Czy płacenie kartą w Internecie jest bezpieczne? Kompendium wiedzy dla Ciebie - część I
Czy płatności kartą w Internecie są bezpieczne? Jak to się dzieje, że w ciągu kilku sekund po podaniu numeru naszej karty otrzymujemy wynik autoryzacji? Jakie zagrożenia mogą nas spotkać w Internecie? Na te i wiele innych pytań odpowiemy w naszym poradniku.
17.11.2009 10:34
W dzisiejszych czasach wielu użytkowników Internetu jest też posiadaczem plastikowej karty płatniczej lub kredytowej. Wiele osób wciąż jednak obawia się dokonywać płatności w sieci za ich pomocą, wybierając droższe płatności „przy odbiorze” lub dodatkowo płatne przelewy bankowe. Często także, ze strachu przed ryzykiem utraty pieniędzy rezygnujemy z wymarzonych zakupów w zagranicznych sklepach, które przyjmują zapłatę tylko za pomocą kart. Czy zatem płatności kartą w Internecie są bezpieczne? Jak to się dzieje, że w ciągu kilku sekund po podaniu numeru naszej karty otrzymujemy wynik autoryzacji? Jakie zagrożenia mogą nas spotkać w Internecie i na co powinniśmy uważać? Na te i wiele innych pytań odpowiemy w naszym poradniku.
Na początek przyjrzyjmy się temu, jak w ogóle wygląda tajemniczy proces autoryzacji naszej karty i kto jest w niego zaangażowany. Załóżmy, że postanowiliśmy kupić w Internecie płytę DVD z koncertem ulubionego wykonawcy. Kiedy w sklepie internetowym wybierzemy opcję płatności za pomocą karty płatniczej / kredytowej zostaniemy przekierowani na zaszyfrowaną stronę agenta rozliczeniowego np. Polcardu. Dlaczego agent? Jest to pierwszy poziom ochrony naszych pieniędzy: sklep nigdy nie otrzyma informacji o Twojej karcie, jej numerze, dacie ważności czy kodzie CVV2. Jedyną informacją, którą dostanie sklep jest wynik autoryzacji.
PAMIETAJ: ŻADEN SKLEP NIE OTRZYMUJE NIGDY NUMERU TWOJEJ KARTY, ANI ŻADNYCH INNYCH DANYCH, POZWALAJĄCYCH NA DOSTĘP DO TWOICH PIENIĘDZY
Na zaszyfrowanej stronie podajemy numer karty kredytowej, jej datę ważności, a także coraz częściej kod CVV2 (dodatkowy kod, przypominający nieco kod PIN) oraz imię, nazwisko i adres zamieszkania właściciela karty. Kiedy podamy już wszystkie wymagane dane wciskamy OK, rozpoczynając tym samym skomplikowany proces autoryzacji. Centrum autoryzacyjne odbiera dane i przekazuje je do sieci komputerowej organizacji kartowej. Dla kart Visa jest to sieć Visanet, a dla kart MasterCard / Maestro sieć Banknet. W ten sposób zostaje wysłane zapytanie, które w uproszczeniu wygląda tak: „klient Jan Kowalski dokonuje zakupu na kwotę 59 zł kartą o numerze xxxxxxx, transakcja ma miejsce w sklepie internetowym w Polsce, czy możemy autoryzować taką transakcję?”
Następnie np. Visa wysyła zapytanie do naszego banku z prośbą o sprawdzenie, czy na naszym koncie znajduje się odpowiednia liczba pieniędzy, lub czy mamy odpowiedni limit na karcie kredytowej. Bank sprawdza czy jesteśmy wypłacalni i jeżeli tak, to blokuje na naszym koncie / karcie 59zł przekazując jednocześnie do Visa informację o pozytywnym wyniku autoryzacji. Visa przekazuje taką informację dalej do agenta rozliczeniowego, a ten do sklepu. Cały proces trwa zaledwie kilka sekund i jeżeli mamy środki na naszym koncie lub karcie kredytowej, to od tej chwili możemy oczekiwać na przesyłkę.
