BEZPEČNOST PLATEBNÍCH KARET

Masarykova univerzita Ekonomicko-správní fakulta Studijní obor: Finance

BEZPEČNOST PLATEBNÍCH KARET Payment Card Security Bakalářská práce

Vedoucí bakalářské práce:

Autor:

prof. Ing. Jiří Dvořák, DrSc.

Tomáš HERŮDEK

Brno, 2012

J m é n o a p ř í j mení autora:

Tomáš Herůdek

Název diplomové práce:

Bezpečnost platebních karet

Název práce v angličtině:

Payment Card Security

Katedra:

financí

Vedoucí diplomové práce:

prof. Ing. Jiří Dvořák, DrSc.

Rok o bh aj o b y:

2012

Anotace Cílem bakalářské práce „Bezpečnost platebních karet“ je analýza bezpečnostní situace platebních systémů a vytvoření modelu bezpečných platebních karet. První část se zabývá současným stavem řešení problematiky ve světě, včetně popisu bezpečnostních prvků a obvyklými způsoby zneužívání systému. Druhá část se zabývá analýzou již fungujících systémů vydavatelů platebních karet, návrhem a zdůvodněním jak tyto systémy efektivně zlepšit.

Annotation Objective of the „Payment Card Security“ thesis is the analysis of payment card security and creation of safe payment card model. The first part covers the current situation worldwide, including description of security measures and usual frauds. The second part is about the analysis of already working payment card systems, with suggestions and justifications for more effective ways.

Klíčová slova Platební karta, podvod, bilý kůň, debitní karta, charge karta, bankomat

Keywords Payment card, fraud, money mule, debit card, charge card, ATM

Prohlášení Prohlašuji, že jsem bakalářskou práci Bezpečnost platebních karet vypracoval samostatně pod vedením prof. Ing. Jiřího Dvořáka, DrSc. uvedl v ní všechny použité literární a jiné odborné zdroje v souladu s právními předpisy, vnitřními předpisy Masarykovy univerzity a vnitřními akty řízení Masarykovy univerzity a Ekonomicko-správní fakulty MU. V Brně dne 14. května 2012 vlastnoruční podpis autora

Poděkování Na tomto místě bych rád poděkoval prof. Ing. Jiřímu Dvořákovi, DrSc. za cenné připomínky a odborné rady, kterými přispěl k vypracování této bakalářské práce.

OBSAH

Úvod  ...................................................................................................................................................................  9   1   Systémové  vymezení  problému  .......................................................................................................  10   2   cíl  práce  ....................................................................................................................................................  12   3   Informační  zdroje  .................................................................................................................................  13   4   současný  stav  řešení  zadané  problematiky  ................................................................................  14   4.1   Rozdělení  a  charakteristika  platebních  karet  ..........................................................................................  14   4.1.1   Debetní  karta  ............................................................................................................................................  14   4.1.2   Kreditní  karta  ...........................................................................................................................................  15   4.1.3   Charge  karta  ..............................................................................................................................................  15   4.1.4   Virtuální  karta  ..........................................................................................................................................  16   4.1.5   Dárková  předplacená  karta  ................................................................................................................  16   4.1.6   Karta  vydaná  internetovou  peněženkou  ......................................................................................  16   4.1.7   Bezkontaktní  platební  karta  ..............................................................................................................  16   4.2   Bezpečnostní  prvky  platebních  karet  ...........................................................................................................  17   4.2.1   Číslo  platební  karty  ................................................................................................................................  17   4.2.2   Magnetický  proužek  ..............................................................................................................................  18   4.2.3   Čip  ..................................................................................................................................................................  19   4.2.4   PIN  .................................................................................................................................................................  19   4.2.5   Podpisový  proužek  ................................................................................................................................  20   4.2.6   Hologram  ....................................................................................................................................................  20   4.2.7   Ultrafialové  ochranné  prvky  ..............................................................................................................  21   4.2.8   Kód  karty  ....................................................................................................................................................  21   4.3   Podvody  s  platebními  kartami  .........................................................................................................................  21   4.3.1   Získání  údajů  o  platební  kartě  ..........................................................................................................  22   4.3.2   Testování  údajů  .......................................................................................................................................  38   4.3.3   Zneužívání  údajů  elektronicky  (online)  ........................................................................................  38   4.3.4   Zneužívání  údajů  fyzicky  .....................................................................................................................  44   5   Analýza  vybraného  systému  .............................................................................................................  46   5.1   Komerční  Banka  ....................................................................................................................................................  46   5.2   Volksbank  ..................................................................................................................................................................  47  

5.3   J&T  Bank  ...................................................................................................................................................................  48   6   Návrh  a  zdůvodnění  řešené  problematiky  ...................................................................................  49   6.1   Ochrana  před  získáním  údajů  fyzicky  ..........................................................................................................  49   6.1.1   Ochrana  před  získáním  viditelných  údajů  na  kartě  .................................................................  49   6.1.2   Ochrana  před  hotovostní  transakce  pomocí  duplikované  karty  ........................................  50   6.2   Ochrana  při  platbě  na  internetu  .....................................................................................................................  52   Závěr  .................................................................................................................................................................  54   Seznam  použitých  zdrojů  ..........................................................................................................................  55   Seznam  obrázků  ...........................................................................................................................................  61  

ÚVOD Platební karty jsou dnes již neodmyslitelnou součástí našeho života. Umožňují pohodlný přístup k finančním prostředkům, umístěným na bankovních a nebankovních účtech. Aby byl tento jednoduchý cíl splněn, bylo potřeba vytvořit rozsáhlý systém, jež umožňuje platby s fyzickým užitím karty i platby inernetové. Tento systém je položen na základech starých několik desetiletí, jež vznikaly v době, kdy informační technologie ještě nebyly natolik rozvinuty jako dnes. V aktuální situaci je také tento systém nastaven tak, aby bylo možno platby uskutečnit co nejpohodlnějším způsobem a aby byl objem plateb co možná největší. Každý další bezpečnostní element v tomto systému sice zlepšuje bezpečnost platby jako takové, ale vytváří daň v podobě zmenšení uživatelského komfortu. Tato daň logicky vede k zmenšení objemu plateb, kdy uživatel platební karty raději zvolí hotovostní způsob úhrady, místo toho aby „překonal“ všechny bezpečnostní elementy při platbě kartou. Cílem vydavatelů platebních karet je co největší objem uskutečněných transakcí, a výše zmíněná situace je s daným cílem v protikladu. Proto se systém ustálil ve svém rovnovážném stavu, kdy daní za uživatelský komfort je riziko zneužití karty. Toto riziko absorbují z větší části vydavatelé platebních karet, z menší samotní uživatelé. V relativní hodnotě se jedná o promile s celkové hodnoty uskutečněných transakcí. Pokud k výpočtu připočteme poplatek vydavateli karty za každou uskutečněnou transakci, a to v řádu procent, pak zjistíme, že ztráty způsobeny zneužitím platebních karet jsou bohatě sanovány ze zisků z provedených transakcí. Cílem této práce je vytvoření modelu bezpečných platebních karet, kde nedochází k jejich zneužití a současně je daní za bezpečnost co nejmenší snížení uživatelského komfortu. V první kapitole je obsaženo systémové vymezení problému, kde je definován samotný systém pro umožnění transakcí pomocí platebních karet. V druhé kapitole je obsažen cíl práce. Ve třetí kapitole jsou udány informační zdroje světa, pomocí kterých byla tato práce vypracována. Ve čtvrté kapitole jsou definovány platební karty jako takové, jejich bezpečnostní elementy a obvyklé způsoby, jak ke zneužití platební karty dochází. Pátá kapitola obsahuje popis od jednotlivých pracovníků bankovních institucí, jakým způsobem minimalizují rizika spojená s platebními kartami. V šesté kapitole je obsažen návrh, jak rizika při platbě kartou eliminovat.

9

1 SYSTÉMOVÉ VYMEZENÍ PROBLÉMU Vzhledem k zaměření práce na bezpečnost platebních karet byl zvolen systém jako modelové zpracování transakcí pomocí platebních karet. V této kapitole budou definovány jednotlivé prvky systému. V následujících kapitolách pak budou na základě informací z této kapitoly identifikovány hlavní systémová rizika a bude nastíněno, jak těmto rizikům předcházet či je úplně eliminovat. Obr č.1:

Systémové zpracování transakcí uskutečněných platební kartou

Zdroj1

Zavedené pojmy: Obchodník: fyzická či právnická osoba, jež má smlouvu se zúčtovací bankou o možnosti poskytovat platbu pomocí platební karty. Obvykle se platba uskuteční pomocí terminálu nebo internetového prohlížeče (pokud se jedná o platbu online). Dané schéma umožňuje zaměnit pojem obchodník za pojem bankomat, při zachování vysvětlujícího efektu.

1

JUŘÍK, Pavel. Encyklopedie platebních karet: historie, současnost a budoucnost peněz a platebních karet. 1. vyd. Praha: Grada, 2003, 312 s. ISBN 80-247-0685-7. Str 155

10

Zůčtovací banka obchodníka: zpracovává pro obchodníka všechny platební transakce uskutečněné pomocí platebních karet. Zároveň kryje veškerou škodu, která vznikne při podvodné platbě platební kartou. Platební Systém: slouží pro autorizaci platby a její následné zůčtování mezi bankami. Vydavatel karty: bankovní instituce, jež vydala kartu klientovi, který právě uskutečňuje platbu u obchodníka. Držitel karty: člověk, jež má podle smlouvy s vydavatelem karty právo disponovat s kartou. Postup při platební transakci: 1.) Autorizace: neboli ověření transakce. Autorizační systém obchodníkovy banky odešle požadavek na ověření do platebního systému. Ten následně na základě čísla platební karty vyhledá banku, jež kartu vydala a tento požadavek jí předá. Ta vyhodnotí klientovu bonitu a zkontroluje, zdali je karta v pořádku. Tento výsledek vrátí platebnímu systému, jenž jej předá zpět obchodníkově bance. 2.) Předání transakce do centra platebního systému 3.) Clearing: Vzájemné vypořádání všech pohledávek i závazků bank. 4.) Zúčtování: Úhrada výsledného salda mezi bankami. 5.) Přenos transakce vydavateli karty: zúčtování s klientem.2

2

JUŘÍK, Pavel. Encyklopedie platebních karet: historie, současnost a budoucnost peněz a platebních karet. 1. vyd. Praha: Grada, 2003, 312 s. ISBN 80-247-0685-7. Str 154

11

2 CÍL PRÁCE Na základě informačních zdrojů ve světě o bezpečnosti platebních karet v elektronickém obchodování vytvořte model bezpečných platebních karet. Analyzujte stávající bezpečnostní situaci platebních systémů a dvou vydavatelů platebních karet a navrhněte doporučení jak zvýšit stávající bezpečnost plateb v rámci e-bankingu.

12

3 INFORMAČNÍ ZDROJE Bezpečnost platebních karet je velmi rozsáhly problém. Existuje spousta informačních zdrojů zabývajících se tímto tématem. Přehledné základní informace jsou k nalezení v knihách Ing. Pavla Juříka Encyklopedie platebních karet [2] a Platební karty: velká encyklopedie [3]. Popisuje zde velmi detailně historii platebních karet a přehledně čtenáře seznámí se základními technologiemi a pojmy týkajícími se tohoto problému. Další zajímavé informace obsahuje video přednáška bezpečnostního konzultanta Rastislava Turka, která popisuje základní typy zneužívání platebních karet a informuje, jak se proti těmto podvodům bránit [35]. Informace autor čerpal také z „reportu“ bezpečnostní firmy Panda Security zvaného „The Cyber Crime Black Market“. V tomto reportu je popsána funkce černého trhu s platebními kartami a různé další zákulisní informace, jako například ceník jednotlivých údajů [49]. Další informace autor čerpal z internetových stránek jednotlivých obchodních bank podnikajících na území České Republiky. Dále autor kontaktoval pracovníky těchto bank, kteří mu poskytly interní materiály a umožnili mu zpracovat kapitolu 5 [25], [27],[52]. Informace o biometrických metodách autor čerpal z knihy Šifrování a biometrika [1]. Informace o malware, spyware a počítačových virech čerpal autor z internetových stránek světových antivirových společností [54] a z knihy Jak se bránit virům, spamu a spyware [4]. Pro nastudování pokerových podvodů, zmíněných v této práci, autor využil internetových stránek uchovávajících herní statistiku jednotlivých hráčů pokertableratings.com [38] a dále internetovou stránku zabývající se vytvářením podvodných programů pro hraní pokeru [37]. Byly využity také internetové stránky Policie ČR zabývající se skimmingem [43] a internetové stránky přední poradenské společnosti z odvětví plateb a bankovnictví, Mercator Advisory Group[30] a jejich report o podvodech s platebními kartami[12].

