prvými príznakmi sú zvyčajne neočakávané platby na bankových výpisoch a neznáme poplatky na účtoch za kreditné karty. Je rozumné pravidelne kontrolovať výpisy z účtu, či neobsahujú anomálie.

Ako sa môžu spotrebitelia chrániť pred digitálnymi skimmermi?

Spotrebitelia sa môžu chrániť tým, že budú pri nakupovaní online obozretní. Všímajte si upozornenia prehliadača na nezabezpečené stránky a dávajte si pozor na neočakávané kontextové okná, amatérske reklamy a pravopisné a gramatické chyby – to by mohlo naznačovať, že obchodná stránka bola infiltrovaná alebo sfalšovaná.

Dobrá digitálna hygiena môže tiež zabrániť šíreniu invázie, ak dôjde k úniku vašich informácií. Nastavenie silných a jedinečných hesiel a používanie dôveryhodnej siete VPN na pripojenie k verejným sieťam Wi-Fi zabráni hackerom v prístupe k vašim ostatným účtom. Ak chcete obmedziť finančné straty, vyhraďte pre online transakcie iba jednu kartu a aktivujte si upozornenia na transakcie, ktoré vás upozornia vždy, keď sa vaša karta použije.

Čo robí webovú stránku zraniteľnou voči digitálnemu skimmingu?

Zraniteľnosť webovej stránky voči digitálnemu skimmingu je silne spojená so silou jej bezpečnostných systémov. Hackeri musia prepašovať svoj kód cez slabé miesta v obrane stránky. Rovnako ako by zlodej vynechal banku kvôli domu s otvoreným oknom, skimmery sa zameriavajú na webové stránky so slabou kybernetickou bezpečnosťou.

Zastaraný softvér je hlavným vinníkom: Podľa analýzy výskumného tímu Cyber Analytics spoločnosti Mastercard je u obchodníkov s aspoň jednou kritickou softvérovou zraniteľnosťou 3,3-krát vyššia pravdepodobnosť, že sa stanú obeťou digitálneho skimmera. Tí, ktorí zo zvyku zanedbávajú opravu bezpečnostných medzier aktualizáciami, majú 12-krát vyššiu pravdepodobnosť.

Ako sa môžu firmy chrániť pred digitálnymi skimmermi?

Spoločnosti sa môžu chrániť pred digitálnymi skimmermi zavedením a dodržiavaním prísnych ochranných opatrení. Kľúčovou obranou je udržiavanie aktuálnych aktualizácií softvéru; firmy by mali šifrovať všetky prenosy údajov, dôkladne preveriť nástroje tretích strán a skenovať svoj zdrojový kód, či neobsahuje neoprávnené zmeny.

Aby sa v prípade útoku obmedzilo poškodenie zákazníkov, firmy by mali zhromažďovať minimálne údaje o zákazníkoch potrebné pre akúkoľvek transakciu; zálohovanie kódu a databáz stránky umožní ich rýchlu obnovu a minimalizáciu prerušení. 

Aby podniky mohli tento typ kybernetického rizika riadiť vo veľkom rozsahu, musia neustále hľadať známky narušenia bezpečnosti, a to ako na svojich vlastných stránkach, tak aj v nástrojoch, ktoré integrujú. A tu prichádza na rad umelá inteligencia . Automatizované nástroje na riadenie rizík využívajú inteligenciu z otvoreného zdrojového kódu a strojové učenie, aby pomohli firmám posilniť ich obranu a vyhodnotiť kybernetickú hygienu dodávateľov tretích strán.