Pokazany wyżej model jest tylko przykładem. Cześć banków pozwala na automatyczną akceptację transakcji opiewających na niewielkie kwoty. Wtedy decyzja o autoryzacji karty podejmowana jest na poziomie organizacji kartowej. Wtedy Visa sprawdza czy karta nie jest skradziona lub zastrzeżona i wydaje decyzję o pozytywnej lub negatywnej autoryzacji.
Jeśli wydaje ci się, że na tym kończą się zabezpieczenia to jesteś w błędzie. Procedury są znacznie bardziej skomplikowane i biorą pod uwagę ogromną liczbę czynników – wszystko po to, aby twoje pieniądze były bezpieczne.
Banki, organizacje kartowe oraz centra rozliczeniowe wykorzystują wiele nowoczesnych metod, aby uchronić nas przed nieautoryzowanym wykorzystaniem naszej karty. Możemy je podzielić na dwie grupy: systemy reguł oraz systemy heurystyczne (uczące się zachowań każdego klienta).
Systemy zabezpieczeń
W przypadku, kiedy dojdzie do przejęcia naszego numeru karty płatniczej / kredytowej, ale także, kiedy my sami zaczniemy posługiwać się w „dziwny” sposób naszą kartą, automatyczne systemy zadbają o nasze bezpieczeństwo.
Nikt z nas nie dokonuje raczej kilkunastu transakcji pod rząd w różnych sklepach internetowych. Taka sytuacja odbiega od przeciętnego zachowania użytkownika karty i wzbudzi podejrzenie. Tak samo, jeśli w jednym sklepie internetowym próbujemy zapłacić pod rząd kilka razy coraz mniejszymi kwotami - taka sytuacja również wzbudzi alarm bezpieczeństwa. Dlaczego? Każda karta ma określony limit autoryzacyjny. Dla przestępców ważna jest kwota, którą chcieliby nam ukraść – wiadomo im, wyższa tym lepiej. Mogą oni zatem chcieć testować coraz niższe kwoty, które bank mógłby w końcu autoryzować.
Podobnie rzecz się ma z wieloma transakcjami pod rząd, w wielu różnych sklepach internetowych. Często przestępcy dokonują zakupu w różnych sklepach internetowych, aby zacierać ślady. Z tego samego powodu podają także różne adresy, na które ma zostać dostarczony towar. Systemy bankowe wychwytują różnice i takie transakcje mogą zostać odrzucone.
PAMIĘTAJ: KAŻDA TRANSAKCJA, KTÓRA DOKONUJESZ W SIECI JEST MONITOROWANA PRZEZ SYSTEMY BEZPIECZEŃSTWA. DBAJ O TO, ABY PŁACĄC KARTĄ ZAWSZE PODAWAĆ POPRAWNE DANE NP. ADRES
Bardzo ciekawym przykładem jak działają automatyczne systemy reguł, jest reguła czasu i geolokalizacji. Jeżeli dokonujesz płatności w Krakowskim, sklepie o godzinie 16:00, to nie jest możliwe, abyś dokonał transakcji na moskiewskim Arbacie o 17:30. System wie, że podróż z Krakowa do Moskwy trwa więcej niż 1,5h i taka transakcja zostanie odrzucona. Podobnie, występują miejsca w świecie gdzie przestępcy bardzo często próbują dokonywać transakcji skradzionymi kartami. Jeśli nie podróżujmy często do krajów azjatyckich i nagle podczas wycieczki np. na Filipiny, będziemy próbowali uregulować rachunek za hotel, to możemy być prawie pewni, iż przedstawiciel banku zadzwoni do nas z prośbą o potwierdzenie naszej transakcji.