13

4 SOUČASNÝ STAV ŘEŠENÍ ZADANÉ PROBLEMATIKY Následující kapitola obsahuje popis jednotlivých druhů platebních karet. Dále je přítomen výčet bezpečnostních prvků, jež slouží k minimalizaci rizika zneužití platebních karet, a jejich popis. Závěr kapitoly je věnován obvyklým podvodům spojeným s platebními kartami

4.1 Rozdělení a charakteristika platebních karet Obr č.2:

Platební karta

Zdroj3

4.1.1 Debetní karta Je základním a nejrozšířenějším druhem platební karty. Je provázána s bankovním a v dnešní době i nebankovním účtem. Všechny transakce provedené touto kartou jsou z tohoto účtu nejdříve blokovány a posléze strhnuty, a to maximálně do výše jeho hodnoty. V určitých speciálních případech je možnost hodnotu účtu přečerpat, poté hovoříme o kontokorentu4. Debetní karta může být v dnešní době použita mnoha standartními způsoby. Asi nejběžnější je klasický výběr z bankomatu. Dále následuje platba obchodníkům pomocí terminálu. Někdy je dovoleno tuto platbu navýšit o předem stanovenou částku, jež vydá

3

Výpověd Smlouvy. MBank [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.mbank.cz/informace-kproduktum/dokumenty-ke-stazeni/vypoved-smlouvy.html 4

Povolené přečerpání běžného účtu. ČSOB. [online]. 2012 [cit. 2012-05-07]. Dostupné z: http://www.csob.cz/cz/lide/Pujcky-a-uvery/Stranky/Povolene-precerpani-bezneho-uctu.aspx

14

obchodník klientovi hotově. Tato služba se nazývá cashback5 a obvykle bývá limitována horní sazbou 1500 korun. Dalším způsobem je platba po internetu. Debetní karta je ze zákona pojištěna proti zneužití. Toto pojištění kryje veškeré škody způsobené zneužitím debetní karty, ale vyžaduje klientovu finanční spoluúčast. Zákonem stanovená maximální výše spoluúčasti je 150 euro.6 Toto pojištění je zpravidla platné jen v případě, kdy nedojde ke zneužití platební karty pomocí PIN kódu. Posléze je prokazování zneužití výrazně těžší a banky tyto žádosti často zamítají.

4.1.2 Kreditní karta Je ve své podstatě úvěrový účet přístupný pomocí platební karty. Je charakteristický tím, že po určité období nejsou platby ( krom výběru hotovosti ) zatíženy úrokem. Hovoříme tedy o „bezúročném období“. Například u ČSOB je bezúročné období 55 dní. Neobvyklé je, že výběr z bankomatu je zatížen pouze poplatkem a ne automaticky úrokem.7 Karty mají nastaven individuální úvěrový limit pro každého klienta. Tento limit je počítán pomocí veřejně přístupných či interních statistik jednotlivých bank. Spočtení limitu je důležité, aby banka nebyla vystavena zbytečným ztrátám jež způsobí klienti neschopni dostát svým závazkům. Jednoduchou ukázku můžeme nalézt u ČSOB kalkulačky.8

4.1.3 Charge karta Povahou funkčnosti se tento typ platební karty velmi podobá kartě kreditní. Uživatel charge karty během zúčtovacího období (obvykle jeden měsíc) provádí útratu pomocí své platební karty. Banka může a nemusí klientovi určit strop pro maximální souhrnnou částku, jež může klient pomocí své charge karty zaplatit. Po uplynutí zúčtovacího období zašle banka klientovi vyúčtování s datem splatnosti. Klient je povinen toto vyúčtování neprodleně uhradit, jinak se vystavuje smluvním sankcím. V přeneseném slova smyslu se jedná o bezúročný bankovní úvěr. 5

ČSOB - CashBack. ČSOB [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.csob.cz/cz/lide/Platebnikarty/Stranky/CashBack.

6

Pojištění k debetním kartám. GE Money CZ [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.gemoney.cz/ge/cz/1/platebni-karty/doplnkove-sluzby-debetky/pojisteni-zneuziti-debetni-karty

7

ČSOB Kreditní karta. ČSOB [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.csob.cz/cz/lide/Platebnikarty/CSOB-Kreditni-karta/Stranky/default.aspx

8

ČSOB Kreditní karta - výpočet maximální výše úvěrového limitu. ČSOB [online]. 2012

[cit. 2012-05-13]. Dostupné z: http://www.csob.cz/cz/Csob/Formulare-a-kalkulacky/Stranky/CSOB-Kreditni-kartavypocet-vyse-uveroveho-limitu.aspx

15

4.1.4 Virtuální karta Virtuální platební karta je karta, která fyzicky neexistuje. Údaje na ní obsažené jsou vygenerovány bankou a poté zaslány uživateli reálné platební karty. Tyto údaje neobsahují PIN kód, takže je karta zpravidla určena jen na platby po internetu. Má obvykle nastaveny nízké limity pro maximální velikost částky při jedné transakci, a to kvůli zvýšení bezpečnosti.9

4.1.5 Dárková předplacená karta Platební karty, jež mohou být zakoupeny v obchodech či na čerpacích stanicích. Mají určitý před-nabitý kredit a jsou anonymní. Běžné jsou hlavně v zahraničí. Fungují jako klasické platební karty a lze pomocí nich uskutečňovat transakce u platebních terminálů či po internetu.10

4.1.6 Karta vydaná internetovou peněženkou Internetové peněženky jsou zajímavou kombinací debetní a virtuální karty. Klientovi je vystavena platební karta, se kterou může platit stejně jako s debetní kartou. Svůj internetový učet si ale musí předem nabít. A to buď pomocí jiné platební karty, nebo převodem z bankovního účtu. V případě jakéhokoliv podvodu klient tedy může přijít jen o aktuální finanční zůstatek na internetové peněžence. Lze ji využít k výběrům z bankomatů, platbě za zboží a služby pomocí platebních terminálů a internetu.11

4.1.7 Bezkontaktní platební karta Jedná se o nejnovější trend ve vývoji platebních karet. Cílem tohoto typu platební karty je co nejvíce zefektivnit samotnou platební transakci. Uživatel nemusí při platbě zadávat svůj PIN, či se podepisovat. Jednoduše přiloží bezkontaktní platební kartu ke speciálnímu terminálu, a platba se provede bezdrátově. Díky tomuto novému způsobu platby může uživatel poměrně výrazně snížit čas nutný k provedení transakce, ale také na první pohled podstupuje obrovské riziko zneužití v případě 9

E-Card. KB [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.kb.cz/cs/lide/obcane/e-card.shtml

10

MASTERCARD® PREPAID GIFT CARD. MasterCard [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.mastercard.us/prepaid-gift-card.html 11

Get a prepaid MasterCard®. Neteller [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.neteller.com/personal/get-a-prepaid-card/

16

krádeže. Vydavatelé platebních karet se s tímto rizikem vypořádali limitováním maximální možné částky pro bezhotovostní transakci. U České Spořitelny se jedná o 500 korun.12 Pokud dojde ke zcizení karty, Česká Spořitelna garantuje uhrazení škody. Tuto bezkontaktní technologii zavádí MasterCard pod názvem PayPass a Visa pod názvem payWave.13

4.2 Bezpečnostní prvky platebních karet Bezpečnostní prvky slouží jako ochrana platebních karet před jejich zneužitím. Jejich koncept neumožňuje úplné odstranění rizika zneužití, nýbrž jeho minimalizaci. Kdy se zneužití platebních karet stává pro část podvodníků natolik nákladné, že se této kriminální činnosti raději vyhnou. Pod pojmem náklad rozumíme investice jak časové a finanční, tak i zahrnutí rizika dopadení.

4.2.1 Číslo platební karty Základní a klíčový identifikační údaj obsažený na platební kartě, který spojuje konkrétní platební kartu s konkrétním finančním účtem. Není generován náhodně, nýbrž podle určitých pravidel, jež respektují všichni vydavatelé platebních karet. Číslo platební karty podléhá standardizaci podle normy ISO/IEC 7812.14 Prvních 6 čísel je Issuer Identification Number, z toho úplně první je Major Industry Identifier. Dalších až 12 čísel slouží pro identifikaci konkrétního finančního účtu. Na základě Issuer Identification Number lze zjistit, jaká společnost kartu vydala15. Poslední číslo na platební kartě slouží pro kontrolní součet. Číslo platební karty lze ověřit pomocí Luhnova algoritmu. Tento algoritmus bývá často implementován v internetových obchodech umožňující platbu kartou online. Neslouží však k ověření pravosti karty či zůstatku na účtu. Jeho vypovídací hodnota je pouze v ověření, že dané číslo podléhá standardům pro tvorbu čísel platebních karet. Tudíž bývá obchodníky

12

Nákup zaplatíte rychleji, startují bezkontaktní karty. Aktuálně.cz - Finance [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://aktualne.centrum.cz/finance/nakupy/clanek.phtml?id=713995

13

Bezkontaktní platby. Měšec.cz [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.mesec.cz/bankovniucty/platebni-karty/bezkontaktni-platby/pruvodce/

14

Identification cards -- Identification of issuers -- Part 1: Numbering system. International Organization for Standardization [online]. 2006 [cit. 2012-05-13]. Dostupné z: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=39698

15

Bank identification number - credit card bin database. BinDB [online]. 2012 [cit. 2012-05-13]. Dostupné z: https://www.bindb.com/index.html

17

implementován za účelem snížení transakčních nákladů k uskutečnění obchodu, kdy nemusí manuálně testovat, zdali dané číslo může existovat. Rozlišujeme 2 druhy provedení čísla platební karty: a.) Embosované ( reliéfní ) – číslo je do platební karty vyraženo. Je to pozůstatek z dřívějšího vývoje platebního systému, kdy se pro platbu kartou používal Imprinter. Ten obtiskl vystouplé číslo na platební doklad.16 b.) Neembosovaná – číslo je na platební kartou natisknuto běžnými metodami. Nelze využít pro platbu pomocí imprinteru

4.2.2 Magnetický proužek Je definován pomocí normy ISO 7811. Slouží pro digitální uchovávání záznamů a pomocí technologie implementované v bankomatu může být přečten a v určitých případech i změněn. V počátečních fázích vývoje platebních karet byl do magnetického proužku bankomatem zapisován údaj o maximálním možném výběru, což vedlo ke snadnému zneužití podvodníky. Později se od tohoto kroku ustoupilo. Magnetický proužek obsahuje 3 stopy: První stopa magnetického proužku byla definována již v roce 1969 Mezinárodní asociací leteckých dopravců IATA ( International Air Transportation Association ). Jejím úkolem bylo usnadnit automatické odbavování leteckých cestujících. Americké banky přijaly tuto normu v roce 1970. První stopa má 79 znaků, které obsahují číslo karty ( až 18 číslic ) a jméno klienta ( až 26 alfanumerických znaků ). Druhou stopu vyvinula American Bankers Asociation ( ABA ) pro online finanční transakce. Tato stopa obsahuje 40 alfanumerických znaků, včetně čísla karty ( až 19 číslic) a v bankovnictví se používá nejvíce Třetí stopa, je na rozdíl od první a druhé stoupy, které jsou určeny pouze pro čtení, přepisovatelná. Třetí stopa se dříve používala u off-line bankomatů. Finanční limit klienta se snižoval o vybírané částky a po uplynutí stanoveného času se opět navyšoval na původní

16

Imprinter. Kreditka.cz [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.kreditka.cz/html.cz/slovnicek/imprinter.html

18

úroveň. Na této stopě byl zaznamenán i parametr, podle kterého bylo možné ověřit správnost kódu PIN. K záznamu potřebných informací sloužilo až 107 numerických znaků.17

4.2.3 Čip Obsahuje v sobě zakódované údaje, jež vedou ke zvýšení bezpečnosti transakcí uskutečněných pomocí platebních karet. Od roku 2005 je čip povinně umísťován na všech platebních kartách díky standardům EMV. Při jakékoliv transakci pomocí platební karty obsahující čip je vyžadován PIN. Jedná se o tzv. „Chip and Pin“. Čip vede ke snížení výskytu skimmovacích podvodů, protože je pro podvodníky hůře kopírovatelný. Čipy mají přesnou sadu instrukcí a komunikační protokol. Řídí se standardem ISO7816. „Díky čipovým kartám klesly ve Francii podvody s platebními kartami v letech 1987 až 200 více než 10x na 0,026%.“18

4.2.4 PIN Zkratka PIN znamená v překladu Personal Identification Number. Obvykle se jedná o čtyřmístné číslo, jež je sděleno jen majiteli platební karty a slouží pro jeho identifikaci. Existuje 10 000 možných kombinací PIN kódu. Bankomaty obvykle po třetím špatném zadání PIN kódu platební kartu zablokují. Proto je tento mechanismus vysoce spolehlivá možnost, jak zabránit zneužití zcizené platební karty. Pro šifrování se zpočátku používala DES ( Data Encryption Standard ) šifra. Je možno tuto šifru aplikovat třikrát. Poté hovoříme o 3DES. Pro výpočet PIN kódu lze využít několik způsobů šifrování. Nejrozšířenější z nich je však VISA PVV. Tento algoritmus je na základě PIN kódu a dalších informací z platební karty schopen vygenerovat PVV (PIN Verification Value ). Tento PVV kód je současně uložen v magnetickém proužku platební karty nebo v interní databázi. Po zadání PIN kódu se do autorizačního centra odešlou všechny údaje potřebné k vygenerování PVV kódu ( mezi nimi i PIN ) a PVV kód. Pokud je nově vygenerovaný PVV kód shodný s tím obsaženým na kartě, transakce je autorizována.19 17