Musimy pamiętać, że do banku - wystawcy naszej karty - spływają wszystkie informacje o naszych płatnościach, nie tylko tych w Internecie. Bank posiada także wiedzę historyczną o tym, jak w przeszłości korzystaliśmy z karty, co pomaga w stworzeniu reguł heurystycznych. Systemy uczą się zachowań klientów, a także zachowań przestępców. Ich dzisiejszy poziom rozwoju pozwala niemal ze 100% pewnością określić, czy dana transakcja jest wykonywana przez nas, czy też nasza karta bądź jej numer został skradziony.
Każdy z nas jest inny i każdy z nas posługuje się swoją kartą w inny sposób. Autor tego tekstu dokonuje płatności kartą w Internecie średnio kilkanaście razy w miesiącu. Bankowe systemy uczą się tego i wiedzą, że najczęściej kupowane są bilety lotnicze oraz potwierdzane są rezerwacje w hotelu. Prawdopodobieństwo tego, że przestępca zacznie zachowywać się jak autor, jest równe niemal zeru. Podobnie jest z tobą, korzystasz ze swojej karty w bardzo indywidualny sposób – wszystko to, co odbiega od „twojej normy” wzbudzi czujność banku czy organizacji, która wydała twoją kartę.
Systemy bezpieczeństwa biorą także pod uwagę wysokość transakcji oraz czas, w jakim zostały wykonane. Dla uproszczenia załóżmy, iż za każdą transakcję poniżej 100zł dostajesz 1pkt bezpieczeństwa, powyżej 100zł 2pkt, powyżej 200zł 3pkt itd. Pełne bezpieczeństwo dla banku oznacza zerowy stan konta punktowego. Po przekroczeniu pewnej ilości punktów w ciągu np. 24 czy 48 godzin bank przed autoryzacją transakcji może chcieć wpierw skontaktować się z tobą.
Kiedy już wiemy, jak działają automatyczne systemy bezpieczeństwa, to przyjrzyjmy się bezpieczeństwu samej sieci Internet i możliwości podsłuchania szyfrowanej transakcji, a także temu jak nie dać wyłudzić swojego numeru karty.
O rozmowę poprosiliśmy Pana Macieja Ziarka, analityka zagrożeń w Kaspersky Lab Polska.
Wirtualna Polska: W jaki sposób dochodzi do wyłudzania numerów kart płatniczych i kredytowych?
Maciej Ziarek: Najczęściej do wyłudzenia haseł, loginów, nr kart i innych danych, których osoby trzecie znać nie powinny służą 3 metody.
Pierwsza to phishing. Jest to najczęściej próba oszukania użytkownika poprzez skierowanie go na fałszywą stronę. Metoda ta polega na przekonaniu osoby atakowanej do przejścia na witrynę/stronę przypominającą oryginalną. Do tego celu używa się zazwyczaj spamu, którego odbiorcą jest konkretna grupa użytkowników. Przykładowo może zostać rozesłana informacja dotycząca aktualizacji danych dotyczących konta bankowego. Aby tego dokonać użytkownik musiałby kliknąć w link i podać informacje o sobie, nr konta/karty kredytowej, pin lub nr klienta i hasło. Wszystko oczywiście odbywa się za pośrednictwem fałszywej witryny podanej w mailu, która wygląda jak autentyczna strona banku (szata graficzna, reklamy, nawet pola informacyjne, FAQ i pomoc). Oczywiście nie tylko banki są brane na cel.
Drugi sposób to pharming. Atak ten jest trudniejszy do przeprowadzenia, niestety idzie to w parze z wykrywalnością, ponieważ równie trudno jest poznać, że zostaliśmy zaatakowani. Tutaj istnieją dwie metody, lokalna i globalna. Lokalna jest łatwiejsza do realizacji. Zaczyna się od zainfekowania komputera ofiary koniem trojańskim, który modyfikuje plik hosts, w którym dla prawdziwej strony np. banku przypisuje się fałszywy adres. Dzięki temu zabiegowi, użytkownik wpisując w przeglądarce nazwę banku, zostaje przekierowany na fałszywą stronę (mimo wpisania dobrego adresu). Pozwala jednak na atak tylko konkretnej osoby, co może być mało zyskowne. Atakując globalnie, ma się dostęp do wiele większych zasobów. Atakowane są bowiem serwery DNS, które odpowiadają za tłumaczenie adresów stron. W ten sposób, wszystkie osoby aktualnie z niego korzystające i wchodzące na określone strony, mogą paść ofiarą wyłudzenia.
Ostatni sposób to socjotechnika. Jest ona obecna w dwóch pierwszych metodach (trzeba przekonać w wiarygodny sposób do kliknięcia lub podania danych). Jednak dobry socjotechnik potrafi wzbudzić w rozmówcy na tyle duże zaufanie (poprzez komunikatory, chat, mail, telefony i inne środki kontaktu), że odbiorca jest gotów podać pewne dane np. dotyczące konta. Brzmi to nieprawdopodobnie, niestety jest prawdziwe. Przekonał nas o tym m.in. Kevin Mitnick, a także kilku innych znanych socjotechników. Zazwyczaj atakujący podaje się za inną osobę - powiedzmy, pracownika banku. Może operować fachową terminologią by do siebie przekonać.
WP: Jakie błędy popełniają sklepy internetowe np. błędny sposób autoryzacji transakcji w banku (sklep autoryzuje transakcję tak, jakby fizycznie została dokonana w sklepie na ulicy z użyciem kodu PIN), brak stosowania odpowiedniego szyfrowania etc.?
*Maciej Ziarek: *Tak jak Pan słusznie zauważył, same sklepy także nie są bez winy. Obecnie każdy może w łatwy sposób otworzyć e-sklep o dowolnym asortymencie. Służą tutaj z pomocą programy do tworzenia sklepów internetowych. W 2008 roku w jednym z takich programów znaleziono lukę, która umożliwiała kupowanie, lecz nie płacenie za towar (co mogło wprowadzić właścicieli sklepów w błąd). O ile w tym przypadku kupujący nie był ofiarą błędu, o tyle luk w nowszych wersjach może być więcej i nie wszystkie muszą być ukierunkowane na właściciela. W taki sposób klienci również są narażeni na niebezpieczeństwo. Jednym z podstawowych błędów, które czasami mają miejsce, jest niestosowanie szyfrowanych kanałów https. Wszystkie wpisywane wtedy przez nas dane i nr są jawne. Wystarczy, że ktoś będzie podsłuchiwał połączenie i wszystkie informacje trafią do niego jako tekst jawny. Kolejnym probleme są błędy w implementacji sposobów tworzenia sesji danego użytkownika (dzięki temu nie trzeba się każdorazowo logować na
podstronach sklepu, nasze ustawienia/dane są zapamiętane na czas trwania sesji). Przykładem takiego błędu może być brak ustawienia minimalnej długości czasu istnienia ciasteczka (cookie) lub ustawienie go na cały czas trwania sesji. Jeżeli nie wylogujemy się ze sklepu - jesteśmy potencjalnie narażeni na atak (w przypadku przejęcia cookie).
WP: Zastanawia nas, czy istnieją realne sposoby podsłuchania i przejęcia danych w Internecie, zawierających informacje o karcie płatniczej / kredytowej? Stosowany powszechnie protokół SSL jest silnym zabezpieczeniem, jednak dane muszą zostać przecież przekazane do dalszej autoryzacji. Teoretycznie sklep otrzymuje tylko wynik autoryzacji, a dane karty kredytowej nie są przekazywane do sklepu. Krążą one jednak dalej w Sieci, a to pozwala zadać pytanie o możliwość ich przejęcia. Mamy tu na myśli ataki na strony pośredników autoryzacyjnych w Polsce np. Polcard, e-Card czy Dotpay.