JUŘÍK, Pavel. Platební karty: 1870-2006 : velká encyklopedie. 1. vyd. Praha: Grada, 2006, 296 s. ISBN 80247-1381-0. Str 98

18

JUŘÍK, Pavel. Encyklopedie platebních karet: historie, současnost a budoucnost peněz a platebních karet. 1. vyd. Praha: Grada, 2003, 312 s. ISBN 80-247-0685-7. Str 232

19

Breaking VISA PIN. L. Padilla [online]. 2002 [cit. 2012-05-13]. Dostupné z: http://www.gae.ucm.es/~padilla/extrawork/visapvv.html

19

4.2.5 Podpisový proužek Jsou jím vybaveny všechny platební karty obsahující magnetický proužek. Je to jediný způsob identifikace při platbě kartou s využitím magnetického proužku a bez platného podpisového proužku by správně platba neměla být vůbec provedena. Dle autorovy zkušenosti ale může být platba bez platného podpisového proužku provedena. Tudíž nedochází k důslednému dodržování bezpečnostních opatření a i tento bezpečnostní mechanismus platebních karet je zneužitelné. Podpisový proužek je vyroben ze speciálního materiálů, který reaguje na jakýkoliv pokus o odstranění podpisu. Obvykle je potištěn nějakým obrazcem ( logo karetní asociace, vodorovné proužky atp. ) a při pokusu o odstranění podpisu je tento obrazec významně graficky narušen. Asociace MasterCard a VISA na pravou stranu podpisového proužku tisknou poslední čtyři čísla dané platební karty20

4.2.6 Hologram Hologram vynalezl v roce 1947 vědec Dennis Gabor. Tato technologie se snaží o co nejvěrnější zachycení předloženého objektu. Na platební karty začala být tato technologie masivně aplikována až po vyřešení prvotních technických obtíží. A to konkrétně v roce 1983 na platební karty asociace MasterCard.21 Využívá se při tom metody Hot Stamping, kdy je hologram v podstatě zalisován do platební karty. Může být umístěn jak na přední tak na zadní straně platební karty. Asociace MasterCard několikrát změnila design svých hologramů. K dnešním dnům zůstala u dvou polokoulí lemovaných nápisem „MC“. Asociace VISA má od počátku hologram letící holubice. Zajímavostí je, že tato holubice je rytcem zachycena jakoby měla pouze jednu nohu. A to z toho důvodu, že při fotografování ji byly svázány nohy dohromady a drženy drátkem, aby fotograf dokázal zachytit dostatečný počet snímků, aniž by holubice odletěla.

20

JUŘÍK, Pavel. Platební karty: 1870-2006 : velká encyklopedie. 1. vyd. Praha: Grada, 2006, 296 s. ISBN 80247-1381-0. Str 99 21

JUŘÍK, Pavel. Encyklopedie platebních karet: historie, současnost a budoucnost peněz a platebních karet. 1. vyd. Praha: Grada, 2003, 312 s. ISBN 80-247-0685-7. Str 229-230

20

4.2.7 Ultrafialové ochranné prvky Další účinný způsob jak zabezpečit zneužívání platebních karet. Karty jsou potisknuty nápisy viditelnými pouze pod ultra fialovým zářičem. Na platebních kartách vydaných asociací VISA se jedná obvykle o graficky zachycenou letící holubici, stejnou jaká je užita v hologramu. Nebo o písmena „V“ vyhotovené v malých rozměrech. Karty vydané asociací MasterCard jsou pokryty písmeny „MC“.22

4.2.8 Kód karty Může být buď uchován v magnetickém proužku karty, kde slouží jako ochranný mechanismus proti padělání dat, a nebo také přímo vytištěn na zadní straně platební karty, kde slouží jako verifikační údaj při platbách po internetu. Kódy v magnetickém proužku se dělí na následující typy: CAV – Hodnota ověření karty (platební karty JCB) CVC – Kód ověření platnosti karty (platební karty MasterCard) CVV – Hodnota ověření karty (platební karty Visa a Discover) CSC – Bezpečnostní kód karty (American Express) Kódy tištěné, na zadní straně karty se dělí na následující typy: CID – Identifikační číslo karty (platební karty American Express a Discover) CAV2 – Hodnota ověření karty 2 (platební karty JCB) CVC2 – Kód ověření platnosti karty 2 (platební karty MasterCard) CVV2 – Hodnota ověření karty 2 (platební karty Visa)23

4.3 Podvody s platebními kartami Platební karty jsou terčem podvodů v podstatě již od svého vzniku. V začátcích bylo zabezpečení platebních karet na velmi nízké úrovni a proto docházelo k zneužívání informací o platebních kartách poměrně často a ve velkém množství. Velké množství bank kvůli těmto

22

JUŘÍK, Pavel. Encyklopedie platebních karet: historie, současnost a budoucnost peněz a platebních karet. 1. vyd. Praha: Grada, 2003, 312 s. ISBN 80-247-0685-7. Str 231

23

Kód nebo hodnota verifikace karty. PCI Standard [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.pcistandard.cz/index.php?action=slovnik&pojem=33

21

podvodům téměř zkrachovalo.24 Postupně se podařila vyvinou zabezpečení, které zneužívání minimalizovalo. V roce 2008 bylo průměrně z každých 100 dolarů provedených transakcí zneužito 70 centů, což je přesně 7 promile.25

4.3.1 Získání údajů o platební kartě Klíčem ke zneužití platební karty je získání údajů na ní obsažených. A to jak fyzicky vytištěných, tak elektronicky zakódovaných. Podvodníci postupem času vypracovali několik rozličných technik, jak se k těmto údajům dopracovat.

I. Získání údajů fyzicky V následujících řádcích bude popsáno získávání údajů fyzicky. Tento způsob získávání citlivých údajů o platebních kartách je nejvíce rizikový. Musí při něm totiž dojít k fyzickému kontaktu mezi kartou a podvodníkem. Na druhou stranu je také nejvíce ziskový co se týče zpronevěřeného množství peněz na jednu zneužitou platební kartu.

I.A Vytvoření kopie karty (skimming) Tato technika odcizení citlivých údajů spočívá v překopírování digitálních údajů z platební karty pomocí speciálního zařízení zvaného „skimmer“. Vždy se kopíruje magnetický proužek a může i nemusí být kopírován přímo čip platebních karet. Skimming platebních terminálů Čtení karet probíhá při platbě u obchodníka, například při návštěvě restaurace. Při platbě podvodníci obvykle odnesou klientovu kartu mimo dohled, kde ji zkopírují pomocí kopírovacího zařízení. Poté ji donesou klientovi nazpět, aniž by vzbudili nějaké podezření. Postupem času se ale čtecí zařízení stala natolik dokonalá, že karta již nemusí být odnesena mimo dohled majitele. Stačí, aby například v restauraci servírka kartu upustila na

24

Podvody s platobnými kartami: exkurzia po svete internetovej mafie. Rastislav Turek Blog [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-sveteinternetovej-mafie 25

Credit Card Issuer Fraud Management, Report Highlights, December 2008. MERCATOR ADVISORY GROUP. DocStock [online]. 2008 [cit. 2012-05-13]. Dostupné z: http://www.docstoc.com/docs/19677009/CreditCard-Issuer-Fraud-Managem Str 4

22

zem, posléze se pro ní zvedla a při samotném zvedání ji okopírovala pomocí bezkontaktního zařízení umístěného pod oblečením.26 Skimming bankomatů Druhý, mnohem efektivnější způsob je „skimming“ u bankomatů. Provádí se pomocí speciálních zařízení, jež se umístí na bankomat. Obr č.3:

Skimmovací zařízení

Pramen27

Na obrázku vlevo můžeme vidět tzv. „pinpad“. Tato podložka se nasadí na klávesnici bankomatu a zachytává každý stisk klávesy provedené uživatelem. Uživatel současně při stisknutí kláves podložku promáčkne, takže se stisknou i klávesy na originální bankomatové klávesnici. Vpravo se nachází „skimmer“. Toto zařízení se nasadí na část bankomatu, kde se vkládá karta. Při každém vložení je karta kompletně přečtena. Některé čipy jsou zabezpečené pomocí šifrování tak, že bez znalosti PIN kódu je nelze přečíst a tím pádem je nelze ani snadno duplikovat. Řešení tohoto problému spočívá v duplikování čipu platební karty až po přečtení PIN kódu pomocí pinpadu, který jej bezdrátově zašle do čtečky čipů.

26

Podvody s platobnými kartami: exkurzia po svete internetovej mafie. Rastislav Turek Blog [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-sveteinternetovej-mafie

27

Podvody s platobnými kartami: exkurzia po svete internetovej mafie. Rastislav Turek Blog [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-sveteinternetovej-mafie Slide 19

23

Moderní je i způsob získávání údajů z těchto zařízení. Obě zařízení mohou být vybavena bluetooth vysílačem. Podvodník tedy nemusí krom upevnění riskovat žádný další fyzický kontakt. Stojí jen v dosahu bluetooth signálu ( zpravidla 40 metrů na otevřeném prostranství ) a pomocí přijímače ( notebook či speciálně vytvořené zařízení pouze za tímto účelem ) dostává kompletní informace o právě proběhlých transakcích. V méně obvyklém případě mohou obě zařízení komunikovat skrze GSM modul, posíláním SMS zpráv. Cena tohoto zařízení na černém trhu je zhruba 6 000 dolarů za pinpad a 8 000 dolarů za skimmer. Na světě je 17 typů bankomatů, takže pro každý typ je potřeba tento skimmer designovat zvlášť. Podvody s platebními kartami jsou natolik rentabilní, že obě zařízení jsou po nasbírání dostatečného počtu karet zanechány na místě, kvůli minimalizaci rizika. Vzhledem k existenci 17ti typů bankomatů je pro klienta velmi těžké rozeznat, zdali byl bankomat napaden skimmovacím zařízením. Provozovatelé bankomatů se svá zařízení snaží chránit a to pomocí upevnění různých konstrukcí jež by měly znemožňovat uchycení skimmovacího zařízení. Bohužel tyto konstrukce většinou nefungují a vedou jen a pouze k zmatení běžného uživatele.28 Virus schopný infikovat bankomat Zcela speciální případ mimo tyto dvě vymezené kategorie je virus, který je schopen infikovat bankomat skrze platební kartu. Na černém trhu se dají koupit technické nákresy a specifikace bankomatů, což vyústilo ve virus schopný napadnout bankomat. Virus je nahrán na čipu platební karty. Vložení této platební karty vede k vyvolání chyby u bankomatu („přetečení bufferu“) a pomocí této chyby dojde k inserci škodlivého kódu. Virus poté monitoruje všechny výběry a uchovává citlivá data. Po přihlášení podvodníka ( zřejmě přes speciální typ platební karty ) smaže kamerové záznamy 5 minut před přihlášením, během přihlášení a 5 minut po něm. Nabídne možnost všechny citlivá data vytisknout skrze tiskárnu integrovanou v bankomatu, primárně sloužící pro tisk informací o transakci pro klienty.29

28

Podvody s platobnými kartami: exkurzia po svete internetovej mafie. Rastislav Turek Blog [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-sveteinternetovej-mafie 29

Podvody s platobnými kartami: exkurzia po svete internetovej mafie. Rastislav Turek Blog [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-sveteinternetovej-mafie

24

Napadení platebního terminálu Platební terminály byly napadeny podvodníky přímo při výrobě v čínské továrně. Profesionalita provedení tohoto podvodu byla na vysoké úrovni. Kontrolní technik nebyl schopen toto napadení zjistit při běžné prohlídce. Jediný způsob jak se odlišoval napadený terminál od nenapadeného byla váhová odchylka. Po napadení zasílaly terminály data o platbě ne jen bance, ale vždy i podvodníkům. Ti počkali několik měsíců a poté začali zneužívat platební takto získané karty. Většinou vybírali peníze z bankomatů v Číně a Pakistánu. Odhalení tohoto podvodu příšlo čistou náhodou, kdy podvodníci zneužili platební kartou se kterou bylo zaplaceno pouze jednou a to zrovna pomocí podvodného terminálu.30

I.B Získání viditelných údajů o platební kartě Tato technika zneužívání není u profesionálních podvodníků příliš častá. Nejvíce se jí dopouštějí lidé, co přichází do kontaktu s platebními kartami při svém zaměstnání, například prodavačky nebo servírky. Nebo lidé jež jsou majiteli karty známi. K podvodným platbám na internetu stačí znát jméno a číslo napsané na přední straně karty, datum platnosti a ochranný 3-místný kód na zadní straně karty. Tyto informace jsou pro zloděje velmi snadno dostupné a existuje mnoho možností jak je získat. Zneužívání karty neznámými osobami Podvodníkovi stačí při manipulaci s kartou vyfotit ji z obou stran. Ti schopnější si ji dokáží rovnou zapamatovat. To dokládá nedávný příběh české prodavačky s fotografickou pamětí. Ta byla odsouzena za zneužití více než 33 platebních karet.31 Tento způsob zneužívání je velmi dobře vypátratelný. Z pravidla mají všechny zneužité karty několik společných transakcí ( platba v obchodě kde došlo ke zneužití ). Na základě prosté analýzy dat jde tyto transakce spojit s konkrétním místem, či konkrétní osobou.