Maciej Ziarek: Jeżeli transakcja nie jest szyfrowana to podsłuch danych nawet najprostszym snifferem nie jest problemem. Jest to jak najbardziej realne, a dane typu nr karty kredytowej czy hasła do kont bankowych są podane jak na tacy. Jeżeli chodzi o protokół SSL to faktycznie zabezpiecza on transakcję tak, że jej odczytanie jest niemożliwe. Teoretycznie SSL zostało złamane (wprawdzie przez kilkaset połączonych PlayStation3, ale jednak) Był to jednak tylko eksperyment, generalnie póki co nie grozi nam odszyfrowanie danych w SSL. To, że dane o karcie kredytowej nie są przekazywane do sklepu nie jest teorią. Sklep faktycznie otrzymuje wynik transakcji, a nie nr karty czy hasła. Generalnie dane o karcie (te potrzebne do autoryzacji) są wysyłane od sklepu, przez któryś z serwisów autoryzacyjnych do banku rozliczeniowego aż po wydawcę karty. Nie słyszałem jednak o ataku na serwisy obsługujące transakcje.
WP: Wspominał Pan wcześniej, o gotowych aplikacjach - czasami darmowych - będących gotowymi modułami sklepów internetowych. Jak dalece możemy zaufać takim modułom, skoro potencjalnie można zaszyć w nich elementy zbierające czy to wrażliwe dane, czy też rejestrujące szczegóły transakcji kartowych? Czy użytkownik sklepu może w jakiś sposób poznać, że dany sklep jest bezpieczny pod tym względem?
*Maciej Ziarek: *Myślę, że jest mało prawdopodobne by aplikacje do tworzenia sklepów internetowych dodawały moduły zbierające potajemnie dane o użytkowniku. Niektóre programy tego typu wydawane są na licencji GNU GPL (OsCommerce), społeczeństwo Open Source nie pozwoli nigdy na tego typu implementacje. Szybciej taki wyciek danych miałby miejsce poprzez lukę. Jeżeli aplikacja do tworzenia sklepów internetowych posiada lukę, użytkownik nie jest w stanie sam jej zauważyć. Może wyczytać w newsach o nowej dziurze w konkretnej usłudze i przykładowo zrezygnować do czasu jej załatania z usług sklepu, używającego danego silnika.
WP: Część sklepów internetowych autoryzuje transakcje internetowe na zasadach MOTO (transakcje telefoniczne i korespondencyjne). Z zebranych informacji wynika, że proces takiej autoryzacji może przebiegać telefonicznie, lub za pomocą terminala. Czy znane są przypadki, lub też możliwości infekowania samych terminali autoryzacyjnych? Skimming terminala?
Maciej Ziarek: Nie słyszałem o infekowaniu terminala, ale o skimmingu tak. Nieuczciwi sprzedawcy podczas płacenia za zakupy potrafią niezauważenie przesunąć kartę (w celu skopiowania paska magnetycznego) po ,,własnym" terminalu. Takie przypadki miały już miejsce. W Polsce bardziej popularny jest skimming przy bankomatach. Jest bardziej ryzykowny, ale klientowi trudniej to zauważyć niż używanie w sklepie dodatkowego terminala przez sprzedawcę. (Nie ma to jednak raczej miejsca w przypadku transakcji internetowych – przyp. WP)
WP: Ewgienij Kaspersky podczas jednej ze swoich prezentacji, w których miałem okazję uczestniczyć, wskazywał na fakt, iż "rynek" przestępczości internetowej coraz mocniej będzie zmierzał w kierunku kradzieży tożsamości oraz wirtualnych kradzieży naszych pieniędzy - w tym numerów kart płatniczych/ kredytowych. Czy w Pańskiej ocenie, polski rynek e-commerce jest dobrze przygotowany do ochrony konsumenta?