30

Chip and pin scam 'has netted millions from British shoppers'. The Telegraph [online]. 2008 [cit. 2012-05-13]. Dostupné z: http://www.telegraph.co.uk/news/uknews/law-and-order/3173346/Chip-and-pin-scam-has-nettedmillions-from-British-shoppers.html

31

Prodavačka si pamatovala čísla na kartách, z kont vysála půl milionu Zdroj: http://zpravy.idnes.cz/prodavackasi-pamatovala-cisla-na-kartach-z-kont-vysala-pul-milionu-1fw-/krimi.aspx?c=A110328_160852_libereczpravy_alh. Idnes[online]. 2011 [cit. 2012-05-13]. Dostupné z: http://zpravy.idnes.cz/prodavacka-si-pamatovalacisla-na-kartach-z-kont-vysala-pul-milionu-1fw-/krimi.aspx?c=A110328_160852_liberec-zpravy_alh

25

Zneužívání karet známými osobami Uživatel platební karty je také vystaven riziku zneužívání platebních karet známými osobami. Je pro ně mnohem jednodušší získat přístup ke kartě samotné, protože se obvykle těší důvěře oběti. Platební kartu mohou zneužít buď zapamatováním si údajů a následnou platbou na internetu. Nebo vylákáním PIN kódu a následným výběrem hotovosti či platbou v platebních terminálech

II Získání údajů o platební kartě bez fyzické přítomnosti Tyto způsoby získávání údajů o platebních kartách jsou umožněny díky rozmachu internetových plateb. Při správném provedení se podvodník vystavuje naprosto minimálnímu riziku dopadení. Nevýhodou je, že průměrný zisk ze zneužití karty získané bez fyzické přítomnosti je obvykle výrazně nižší, než průměrný zisk ze zneužití karty získané za fyzické přítomnosti

II.A Zcizení údajů z počítače klienta Prozkoumání počítače V dnešní době stále existuje určité procento lidí, kteří si ukládají informace o platebních kartách přímo na disk svého osobního nebo firemního počítače. V případě firemních platebních karet může být tento postup pochopitelný. Z rozličných důvodů může nastat situace, kdy několik zaměstnanců sdílí právě jednu firemní platební kartu. Kupříkladu společnou kartu pro nákup zboží na internetu. Tito lidé si potom pro zjednodušení plateb mohou ukládat údaje o platebních kartách na počítačový disk. V případě osobních uživatelů je cílené ukládání si údajů o platebních kartách značně rizikové, přesto však se toto chování stále vyskytuje. Nicméně větší riziko je automatické ukládání těchto údajů při platbě na internetu. A to pomocí: a.) Předvyplněných údajů v internetových prohlížečích. b.) Ukládání údajů v programech jež vyžadují platbu kartou. a. Pokerový klient b. Placený software vyžadující nákup striktně skrze uživatelské rozhraní programu

26

c.) Chybou operačního systému32 Program pro prozkoumání obsahu počítače Podvodníci používají počítačový program, který se slangově nazývá „Trojský kůň“ 33. Tento program se infiltruje do počítače pomocí dvou základních způsobů: a.) Uživatel sám tuto infiltrační akci schválí. Program je obvykle vydáván za něco jiného než sofistikovaný útočný software. Například nejnovější ovladače ke grafickým kartám, či počítačovou hru. Často je také trojský kůň distribuován společně s funkčním softwarem. Například klientem pokerových heren, či počítačovou hrou staženou z pirátských serverů. b.) Uživatel tuto infiltrační akci neschválí. Při tom tento škodlivý program využívá bezpečnostních děr v softwaru, jež se často nacházejí v internetovém prohlížeči či samotném operačním systému. Tato chyba se nazývá exploit.34 Tento program bývá často „ušitý na míru“ podvodníkem, takže bohužel nelze přesně definovat jaké funkce by měl trojský kůň mít. Z osobní programátorské praxe však autor dokáže identifikovat základní rysy společné skoro všem těmto programům. a.) Program umožní podvodníkovi neomezený přístup do systému. Pod tímto pojmem rozumíme čtení, zápis a spouštění libovolných souborů. Díky této funkcionalitě může podvodník snadno nainstalovat další části svého útočného programu, jež vykonávají specifické funkce. Tato funkcionalita je často označovaná jako „backdoor“35 neboli zadní vrátka b.) Monitorování všech akcí v systému. Pod tímto pojmem rozumíme pohyby myši či zaznamenávání stisku kláves včetně časových údajů. Po nahrání programu jej může podvodník využít k prozkoumávání všech dat obsažených v počítači. Díky struktuře údajů o platebních kartách není příliš složité vytvořit algoritmus, jež bude prohledávat všechny data a analyzovat, jestli se jedná o údaje o platebních kartách.

32

OS X "omylem" ukládá síťová použitá hesla do systémového logu. Lupa.cz [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.lupa.cz/zpravicky/os-x-omylem-uklada-sitova-pouzita-hesla-do-systemoveho-logu/

33

Trojan Horse. Symantec [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://www.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99

34

WHAT IS AN EXPLOIT?. AVG [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://www.avg.com/exploit.tplmcr6.vid-fakesecsw

35

Backdoor.Trojan. Symantec [online]. 1999 [cit. 2012-05-13]. Dostupné z: http://www.symantec.com/security_response/writeup.jsp?docid=2001-062614-1754-99

27

Zachycení údajů přímo při platbě Výše zmíněný program „trojský kůň“ se dá využít i k detekování právě probíhající platby, například v internetovém prohlížeči. Při vyplňování údajů je program detekuje pomocí algoritmů určených k rozeznání údajů o platebních kartách, zachytí a následně odešle podvodníkovi. Běžně se s tímto typem podvodu setkává Komerční Banka [27]. Zachycení údajů při platbě pomocí externích odposlouchávacích technik Tento typ útoků je již specificky cílený. V praxi většinou probíhá pomocí zachycení bezdrátové komunikace oběti („odposlouchávání Wi-Fi“). Obr č.4:

Odposlouchávání Wi-Fi sítě

Zdroj36

Podvodník disponuje speciálním programem na zachytávání bezdrátové komunikace. Nejlépe proveditelné je zachytávání nezašifrované bezdrátové komunikace. To že tento způsob provedení podvodného útoku není příliš obtížný dokazuje i rozšíření Firesheep37 do prohlížeče Firefox, jež umožňuje odposlouchávat nezašifrovanou komunikace a následně získávat přístupové údaje do sociálních sítí pouhým kliknutím tlačítka. Pokud se jedná o komunikaci šifrovanou, existují 2 základní techniky jak ji rozluštit: a.) Bruteforce attack – podvodník zkouší opakovaně zadávat heslo, a to buď náhodně generované, nebo předem zvolený seznam. 36

Infografika Autora

37

Dostupné z: http://codebutler.github.com/firesheep/

28

b.) Password Guessing – podvodník odposlouchává internetovou komunikaci a na základě dostatečného vzorku je schopen vypočítat heslo. K tomuto typu útoků lze použít například program KisMAC.38 Po rozluštění hesla podvodník odposlouchává veškerou komunikaci a pomocí algoritmů se snaží najít údaje o platebních kartách oběti.

II.B Vylákání údajů z klienta – Phishing Phishing znamená podvodné vylákání údajů z klienta za využití rozličných sociotechnik. Principem tohoto zcizení údajů je přesvědčit klienta, aby údaje podvodníkovi dobrovolně poskytnul. Nejvíce je využíván emailový phishing. A to počínaje velmi amatérským provedením, jež je schopný téměř každý člověk odhalit na první pohled:

38

Dostupné z: http://kismac-ng.org/

29

Obr č.5:

Amatérský phishingový email

Zdroj39

39

Drahoušci zákazníci České spořitelny stále pod útoky phishingu. Zive.cz [online]. 2008 [cit. 2012-05-13]. Dostupné z: http://www.zive.cz/Bleskovky/Drahousci-zakaznici-Ceske-sporitelny-stale-pod-utoky-phishingu/sc-4a-140679/default.aspx

30

Až po provedení výrazně lepší: Obr č.6:

Profesionální phishingový email

Zdroj40

O třídu sofistikovanější podvod je Pharming, kdy dochází k napadení DNS serverů a vložení mezičlánku za DNS server a před samotný obsahový server. Tento útok umožňuje podvodníkům monitorovat veškerou internetovou komunikaci oběti. Jednoduše potom vytvoří podmínku ve svém mezičlánku, že pokud je otevřena internetová adresa banky, je potřeba zachytit přihlašovací údaje. Pro ilustraci může sloužit nedávný případ Pharmingu, kdy místo zcizení údajů o platebních kartách docházelo k podstrkování falešné reklamy. Ve zkratce podvodníci

40

A další phishing útoční na klienty České spořitelny. Lupa.cz [online]. 2008 [cit. 2012-05-13]. Dostupné z: http://www.lupa.cz/zpravicky/dalsi-phishing-utocni-na-klienty-ceske-sporitelny/

31

nahradili v mezičlánku cizí reklamu za svoji vlastní a díky tomu neoprávněně inkasovali peníze.41

II.C Zcizení údajů od obchodníka Tento druh útoku je nejvíce efektivní a nejnebezpečnější. V dnešní době je platba kartami zcela běžná záležitost. Člověk často platí kartou přímo dané obchodní společnosti a tyto obchodní společnosti údaje o platebních kartách poté někde uschovávají. Velmi často mají zabezpečení dat na opravdu slabé úrovni. Z osobní zkušenosti autora lze potvrdit, že získat přístup k těmto datům lze. V roce 2010 autor prováděl programátorské práce pro zahraniční internetový obchod. Podmínkou pro úspěšné vykonání těchto prací byl přistup do internetové databáze dané stránky. Tato databáze má obvykle sloužit jen jako úložiště dat, jež jsou potřebné pro korektní zobrazení internetového obchodu. Byly zde však uloženy kompletní platební informace o všech klientech, kteří v tomto obchodu provedli nákup. Včetně kompletních údajích o platebních kartách. Problémy s odcizením citlivých dat o platebních kartách dnes mohou mít i velké společnosti, jako například Sony. Této společnosti byly odcizeny informace o více než 25 milionech uživatelských účtů včetně čísel platebních karet.42 Obvyklá technika napadání internetových stránek za tímto účelem se jmenuje SQL Injection43. Jedná se o zneužití nesprávného ošetření uživatelských vstupů na internetové stránce. Kupříkladu při vkládání komentáře k danému výrobku může vzniknout problém, pokud vkládaný komentář obsahuje uvozovky. Na základě tohoto problému a znalosti syntaxe jazyka SQL je podvodník často schopen získat všechny potřebné údaje z databáze, včetně přístupu do administrace internetového obchodu.

41

UNITED STATES v. VLADIMIR TSASTSIN, ET AL. FBI [online]. 2011 [cit. 2012-05-13]. Dostupné z: https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS 42

Sony hack: 25million more users' details stolen, including credit cards Read more: http://www.metro.co.uk/tech/games/862179-sony-hack-25million-more-users-details-stolen-including-creditcards#ixzz1ulKxJ7vr. Metro.co.uk [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://www.metro.co.uk/tech/games/862179-sony-hack-25million-more-users-details-stolen-including-credit-cards 43

SQL Injection. Microsoft MSDN [online]. 2005 [cit. 2012-05-13]. Dostupné z: http://msdn.microsoft.com/enus/library/ms161953(v=SQL.90).aspx

32

Zajímavostí je, že podvodníci jež se specializují pouze na získávání údajů o platebních kartách (ne samotné zneužívání) pomocí napadání internetových jsou často osoby ve věku 13 až 16 let.44

II.D Nákup údajů na černém trhu Černý trh je trh, kde jsou realizovány obchody bez dohledu státu. Z toho plyne několik odlišností od klasického trhu, jako žádná ztráta mrtvé váhy kvůli zdanění či absence vládního dohledu nad prodávaným zbožím a tudíž možnost prodávat téměř cokoliv. Nejčastěji jsou k vidění nabídky na prodej informací o platebních kartách. V poslední době nabízí podvodníci k prodeji i přímo duplikované platební karty a výjimkou nejsou ani skimmovací zařízení. Místa kde nakoupit Černý trh ze své podstaty nemá žádnou standardizaci jak míst přístupu, tak platebních možností a forem obchodu. Veřejně přístupná internetová fóra Pro uživatele, jenž se doposud černého trhu neúčastnili je nejjednodušší možnost napsat do internetového vyhledávače „credit cards dumps“. Poté může najít bezpočet veřejně přístupných inzerátů nabízejících údaje o platebních kartách. Tyto inzeráty jsou většinou umístěny na veřejně přístupných fórech, které se obvykle nespecializují přímo na podvodnou činnost s platebními kartami. Podvodníci často tyto inzeráty umisťují pomocí automatického počítačového programu, tudíž se jedná o spam. IRC chatovací místnosti Zkratka Internet Relay chat je jedna z raných možností, jak uskutečňovat konverzaci prostřednictvím internetu.45 Na světě běží desítky IRC serverů. Na každém serveru jsou stovky až tisíce chatovacích místností. Téměř na každém serveru existuje chatovací místnost „ccworld“ (

44

Podvody s platobnými kartami: exkurzia po svete internetovej mafie. Rastislav Turek Blog [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-sveteinternetovej-mafie

45

IRC. IRC [online]. 2005 [cit. 2012-05-13]. Dostupné z: http://www.irc.org/

33

zkratka credit card world ), kde podvodníci volně do diskuze posílají inzeráty na prodej čísel těchto platebních karet. Obr č.7:

IRC fórum kde jsou nabízeny údaje o platebních kartách

Zdroj46

Neveřejně přístupné internetové stránky Elitní podvodníci obvykle komunikují prostřednictvím neveřejných kanálů, aby minimalizovali riziko dopadení. Tyto neveřejné kanály jsou často internetová fóra či obdoby internetových obchodů. Získání přístupových údajů je umožněno dvěma metodami. První z nich je zaplacení členského poplatku, jež je obvykle v řádech tisíců dolarů, maximální částka je 15 000. Tento poplatek je kvůli neidentifikovatelnosti téměř vždy zaplacen pomocí kradených platebních karet. Druhá možnost je garance již přijatých členů. Někdy bývá vyžadováno až 10 garancí. Získání přístupových údajů je často podmíněno oběma metodami.47

46

Podvody s platobnými kartami: exkurzia po svete internetovej mafie. Rastislav Turek Blog [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-sveteinternetovej-mafie slide 34 47

Podvody s platobnými kartami: exkurzia po svete internetovej mafie. Rastislav Turek Blog [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-sveteinternetovej-mafie

34

Neveřejně přístupná internetová fóra fungují stejně jako jejich klasická veřejná obdoba. Zajímavostí však jsou neveřejné internetové obchody, kde je stejně jako v klasických internetových obchodech vystaveno aktuální zboží. V tomto případě se jedná o informace o platebních kartách. Toto zboží si může každý uživatel přidat do košíku, nakoupit, zaplatit a posléze obdrží informace o platebních kartách. Obr č.8:

Neveřejné internetové fórum, kde se prodávají údaje o platebních kartách

Zdroj48

Mailing list Mailing list je kolekce emailových adres určená k hromadnému zasílání informací. Tento informační kanál je pro podvodníky více než vhodný díky velké anonymnosti. Podvodníci rozesílají na emailovou adresu jiných podvodníků aktuální nabídky informací o platebních kartách. Získání přístupu k těmto mailing listům je podmíněno obdobnými pravidly jako získání přístupu k neveřejným internetovým stránkám.

48

Podvody s platobnými kartami: exkurzia po svete internetovej mafie. Rastislav Turek Blog [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-sveteinternetovej-mafie slide 33

35

Obr č.9:

Ceník produktů nabízených na černém trhu

Zdroj49

Formy platby Na černém trhu se dá platit mnoha rozličnými způsoby. Dva z nich jsou však drtivě nejrozšířenější. Liberty Reserve50 Což je internetová platební peněženka umožňující platební transakce mezi účty této peněženky. Důvodem velké oblíbenosti mezi podvodníky je možnost využití anonymních plateb mezi účty, kdy příjemce platby nezná totožnost odesílatele, a naopak, odesílatel platby nezná totožnost příjemce. Western Union51

49

The Cyber Crime Black Market. Panda Security [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://press.pandasecurity.com/wp-content/uploads/2011/01/The-Cyber-Crime-Black-Market.pdf 50

Liberty Reserve. Liberty Reserve [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.libertyreserve.com/

51

Money Transfer. Western Union [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.westernunion.com/

36

Tento platební způsob umožňuje za relativně vysoký poplatek odeslat peníze anonymně kamkoliv na světě. Často je legálně využit pro zaslání financí lidem, jež se ocitli v tísňové situaci v zahraničí (například ztráta dokladů). Proto je vyzvednutí peněz umožněno jen na základě znalosti kódu, jenž je vygenerován při vkladu peněz do systému. E-Gold Dříve nejpopulárnější systém pro platbu mezi podvodníky. Zde otevřený účet nebyl vyjádřen v dolarech, ale ve zlatě. Dolarová hodnota poté byla odvozena od aktuální hodnoty zlata na komoditních trzích. Zakladatelé tohoto systému byli zadrženi pro praní špinavých peněz a systém je pod dohledem FBI.52 Obr č.10:

Internetový účet E-Gold, patřící podvodníkovi

Zdroj53

52

E-Gold Founder Admits E-Gold Used for Money Laundering Read more: http://lawvibe.com/e-gold-founderadmits-e-gold-used-for-money-laundering/#ixzz1ulSVzSqo. Law Vibe International Law News [online]. 2008 [cit. 2012-05-13]. Dostupné z: http://lawvibe.com/e-gold-founder-admits-e-gold-used-for-money-laundering/

53

Podvody s platobnými kartami: exkurzia po svete internetovej mafie. Rastislav Turek Blog [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-sveteinternetovej-mafie slide 49

37

4.3.2 Testování údajů Když podvodník získá údaje o platební kartě, dalším krokem je většinou otestování funkčnosti těchto údajů. Činí se tak zpravidla proto, že pokud jsou údaje otestované a funkční, stoupá automaticky jejich hodnota na černém trhu. Pokud je podvodník součástí sítě, která platební karty sama zneužívá, tak testuje pro to, aby rozlišil mezi funkčními a nefunkčními kartami a následně získal časovou úsporu při zneužívání karet. Nejrozšířenější způsob testování je zaplatit pomocí karty darovací příspěvek, obvykle ve výši jednoho dolaru. Tyto darovací příspěvky jsou většinou odesílaný charitě, ale v průběhu trvání volební kampaně Barracka Obamy bylo připsáno na jeho účty několik milionu dolarů pomocí darovacích příspěvků54. Pokud proběhne platba úspěšně, tak podvodník ví, že karta je funkční. Zároveň je ale částka jednoho dolaru natolik malá, že v majiteli účtu nevzbudí zbytečné pochybnosti

4.3.3 Zneužívání údajů elektronicky (online) V podstatě se elektronické zneužívání dá rozdělit na dva sektory. Ten první je neplánované zneužívání, kdy člověk, jež kartu zneužije není profesionální podvodník. Tito lidé si většinou neuvědomují dosah svého jednání a jsou snadno vypátratelní. Druhá kategorie jsou profesionální podvodníci, jež se zneužíváním karet živí. Aby mohlo zneužití karet probíhat opakovaně a úspěšně, je jako v každém jiném podnikatelském odvětví potřeba překonat bariéry vstupu do odvětví. U zneužívání platebních karet jsou tyto bariéry hlavně způsoby jak zajistit anonymitu. Náklad na zajištění anonymity při celém procesu mnohonásobně převažuje průměrný výnos z 1 zneužité platební karty.

I Jednorázové zneužití platební karty I.A Nákup reálného zboží z internetového obchodu Zde se jedná o úplně normální nákup zboží z internetového obchodu a zaplacení platební kartou. Problém při tomto druhu zneužívání představuje pro podvodníka riziko vyzvednutí zboží. Toto vyzvednutí zboží je pojítko mezi identitou podvodníka a zneužitou platební kartou. Díky tomuto pojítku se dá identita podvodníka lehce vypátrat.

54

Digit #43 - Se Synopsim o bezpečnosti a platebních kartách. DigIT [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://www.digit.cz/2010/02/20/digit-43-se-synopsim-o-bezpecnosti-a-platebnich-kartach/

38

I.B Praní peněz přes hazardní hry Aby byl tento způsob zcizení finančních prostředků proveditelný, potřebuje podvodník hazardní hru, kde proti sobe hrají dva a více hráčů. V dnešní době toto kritérium splňuje nejpopulárnější karetní hra na světě Poker. Na internetu existují desítky až stovky heren, fungujících jednoduchým způsobem. Uživatel si vytvoří svůj herní účet pomocí pravdivých údajů o své osobě a následně provede vklad na tento účet několika pomocí velké skupiny nástrojů. Jedním z těchto nástrojů je i platební karta. Podvodník tedy musí vytvořit 2 účty. První svůj reálný, který bude v podvodu výherní. Druhý účet bude vytvořen na zcizenou platební kartu a bude v podvodu prohrávající. Podvodník použije oba dva účty u jednoho herního stolu, kde budou hrát fingovaně proti sobě. Doopravdy však kooperují. Postupným hraním dochází k přelévání prostředků z účtu prohrávajícího (založeného na zcizenou platební kartu) na účet výherní (reálný účet patřící podvodníkovi) až do vyčerpání všech financí. Pokerové podvody obecně Na první pohled se tento způsob zdá poměrně logický a anonymní, ale není tomu tak. Seriózní pokerové herny si udržují své klienty díky důvěře které se těší. Jsou také cílem mnoha útoků: a.) Poker Botting55: za uživatelský účet hraje program. Výhoda je že se nikdy neunaví a dělá za všech okolností matematicky správné rozhodnutí. Díky tomu slabí hráči prohrávají rychleji peníze, a to je pro pokerové herny nežádoucí stav. b.) Collusion56 – několik hráčů u jednoho stolu se domluví a ukazují si navzájem svoje karty. Díky tomu mají přesnější informaci o tom kolik karet ještě zbývá v balíčků a získávají výraznou matematickou výhodu. Pokerové herny se snaží těmto věcem předejít, protože pro ně znamenají rychlejší prohru peněz klientů, ztrátu důvěry a tím pádem i menší zisk. Vyvinuly proto spoustu statistických metod, jak tyto podvody odhalit. Například: a.) kontrola pohybu myši, jestli za stolem sedí člověk b.) kontrola hráčů, kteří často hrají sami se sebou

55

Bot Ring Discovered On Poker Stars. PokerTableRatings [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://www.pokertableratings.com/blog/2010/07/bot-ring-discovered-on-poker-stars/

56

Stoxtrader Collusion Investigation. PokerTableRatings [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://www.pokertableratings.com/blog/2010/04/stoxtrader-collusion-investigation/

39

c.) kontrola hráčů, kteří dlouhodobě vyhrávají výrazně více peněz než je statistický průměr. Vedlejší efekt těchto metod je i snadné odhalení podvodu s platebnímu kartami, protože každé takové podvodné chování je podezřelé. Praní peněz skrze pokerové herny je tedy velmi těžko proveditelné, protože při této praktice dochází k výraznému odchýlení od herních statistik a systémy pokerových heren na takovéto chování automaticky upozorňují. Toto chování vede k pozastavení účtu a zabavení všech finančních prostředků nacházejících se na nich.

I.C Nákup elektronického zboží Zde je situace podstatně příznivější ve prospěch podvodníka. Pod pojmem elektronické zboží můžeme rozumět: a.) Počítačové hry b.) Software c.) Elektronické knihy d.) Zaplacení členství v určité skupině ( prodejní, pornografické a podobně ) e.) Zaplacení příspěvku na hraní online her ( World of Warcraft ) Zásadní výhodou elektronického zboží je, že není provázáno s konkrétní fyzickou adresou. To znamená, že k identifikaci podvodníka chybí pojítko mezi ním a platební kartou. Toto pojítko ale může být vytvořeno později, během neopatrného užívání zakoupeného produktu. V určitých případech může být elektronické zboží dále prodáno ( například účet k online hře World of Warcraft ), ale zisk z takového počínání je obvykle v řádu stokorun nebo tisícikorun, což vzhledem k časové náročnosti a riziku celé akce není příliš ekonomicky výhodné. Nákup letenek Podvodník může zakoupit letenku pomocí zneužité platební karty. Cestuje však na své jméno, a tak bývá při tomto podvodu téměř okamžitě dopaden.57

57

Pakistani defendants deny Emirates airline ticket fraud. Eturbo News [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://www.eturbonews.com/25538/pakistani-defendants-deny-emirates-airline-ticket-fraud

40

II Zneužívání údajů systémově Systémové zneužívání údajů o platebních kartách znamená že se jedná o pravidelnou činnost, která má nastavené svoje vlastní procesy. Nejdůležitějším faktorem při této činnosti je minimalizace rizika dopadení, protože se jedná o trestnou činnost.