Maciej Ziarek: Myślę, że tak. W Polsce jest prowadzonych wiele sklepów internetowych i serwisów aukcyjnych (które jakby nie patrzeć wliczają się do e-commerce). Wiadomo, że przebadanie wszystkich sklepów pod kątem zabezpieczeń jest niemożliwe, jednak klienci z reguły wybierają te większe i bardziej znane. Faktem jest, że „wpadki” zdarzają się nawet największym sklepom (często wystarczy wpisać tylko nazwę witryny w Google i dodać słowo „luka”, „dziura” lub „niezabezpieczone”, a dostaniemy kilka stron dotyczących tego problemu). Jednak generalnie im większy sklep bądź serwis aukcyjny, tym bardziej profesjonalnie podchodzi do problemu ochrony danych konsumenta, stosując szereg zabezpieczeń, aby nie doszło do wycieku danych czy nieautoryzowanego logowania.
WP: Czy można stwierdzić, że różne polskie banki w różnym stopniu dbają o bezpieczeństwo transakcji internetowych swoich klientów? Mamy wątpliwości, czy np. niewielkie instytucje bankowe jak np. SKOKI, czy też małe banki spółdzielcze mogą nie mieć dostatecznych środków na skuteczne zabezpieczanie swoich systemów.
Maciej Ziarek: Z bankami jest jak z samochodami. Każdy samochód ma obecnie jakieś zabezpieczenia w standardzie; pasy, kontrolowaną strefę zgniotu, poduszki itp. A jednak w testach zderzeniowych jedno auto ma więcej gwiazdek od drugiego... Z bankami sprawa ma się podobnie, tyle że nikt ich nie niszczy w ramach testu.
Teoretycznie większość polskich banków stosuje takie same zabezpieczenia. Jedne banki używają kodów jednorazowych w postaci zdrapek, inne proponują tokeny, a jeszcze inne kody wysyłane poprzez SMS. Wszystkie pozwalają uwierzytelnić klienta przed dokonaniem akcji na koncie, jednak kody ze zdrapek można łatwiej wyłudzić poprzez phishing (były już przypadki takiego wyłudzenia na polskim banku). Najbezpieczniejszy pod tym względem jest token, którego kod jest ważny zazwyczaj minutę. Jedynym potencjalnym zagrożeniem dla kodów SMS i tokenów jest atak typu MitM (Man in the Middle). Jednak nawet przejęcie kodu pochodzącego z tokena, zmusza atakującego do jego użycia w mniej niż minutę (realnie - niesłychanie mało prawdopodobne).
Inne zabezpieczenia banków mogą się odrobinę od siebie różnić (sposób uwierzytelniania, klawiatury wirtualne), jednak w większości są one podobne. Co do SKOKÓW to myślę, że przy stosowaniu się do pewnych procedur, nie ma podstaw aby twierdzić, że banki te są gorzej zabezpieczone od tych większych. Z tego, co mi wiadomo to one także używają haseł jednorazowych do uwierzytelniania transakcji, szyfrowania 128 bitowym kluczem, certyfikatów potwierdzających autentyczność itp. Niektóre banki spółdzielcze przeszły nawet z kart jednorazowych na tokeny.
WP: W jaki sposób przeciętny użytkownik może się zabezpieczyć (swój komputer), a także na co powinien sam zwrócić uwagę robiąc zakupy w Internecie?
*Maciej Ziarek: *Wymienię najważniejsze elementy w podpunktach:
- Stosowanie programu antywirusowego (m.in. przeciwko trojanom, które mogą modyfikować plik hosts) lub pakietu typu Internet Security, który jest wyposażony w moduły przeciwko wyłudzeniom
- Tworzenie dodatkowego subkonta do konta głównego, z drugą kartą. Stosujemy subkonto tylko do transakcji internetowych, przelewając wcześniej wyliczoną sumę na zakupy. Nie podajemy w sklepie nr konta głównego.
- Używanie systemów płatniczych typu PayPal czy ePassporte
- Nie otwieranie wiadomości od nieznanych nadawców, nie klikanie linków czy pobieranie programów z nieznanego źródła
- Należy pamiętać, że banki nigdy nie wysyłają informacji i próśb o logowanie się czy podawanie haseł
- Sprawdzanie czy strona płatności jest szyfrowana, czy adres się zgadza i czy (np. bank) posiada ważny certyfikat
Jarosław Babraj