II.A Zabezpečení anonymity Zásadní potřebou pro fungování podvodníků je zabezpečení anonymity. Podvod s platební kartou si můžeme jednoduše představit jako řetězec událostí, jež jsou na sobě více či méně závislé. Jedná se obvykle o získání údajů, objednání zboží a jeho následné vyzvednutí. Každý krok je jednoduše spojitelný s tím předchozím, včetně dohledání identit. Proto do hry musí vstoupit složka zajišťující anonymitu. V angličtině se slangově nazývá „money mule“58, adekvátní český překlad by byl „bílý kůň“. Co to je bílý kůň a jeho úloha Bílý kůň je v podstatě osoba, jež na sebe za úplatu převezme všechny rizika spojená s daným podvodem. To znamená že poskytne svoji identitu pro převzetí zboží či převzetí peněz, ale dále nevyzradí identitu podvodníka. Často jsou bílí koně rekrutování přes obyčejný pracovní inzerát. Tento podvržený inzerát indukuje v oběti pocit, že jedná z významnou zahraniční společností, která shání zástupce pro daný trh. Zároveň dodává podvodu punc legality, a oběť tedy nenapadne, že je součástí organizované skupiny jež páchá trestnou činnost.

58

The Cyber Crime Black Market. Panda Security [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://press.pandasecurity.com/wp-content/uploads/2011/01/The-Cyber-Crime-Black-Market.pdf str 9

41

Obr č.11:

Podvodný inzerát pro získání bílého koně

Zdroj59

Zde se primárně jedná o přeposílání peněz které dorazily na bankovní účet. Zpravidla jsou tyto prostředky bílým koněm vybrány a poté zaslány podvodníkovi skrze nebankovní instituci, jež umožňuje anonymní převod peněz, například Western Union, což zaručuje, jak bylo výše uvedeno, anonymitu podvodníka. Podle zadání inzerátu se v tomto případě jedná spíše o podvody s bankovními účty, než s platebními kartami.

II.B Nákup reálného zboží z internetového obchodu Princip tohoto podvodu má 4 fáze. První z nich je příprava, následuje objednání a první odeslání zásilky a poté přeposlání zásilky. Příprava Podvodník získá bílého koně, nejčastěji podle inzerátu podobnému tomu výše. Inzerát se ale od výše uvedeného liší hlavní pracovní náplní bílého koně. Tou je zpravidla přeposílání 59

The Cyber Crime Black Market. Panda Security [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://press.pandasecurity.com/wp-content/uploads/2011/01/The-Cyber-Crime-Black-Market.pdf str 13

42

zásilek. Dále si zajistí anonymní poštovní schránku. Pokud tato možnost není v zemi kde podvodník operuje legální, zpravidla tak učiní pomocí zcizených dokladů. Objednání a první odeslání zásilky Podvodník objedná chtěné zboží prostřednictvím internetového obchodu a jako doručovací adresu uvede bydliště bílého koně. Obvykle má bílý kůň bydliště ve stejném státě, ve kterém bylo objednáno zboží. Internetový obchod tedy bez problémů a bez prodlení zboží zašle na uvedenou adresu. Přeposlání zásilky Bílý kůň byl instruován podvodníkem, že jako zahraniční zástupce smyšlené společnosti musí přeposílat na předem danou adresu všechny poštovní zásilky. V dobré víře tedy vykonává svoji pracovní povinnost a přeposílá přijaté zásilky na předem udanou adresu. Zpravidla takto koná do příjezdu policie, což se počítá na řády týdnů. Udaná adresa, na kterou se zboží zasílá, je díky opatřením uvedeným výše nespojitelná s identitou podvodníka. Často bývá ve státě se špatnou vymahatelností práva a je velice těžké v této oblasti podniknout jakékoliv právní kroky. Vyzvednutí a prodej Podvodník tedy zásilku převezme. Potřebuje toto zboží směnit za peníze. Děje se tak buď pomocí předem dohodnutého obchodu, kdy podvodník v podstatě „krade na zakázku“ nebo při prodeji na černém trhu. Krádež na zakázku je zajímavá jak pro podvodníka, tak pro jeho klienta. Podvodník má velkou jistotu, že zboží ihned smění za peníze, a tím mu klesají transakční náklady a zvyšuje se zisk. Klient naopak koupí dané zboží výrazně levněji. Slevy jsou většinou v řádu desítek procent. Při prodeji na černém trhu podvodníkovi stoupají transakční náklady na jeden prodaný kus zboží (čas investovaný do prodeje, benzín potřebný k osobnímu doručení zásilky atp.). Vystavuje se ale také zvýšenému riziku odhalení.

II.C Nákup elektronického zboží Při tomto postupu není využívat bílého koně pro zabezpečení anonymity. Ale pro soustavné úspěšné konání tohoto typu podvodu je potřeba změnit přístup oproti jednorázovému nákupu. 43

Pro podvodníka je primární co největší finanční zisk a co nejmenší transakční náklady. Proto tedy nepostupuje stejně jako při jednorázovém zneužitá karty, jak bylo uvedeno výše. Založení vlastní affiliate internetové stránky Affiliate marketing60 je marketingový systém internetových firem. Je založen na provizi za každý uskutečněný prodej nebo každého nově zaregistrovaného zákazníka. V zásadě tuto provizi může poskytovat jakýkoliv internetový obchod. Pokud se ale jedná o reálné zboží, provize dosahují většinou jednotek, maximálně malých desítek procent z prodejní ceny. Tato možnost je tedy pro podvodníka nezajímavá, protože za každých zaplacených 100 dolarů dostane jen malé množství zpět jako provizi. Jiná je situace u elektronického zboží. Jedna z největších obchodní firem specializujících se na affiliate marketing, clickback.com61, nabízí až 75% provizi z každého uskutečněného obchodu. Tato výše provize znamená, že podvodník dostane za každých zaplacených 100 dolarů pomocí zneužité platební karty 75 dolarů zpět formou provize. Podvod s affiliate stránkou Podvodník tedy založí svoji vlastní affiliate internetovou stránku, kde bude propagovat určitý digitální produkt. V optimálním případě dostane za každý uskutečněný prodej 75 % provizi. Tato stránka musí být nějakým způsobem aktivní a generovat zisk. Pokud je tato podmínka splněna, může začít využívat kradených karet, pomocí nichž sám uskutečňuje nákupy na svojí stránce. Samozřejmě využívá anonymizační opatření, aby nebyl přistižen. Důležité při této technice je zaměřit se na procentuální poměr uskutečněných nákupů pomocí reálných uživatelů vs. Pomocí kradených karet. Pokud je tento poměr přiliš velký ve prospěch kradených karet, obvykle je provozovateli affiliate internetových stránek zrušen účet a zabaveny prostředky na něm se vyskytující.

4.3.4 Zneužívání údajů fyzicky Aby mohl podvodník zneužít údaje fyzicky, musí je nejprve získat, a to opět fyzicky, jak bylo uvedeno v kapitole 4.3.1

60

Proč se zajímat o affiliate marketing. Lupa.cz [online]. 2008 [cit. 2012-05-13]. Dostupné z: http://www.lupa.cz/clanky/proc-se-zajimat-o-affiliate-marketing-1-dil/ 61

Promote Products. Clickbank.com [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.clickbank.com/promote_products.html

44

Podvodník získané údaje prakticky ihned odesílá svým spolupachatelům, kteří se obvykle vyskytují co nejdále od podvodníka, doslova na druhé polovině planety. Toto chování je praktikováno z důvodu minimalizování rizika dopadení. Obvykle je organizace této trestné činnosti naplánovaná na přesný časový úsek, z důvodu co největší pracovní efektivity. Komplici ihned po přijetí údajů vytvářejí duplikáty zcizených platebních karet. Tyto duplikáty jsou většinou odhalitelné na první pohled, ale při tomto způsobu podvodu hraje roli rychlost. Spolupachatelé podvodníka poté s duplikáty uskuteční výběry z bankomatů za pomocí zadání PIN kódu. Bohužel pro oběť je šance dobrat se zpět svých financí při užití PIN kódu velmi malá. Banky z pochopitelných důvodů odmítají refundovat škody způsobené tímto jednáním. Výjimka nastane, když bude prokázáno, že karta oběti opravdu mohla být naskimmována v jednom z bankomatů, kde oběť platila.

45

5 ANALÝZA VYBRANÉHO SYSTÉMU Všechny autorem oslovené bankovní instituce využívají v základu velmi podobná opatření, jak co nejvíce minimalizovat riziko podvodného zneužití platebních karet.

5.1 Komerční Banka V Komerční Bance využívají podle interních materiálů [27] všechny standartní opatření, jak co nejvíce minimalizovat riziko zneužití platební karty. Nejvíce se zde však zaměřují na detekci zneužití pomocí statistických metod. Chip and Pin Všechny platební karty nově vydané Komerční Bankou obsahují čip. Při každé platební transakci, jež je prováděna pomocí platební karty s čipem se striktně vyžaduje zadání PIN kódu. Pomocí tohoto opatření Komerční Banka výrazně snížila podvody s platebními kartami. Informační Systém a statistická detekce podvodů V Komerční Bance mají implementovaný rozsáhlý informační systém, jež provádí statistické rozbory nad každou jednotlivou transakcí všech jejich klientů. V tomto informačním systému je se zaznamenávají všechny dostupné informace o dané transakci, například: čas, místo, částka, čas od posledního výběru, chybně zadaný pin, čas stráveny v prostředí bankomatu. Informační systém vypracovává určitou běžnou statistiku pro každého klienta. Pokud náhodou dojde k zneužití platební karty, ve většině případů se toto zneužití projeví právě v této statistice. Například klient, který vybírá vždy jen v Praze, provede náhle výběr v Singapuru. Toto chování je ihned detekováno informačním systémem a porovnáno s historickými daty. Ve výše uvedeném případě dojde k detekci nesrovnalosti a spuštění varovného znamení, slangově tzv. Red Flag. Komerční Banka neprodleně informuje klienta o této skutečnosti a prodiskutuje s ním vhodný postup. Podvody typu Card Present Při tomto typu podvodu musí být platební karta fyzicky přítomna.

46

Skimming Nejčastější typ zaznamenaného podvodu. Probíhá tak jak bylo definováno v kapitole 4.3.1 a 4.3.4. Zajímavostí je, že dle interních statistik pachatelů drží pomyslné prvenství občané Bulharské a Rumunské národnosti, kteří vybírají finanční prostředky duplikovanými kartami mimo země Evropské Unie. Zcizená karta Uživatele karet Komerční Banky se dle interních statistik chovají poměrně nezodpovědně a často si svůj PIN kód zaznamenávají buď přímo na kartu, nebo jej uchovávají v peněžence. Při zcizení karty tak umožní zloději snadný přístup ke svým finančním účtům, které jsou následně podvodníky zpronevěřeny. Tento způsob podvodu je relativně častý a Komerční Banka při něm nehradí škody jež vznikly klientovi. A to z důvodu neopatrné manipulace s kódem PIN. Podvody typu Card not present Tyto typy podvodů jsou doménou internetové komunikace. K jejich provedení není třeba fyzický kontakt s kartou. Za poslední 2 roky zaznamenává Komerční Banka výrazný rozmach tohoto podvodného jednání, což kopíruje celoevropský trend. Tento druh podvodů probíhá tak jak bylo popsáno v kapitole 4. Ale Komerční Banka se relativně často setkává i s podvodným objednáním letenek pomocí zneužité platební karty. V České Republice byli zatím odsouzeni podvodníci za phishing a opisování údajů z platební karty.

5.2 Volksbank Řeší zabezpečení platebních karet podobně jako Komerční Banka. Podle informací z interních materiálů [52] mají svůj informační systém, jež vyhodnocuje podezřelé transakce a v případě jakéhokoliv problému kontaktuje klienta. Jejich platební karty vydává ČSOB, a všechny nově vydané jsou opatřeny čipem. Dodržují Chip and Pin systém, kdy je ke každé platbě pomocí platební karty vyžadována autorizace PIN kódem. Velké úsilí také věnují prevenci podvodům. Pravidelně kontrolují jimi provozované bankomaty proti osazení skimmerem. V případě nalezení ihned zkontrolují všechny transakce prováděné pomocí tohoto konkrétního bankomatu a kontaktují své klienty. 47

Poslední známý případ osazení bankomatu skimmovacím zařízením skončil vyřešen pomocí Policie ČR. Podvodníky byli muži Bulharské národnosti, a zadržení se neúspěšně pokusili o útěk za Rakouské hranice.

5.3 J&T Bank Z vyjmenovaných bank klade největší důraz na prevenci proti podvodům s platebními kartami a osobní komunikaci s klientem. Podle informací z interních materiálů [25] karty zásadně nezasílá poštou, klient si je musí vyzvednout přímo na pobočce. Zde je také poměrně zevrubně informován o rizicích spojených s platebními kartami a možnostech jak se bránit. Chip and Pin Všechny nově vydané karty této obchodní banky obsahují čip. Při platbě kartou je vždy vyžadováno zadání PIN kódu. Informační systém Funguje velmi podobně jako systém u Komerční Banky. S tím rozdílem, že pokud je J&T známa informace o napadení jakéhokoliv bankomatu skimmerem ( ne jen vlastního ), tak automaticky zkontroluje transakce klientů a zjistí, zdali některý klient uskutečňoval platební transakci na daném bankomatu. V případě pozitivního zjištění ihned kontaktuje klienta. Informační systém také automaticky blokuje platby na internetu, jež mají statisticky vyšší procento výskytu podvodů. Například internetový hazard či transakce uskutečněné do rozvojových zemí. Tyto platby mohou být povoleny na výslovnou žádost uživatele, ale pouze na jeho vlastní nebezpečí. Virtuální platební karty Klienti dostanou automaticky kartu určenou pouze k platbám po internetu. Prostředky si na tuto platební kartu mohou libovolně přesouvat ze svého bankovního účtu a mohou na ní nastavit individuální limity pro platební transakce. Díky této strategii se bance daří dosahovat dlouhodobě dobré výsledky v zamezení zneužívání platebních karet. Procentu částky z obratu platební karty, jež připadne na zneužití je velmi malé, hluboko pod průměrem České Republiky. Přesné číslo je bohužel předmětem firemního tajemství.

48

6 NÁVRH A ZDŮVODNĚNÍ ŘEŠENÉ PROBLEMATIKY V kapitole 4.3 byly definovány nejčastější způsoby zneužití platebních karet. Aby mohlo dojít ke zneužití platební karty, podvodník musí znát údaje na ní obsažené. Tyto údaje podvodník získává pomocí metod popsaných v kapitole 4.3.1. V této kapitole jsou nastíněny techniky, jak tomuto získání údajů předcházet, nebo zmírnit či zcela eliminovat dopady této činnosti.

6.1 Ochrana před získáním údajů fyzicky 6.1.1 Ochrana před získáním viditelných údajů na kartě Nejdůležitějším viditelným údajem na platební kartě je její číslo. V kapitole 4.3.1 je umístěn popis nejčastějších způsobů, jak dochází ke kompromitaci čísla platební karty. Všechny způsoby mají jeden společný znak, a to ten že číslo platební karty musí být viditelné. Odstranit tento typ útoku je efektivně možné tak, je číslo platební karty, nebo jeho část zakryjeme. V dnešní době existuje velké množství „inteligentních materiálů“, jež umožňují zajímavě reagovat na okolní fyzikální podměty. Mezi ně patří materiály termo-reaktivní. Zakrytí čísla karty pomocí materiálů reagujících na teplo. Číslo platební karty by bylo vyhotoveno ze speciálního materiálu62, jehož viditelnost závisí na teplotě63. Číslo by bylo za běžných podmínek neviditelné, a to buď zcela, nebo z části. Tímto by nikdo nemohl odpozorovat číslo karty při běžné manipulaci. Pokud by chtěl uživatel platební karty číslo zviditelnit, musel by jej zahřát pomocí dotyku. Efektivnost: Vysoká, tímto způsobem lze zcela eliminovat podvody se získáním viditelných údajů o platební kartě definovaných v kapitole 4.3.1 Ztráta uživatelského komfortu: Minimální, číslo na platební kartě se využívá hlavně pro internetové transakce, potřeba jeho přečtení není nijak častá. Ekonomická náročnost: Inteligentní materiály se dnes běžně používají při výrobě etiket rozličných produktů.

62

Experimenty s infračerveným a ultrafialovým zářením. Brno, 2009. Dostupné z: http://is.muni.cz/th/106831/prif_m/diplomovaprace.txt. Diplomová Práce. Masarykova Univerzita - Přírodovědecká Fakulta. Kapitola 1.4.2

63

Teplocitlivé etikety. 2HHolinger [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://funkcni-etikety.cz/teplocitliveetikety/

49

6.1.2 Ochrana před hotovostní transakce pomocí duplikované karty Technikám popsaným v kapitole 4.3.1, jež obvykle vedou k vytvoření duplikátu platební karty a výběru hotovosti pomocí bankomatu, je velmi těžké předejít. Vzniklou situaci lze řešit, a to s několika stupni efektivnosti. Informovat klienta Vydavatel platební karty by mohl informovat klienta o každé proběhlé platební transakci v reálném čase. Jako nejvíce efektivní se jeví mobilní telefon, jímž dnes disponuje téměř každý člověk, jež využívá platební karty. Ihned po uskutečnění platební transakce by vydavatel platební karty poslal držiteli platební karty SMS zprávu, obsahující datum, čas, výši transakce a číslo pro nahlášení zneužití. Uživatel tak může rychle a reagovat a snadno reagovat v případě zneužití své platební karty, a tím zvyšuje šance na navrácení finančních prostředků. Efektivnost: Nízká. Podvodu by se nezabránilo, ale uživatel by měl možnost včas na něj zareagovat. Ztráta uživatelského komfortu: Minimální. Ekonomická náročnost: V roce 2011 bylo uskutečněno více než 270 milionů plateb u obchodníků pomocí karty64. Bylo by tedy teoreticky odeslat více než 270 milionů SMS zpráv. Ekonomická náročnost je relativně velká, ale v případě že by cenu SMS zpráv by hradil klient je tato možnost realizovatelná. Autorizace plateb pomocí SMS zprávy Funkční princip je následující: uživatel provádí platbu kartou nebo výběr hotovosti z bankomatu. Po úspěšném zadání všech parametrů (výše částky, PIN atp.), těsně před tím než se platba provede, a vydavatel platební karty pošle uživateli autorizační SMS kód. Uživatel tento kód vyplní, tím je transakce autorizována a vše může proběhnout stejně jako standartní finanční transakce. Systém platebních karet, definovaný v kapitole 2, od svého vzniku s touto alternativou nepočítal, nicméně není nereálná. Do postupu při platební transakci by bylo potřeba přidat metodu SMS autorizace na samý začátek. Pokud by tato autorizace proběhla úspěšně, mohla by transakce pokračovat stejným stylem, jakým probíhá v současné situaci. Dále by bylo 64

Souhrnná statistika SBK za rok 2011. Bankovnikarty [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://statistiky.cardzone.cz/download/sbk_statistika_2011.pdf

50

potřebě změnit software bankomatů a platebních terminálů a připravit je na proces zadávání autorizační SMS. Efektivnost: Vysoká. V podstatě by nemohlo dojít ke zneužití duplikované karty. Ztráta uživatelského komfortu: Střední. Čas jedné platební transakce by se výrazně prodloužil. Dvakrát déle by trvalo samotné spojení pomocí elektronických kanálů. Nutno je také připočíst čas, jež trvá odeslání, přečtení a zadání SMS zprávy. Další negativum je, že uživatel by mohl platit kartou pouze na místech, kde je dostupný signál mobilního operátora. Ekonomická náročnost: Střední. Současný hardware by tuto možnost, jak zvýšit bezpečnost platebních karet, s největší pravděpodobností umožnil. Jednalo by se tedy hlavně o změnu software a její aktualizace v platebních terminálech a bankomatech. Autorizace plateb pomocí biometrických údajů Biometrických údajů existuje mnoho, nejsnáze zpracovatelný je však otisk prstu. Klient by svůj otisk prstu poskytnul vydavateli platební karty. Ten by na otisk aplikoval speciální algoritmus, jenž by vygeneroval digitální číslo. Mohlo by být čtyřmístné, jako aktuální PIN kód, protože by mělo v podstatě stejnou funkci. Dále by bylo potřeba, aby byly všechny bankomaty a platební terminály osazeny čtečkou otisků prstů. Tato čtečka by přečetla otisk, který by z bezpečnostních důvodů nikam neukládala, a ihned by ho převedla pomocí výše zmíněného algoritmu na digitální číslo. Toto číslo by sloužilo jako náhrada PIN kódu, a tak by transakce probíhala od této fáze stejně, jako doposud. Bezpečnost této metody závisí na technické schopnosti vyvinout biometrické čtecí zařízení, které nemůže být „skimmováno“ (například dát na čtečku otisků prstu tenký digitalizovaná proužek, jež umožní přečíst otisk prstu a současně protlačit tento otisk na originální čtečku). Dále pak musí být podvodník schopen vyrobit falešný otisk prstu, funkční s tímto zařízením. V případě, že by takové zařízení bylo vyvinuto, tak je zneužití bankomatu nemožné. A zneužití platebního terminálu je možné jen po fyzické manipulaci s ním. Potom je jasné, že se na tomto podvodu podílel i obchodník, jenž terminál provozuje. Efektivnost: Vysoká, s největší pravděpodobností by došlo k eliminaci tohoto typu podvodů s platebními kartami. Ztráta uživatelského komfortu: Minimální. V případě otisků prstů by bylo potřeba dbát na hygienu snímače. 51

Ekonomická náročnost: Vysoká, byl by potřeba upgrade hardware i software všech bankomatů a platebních terminálů

6.2 Ochrana při platbě na internetu Získávání údajů u platebních kartách bez fyzické přítomnosti bylo popsáno v kapitole 4.3.1. Tento způsob získávání je natolik rozsáhlý a často i nezávislý na aktivitě uživatele, že mu nelze efektivně předcházet. Pomocí aplikace vhodných systémů lze riziko buď minimalizovat nebo zcela eliminovat. Odemykání transakcí v administrativním rozhraní karty Uživatel může svoji kartu zamknout či odemknout pro platební transakce na internetu, v reálném čase. Tímto se velmi sníží pravděpodobnost zneužití. Efektivnost: Vysoká. Pokud by klient dodržoval tento režim zodpovědně, tak pravděpodobnost, že dojde ke zneužití platební karty zrovna když je odemčena pro transakce po internetu, je velmi malá. Ztráta uživatelského komfortu: Střední. Je potřeba provést před platbou úkon odemknutí a po platbě uzamykací úkon. Ekonomická náročnost: Nízká. Vydavatelé karty mohou tento skript implementovat do procesu autorizace, definovaného v kapitole 2. Povolování transakcí jen v určitém cenovém rozsahu Uživatel by měl mít možnost povolit transakce jenom v určitém cenovém rozsahu. Když tedy ví, že bude platit kartou 14 500 korun, odemkne si svoji kartu v administraci, kde zvolí rozsah částky 14 000 korun až 15 000 korun. Karta se automaticky uzamkne po provedení transakce. Pokud proběhne autorizační žádost na částku, která je mimo odemknutý rozsah, není transakce autorizována. Efektivnost: Vysoká, výrazně větší než u předchozího řešení. Šance na zneužití je výrazně snížena, protože šance že podvodník zadá částku, na kterou je karta odemknuta, je velmi malá. Ztráta uživatelského komfortu: Vysoká. Proces platby se stává výrazně komplikovanější než u předchozího řešení. Ekonomická náročnost: Nízká, stejně jako u předchozího řešení.

52

Vygenerování virtuální karty pro každou transakci Virtuální platební karta byla popsána v kapitole 4.1.4 této práce. K úplnému eliminování podvodů s platebními kartami na internetu by vedla možnost vygenerovat virtuální platební kartu pro každou jednotlivou platbu. Modelový příklad: Uživatel chce zaplatit obchodníkovi na internetu pomocí platební karty. Přihlásí se tedy do administrativního rozhraní pro spravování své platební karty. Toto rozhraní mu umožní vygenerovat novou platební kartu, která je nabitá na předem určenou částku. Její životnost v rámci interního systému může být nastavena na jednotky či desítky minut. Uživatel zaplatí nově vygenerovanou platební kartou u obchodníka. Mohou nastat dvě situace: 1.) Platba je provedena úspěšně. Vygenerovaná platební karta automaticky přestává platit a zbylé prostředky jsou připsány zpět na účet uživatele. V případě, že by došlo ke kompromitaci údajů o této platební kartě, uživatel nenese žádné riziko, protože platební karta je již dávno neplatná. Autorizační proces při platbě tedy nebude schválen a žádná transakce se neuskuteční. 2.) Platba není provedena úspěšně. Vygenerovaná platební karta je v interním informačním systému zrušena, tudíž v případě budoucích transakcí neprojde autorizačním procesem. Peníze jsou navráceny na účet uživatele. Pozitivní zprávou je, že nemůže dojít k přečerpání čísel platebních karet vygenerovaných jedním vydavatelem. V kapitole 4.2.1 je definováno číslo platební karty. Obsahuje 16 čísel, z toho 6 je identifikačních a zbylých 12 slouží pro identifikaci konkrétního účtu. Za předpokladu, že by si banka vyhradila 2 čísla z těchto dvanácti volných na identifikaci vygenerovaných platebních karet, stále zbývá 10 čísel, jež můžou být dynamicky generovány pro virtuální platební karty. To znamená deset miliard možných kombinací pro jednoho vydavatele platební karty. Nevýhodou této metody je, že informační systémy obchodníků téměř nikdy nepočítají s alternativou, že by jeden uživatel měl stejné číslo platební karty, ale odlišný CCV kód a dobu platnosti, jako jiný historický uživatel. Pokud tato situace výjimečně nastane (statistické šance jsou relativně malé), může být obchodníkem vyhodnocena jako pokus o podvod. Efektivnost: Vysoká. Při dodržení je platební karta nezneužitelná. Ztráta uživatelského komfortu: Vysoká, ale je vynahrazena eliminací rizika zneužití. Ekonomická náročnost: Nízká, jedná se stále o změnu v informačním systému banky. 53

ZÁVĚR Platební karty jsou v dnešní fázi vývoje relativně bezpečná a fungující služba, která umožňuje pohodlně přistupovat ke svým financím téměř kdekoliv na světě. Nicméně je zde stále obsaženo riziko zneužití. Zákeřnost tohoto rizika spočívá v špatné možnosti jeho předcházení, protože postihuje různé části systému platebních karet. I když bude uživatel platební karty dodržovat všechny bezpečnostní pokyny, stejně je vystaven riziku, že jeho platební karta bude zneužita pomocí jiné části systému Rizikové části systému a techniky podvodů byly popsány ve čtvrté kapitole práce. Na tuto kapitolu navazují interní informace od předních českých bank o eliminaci rizika v jejich systému platebních karet. Jako poslední se pokusil autor práce nastínit několik opatření, jak co nejefektivněji předejít všem těmto systémovým problémům se zneužíváním platebních karet. Nastíněná řešení jsou z pohledu autora a jeho znalosti problému reálně proveditelná a efektivní. Nicméně se jedná jen o nástin, protože můžou existovat informace autorovi práce neznámé, díky nimž budou tyto řešení neaplikovatelné v praxi. I přes všechny výše uvedené skutečnosti považuje autor systém platebních karet za efektivní a bezpečný, umožňující snadné mezinárodní obchodování.

54

SEZNAM POUŽITÝCH ZDROJŮ Monografie: [1]

BITTO, Ondřej. Šifrování a biometrika aneb tajemné bity a dotyky. Vyd. 1. Kralice na Hané: Computer Media, 2005, 168 s. ISBN 80-866-8648-5.

[2]

JUŘÍK, Pavel. Encyklopedie platebních karet: historie, současnost a budoucnost peněz a platebních karet. 1. vyd. Praha: Grada, 2003, 312 s. ISBN 80-247-0685-7.

[3]

JUŘÍK, Pavel. Platební karty: 1870-2006 : velká encyklopedie. 1. vyd. Praha: Grada, 2006, 296 s. ISBN 80-247-1381-0.

[4]

KOCMAN, Rostislav a Jakub LOHNISKÝ. Jak se bránit virům, spamu, dialerům a spyware. vyd. 1. Brno: CP Books, 2005, 148 s. ISBN 80-251-0793-0.

Internetové zdroje: [5]

A další phishing útoční na klienty České spořitelny. Lupa.cz [online]. 2008 [cit. 201205-13]. Dostupné z: http://www.lupa.cz/zpravicky/dalsi-phishing-utocni-na-klientyceske-sporitelny/

[6]

Backdoor.Trojan. Symantec [online]. 1999 [cit. 2012-05-13]. Dostupné z: http://www.symantec.com/security_response/writeup.jsp?docid=2001-062614-175499

[7]

Bank identification number - credit card bin database. BinDB [online]. 2012 [cit. 2012-05-13]. Dostupné z: https://www.bindb.com/index.html

[8]

Bezkontaktní platby. Měšec.cz [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.mesec.cz/bankovni-ucty/platebni-karty/bezkontaktni-platby/pruvodce/

[9]

Bot Ring Discovered On Poker Stars. PokerTableRatings [online]. 2010 [cit. 2012-0513]. Dostupné z: http://www.pokertableratings.com/blog/2010/07/bot-ring-discoveredon-poker-stars/

55

[10]

Breaking VISA PIN. L. Padilla [online]. 2002 [cit. 2012-05-13]. Dostupné z: http://www.gae.ucm.es/~padilla/extrawork/visapvv.html

[11]

Chip and pin scam 'has netted millions from British shoppers'. The Telegraph [online]. 2008 [cit. 2012-05-13]. Dostupné z: http://www.telegraph.co.uk/news/uknews/lawand-order/3173346/Chip-and-pin-scam-has-netted-millions-from-Britishshoppers.html

[12]

Credit Card Issuer Fraud Management, Report Highlights, December 2008. MERCATOR ADVISORY GROUP. DocStock [online]. 2008 [cit. 2012-05-13]. Dostupné z: http://www.docstoc.com/docs/19677009/Credit-Card-Issuer-Fraud-Managem Str 4

[13]

ČSOB - CashBack. ČSOB [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.csob.cz/cz/lide/Platebni-karty/Stranky/CashBack.

[14]

ČSOB Kreditní karta - výpočet maximální výše úvěrového limitu. ČSOB [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.csob.cz/cz/Csob/Formulare-akalkulacky/Stranky/CSOB-Kreditni-karta-vypocet-vyse-uveroveho-limitu.aspx

[15]

ČSOB Kreditní karta. ČSOB [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.csob.cz/cz/lide/Platebni-karty/CSOB-Kreditni-karta/Stranky/default.aspx

[16]

Digit #43 - Se Synopsim o bezpečnosti a platebních kartách. DigIT [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://www.digit.cz/2010/02/20/digit-43-se-synopsim-obezpecnosti-a-platebnich-kartach/

[17]

Drahoušci zákazníci České spořitelny stále pod útoky phishingu. Zive.cz [online]. 2008 [cit. 2012-05-13]. Dostupné z: http://www.zive.cz/Bleskovky/Drahouscizakaznici-Ceske-sporitelny-stale-pod-utoky-phishingu/sc-4-a-140679/default.aspx

[18]

E-Card. KB [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.kb.cz/cs/lide/obcane/e-card.shtml

[19]

E-Gold Founder Admits E-Gold Used for Money Laundering Read more: http://lawvibe.com/e-gold-founder-admits-e-gold-used-for-moneylaundering/#ixzz1ulSVzSqo. Law Vibe International Law News [online]. 2008 [cit. 56

2012-05-13]. Dostupné z: http://lawvibe.com/e-gold-founder-admits-e-gold-used-formoney-laundering/ [20]

Experimenty s infračerveným a ultrafialovým zářením. Brno, 2009. Dostupné z: http://is.muni.cz/th/106831/prif_m/diplomovaprace.txt. Diplomová Práce. Masarykova Univerzita - Přírodovědecká Fakulta. Kapitola 1.4.2

[21]

Get a prepaid MasterCard®. Neteller [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.neteller.com/personal/get-a-prepaid-card/

[22]

Identification cards -- Identification of issuers -- Part 1: Numbering system. International Organization for Standardization [online]. 2006 [cit. 2012-0513]. Dostupné z: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=39 698

[23]

Imprinter. Kreditka.cz [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.kreditka.cz/html.cz/slovnicek/imprinter.html

[24]

IRC. IRC [online]. 2005 [cit. 2012-05-13]. Dostupné z: http://www.irc.org/

[25]

J&T Bank, interní materiály poskytnul Rastislav Vranka B.S.B.A[cit. 2012-05-13]

[26]

Kód nebo hodnota verifikace karty. PCI Standard [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.pcistandard.cz/index.php?action=slovnik&pojem=33

[27]

Komerční Banka, interní materiály poskytnul Zdeněk Dočkal, Fraud Manager. [cit. 2012-05-13]

[28]

Liberty Reserve. Liberty Reserve [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.libertyreserve.com/

[29]

MASTERCARD® PREPAID GIFT CARD. MasterCard [online]. 2012 [cit. 2012-0513]. Dostupné z: http://www.mastercard.us/prepaid-gift-card.html

[30]

Mercator Advisory Group. Mercatoradvisorygroup.com [online]. 2011 [cit. 2012-0513]. Dostupné z: http://www.mercatoradvisorygroup.com/

57

[31]

Money Transfer. Western Union [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.westernunion.com/

[32]

Nákup zaplatíte rychleji, startují bezkontaktní karty. Aktuálně.cz - Finance [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://aktualne.centrum.cz/finance/nakupy/clanek.phtml?id=713995

[33]

OS X "omylem" ukládá síťová použitá hesla do systémového logu. Lupa.cz [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.lupa.cz/zpravicky/os-x-omylemuklada-sitova-pouzita-hesla-do-systemoveho-logu/

[34]

Pakistani defendants deny Emirates airline ticket fraud. Eturbo News [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://www.eturbonews.com/25538/pakistanidefendants-deny-emirates-airline-ticket-fraud

[35]

Podvody s platobnými kartami: exkurzia po svete internetovej mafie. TUREK, Rastislav. Synopsi Blog [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-posvete-internetovej-mafie

[36]

Pojištění k debetním kartám. GE Money CZ [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.gemoney.cz/ge/cz/1/platebni-karty/doplnkove-sluzbydebetky/pojisteni-zneuziti-debetni-karty

[37]

Poker Artificial Intelligence. Pokerai.org [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://pokerai.org

[38]

Poker rankings & stats. Pokertableratings.com [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.pokertableratings.com/

[39]

Povolené přečerpání běžného účtu. ČSOB. [online]. 2012 [cit. 2012-05-07]. Dostupné z: http://www.csob.cz/cz/lide/Pujcky-a-uvery/Stranky/Povolene-precerpani-beznehouctu.aspx

[40]

Proč se zajímat o affiliate marketing. Lupa.cz [online]. 2008 [cit. 2012-05-13]. Dostupné z: http://www.lupa.cz/clanky/proc-se-zajimat-o-affiliate-marketing-1-dil/

58

[41]

Prodavačka si pamatovala čísla na kartách, z kont vysála půl milionu Zdroj: http://zpravy.idnes.cz/prodavacka-si-pamatovala-cisla-na-kartach-z-kont-vysala-pulmilionu-1fw-/krimi.aspx?c=A110328_160852_liberec-zpravy_alh. Idnes[online]. 2011 [cit. 2012-05-13]. Dostupné z: http://zpravy.idnes.cz/prodavacka-si-pamatovalacisla-na-kartach-z-kont-vysala-pul-milionu-1fw/krimi.aspx?c=A110328_160852_liberec-zpravy_alh

[42]

Promote Products. Clickbank.com [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.clickbank.com/promote_products.html

[43]

Skimming. Policie CR [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://www.policie.cz/clanek/skimming.aspx

[44]

Sony hack: 25million more users' details stolen, including credit cards Read more: http://www.metro.co.uk/tech/games/862179-sony-hack-25million-more-users-detailsstolen-including-credit-cards#ixzz1ulKxJ7vr. Metro.co.uk [online]. 2011 [cit. 201205-13]. Dostupné z: http://www.metro.co.uk/tech/games/862179-sony-hack25million-more-users-details-stolen-including-credit-cards

[45]

Souhrnná statistika SBK za rok 2011. Bankovnikarty [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://statistiky.cardzone.cz/download/sbk_statistika_2011.pdf

[46]

SQL Injection. Microsoft MSDN [online]. 2005 [cit. 2012-05-13]. Dostupné z: http://msdn.microsoft.com/en-us/library/ms161953(v=SQL.90).aspx

[47]

Stoxtrader Collusion Investigation. PokerTableRatings [online]. 2010 [cit. 2012-0513]. Dostupné z: http://www.pokertableratings.com/blog/2010/04/stoxtradercollusion-investigation/

[48]

Teplocitlivé etikety. 2HHolinger [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://funkcni-etikety.cz/teplocitlive-etikety/

[49]

The Cyber Crime Black Market: Uncovered. PANDA SECURITY. [online]. [cit. 201205-07]. Dostupné z: http://press.pandasecurity.com/wp-content/uploads/2011/01/TheCyber-Crime-Black-Market.pdf

59

[50]

Trojan Horse. Symantec [online]. 2010 [cit. 2012-05-13]. Dostupné z: http://www.symantec.com/security_response/writeup.jsp?docid=2004-021914-282299

[51]

UNITED STATES v. VLADIMIR TSASTSIN, ET AL. FBI [online]. 2011 [cit. 201205-13]. Dostupné z: https://forms.fbi.gov/check-to-see-if-your-computer-is-usingrogue-DNS

[52]

Volksbank, interní materiály poskytnul Ing. Filip Jelínek. [cit. 2012-05-13]

[53]

Výpověd Smlouvy. MBank [online]. 2012 [cit. 2012-05-13]. Dostupné z: http://www.mbank.cz/informace-k-produktum/dokumenty-ke-stazeni/vypovedsmlouvy.html

[54]

WHAT IS AN EXPLOIT?. AVG [online]. 2011 [cit. 2012-05-13]. Dostupné z: http://www.avg.com/exploit.tpl-mcr6.vid-fakesecsw

60

SEZNAM OBRÁZKŮ Obr  č.1:   Systémové  zpracování  transakcí  uskutečněných  platební  kartou  .........................  10   Obr  č.2:   Platební  karta  ...........................................................................................................................  14   Obr  č.3:   Skimmovací  zařízení  ..............................................................................................................  23   Obr  č.4:   Odposlouchávání  WiFi  sítě  ...................................................................................................  28   Obr  č.5:   Amatérský  phishingový  email  .............................................................................................  30   Obr  č.6:   Profesionální  phishingový  email  ........................................................................................  31   Obr  č.7:   IRC  fórum  kde  jsou  nabízeny  údaje  o  platebních  kartách  .........................................  34   Obr  č.8:   Neveřejné  internetové  fórum,  kde  se  prodávají  údaje  o  platebních  kartách  .....  35   Obr  č.9:   Ceník  produktů  nabízených  na  černém  trhu  .................................................................  36   Obr  č.10:   Internetový  účet  E-­‐Gold,  patřící  podvodníkovi  ...........................................................  37   Obr  č.11:   Podvodný  inzerát  pro  získání  bílého  koně  ...................................................................  42  

61