Content

ar žinote kuo rizikuojate įsigydami mokėjimo kortelę Lietuvoje veikiančiuose bankuose?

Būdai pavogti PIN kodą

Žemiau aprašomi populiariausi nusikaltėlių naudojami kortelės duomenų ir PIN kodo vagystės būdai (nuo paprasčiausių iki sudetingesnių).

Išskyrus pirmą būdą, kai pavagiama pati mokėjimo kortelė, remiantis nukopijuotais kortelės duomenimis, bus pagaminta magnetinė originalios mokėjimo kortelės kopija. Turėdami padirbtą kortelę ir žinodami jos PIN kodą nusikaltėliai galės išgryninti pinigus bankomatuose, apsipirkti valiutos keityklose (tokiu atveju galios daug didesni nei grynųjų išdavimo dienos operacijų limitai) ar tiesiog nusipirkti kitų lengvai į grynus pinigus iškeičiamų prekių.

 

PIN kodo nužiūrėjimas ir kortelės vagystė

Pats paprasčiausias būdas – tiesiog nužiūrėti PIN kodą kai kortelės naudotojas jį suvedinėja. Tai vis dar populiarus būdas, nes šiais laikais PIN kodą reikia suvedinėti gana dažnai (ne tik prie bankomato, bet ir parduotuvėse ar restoranuose) ir tam nereikia jokios techninės įrangos. Nusikaltėliai tiesiog bando nužiūrėti PIN kodą ir jei tai pavyksta, auka pasekama ir apvagiama. Pavogę mokėjimo kortelę, nusikaltėliai per kelias minutes paims pinigus bankomate ar apsipirks su ja kokių nors lengvai realizuojamų prekių. Dažniausiai, net ir iš karto vagystę pastebėjusi auka nespės pakankamai greitai užblokuoti kortelės, kad išvengti nuostolių.

Šiuo atveju Lietuvos įstatymai lyg ir numato, kad bankas turėtų atlyginti nuostolius, kurie viršija 150 Eurų. Tačiau, turime pavyzdį, kai Swedbank bankas analogiškoje situacijoje savo klientą tiesiog apkaltino “dideliu neatsargumu” ir atsisakė kompensuoti bet kokius nuostolius.

 

PIN kodo nužiūrėjimas ir kortelės duomenų vagystė

Aukščiau aprašytas būdas yra kiek sudėtingas, nes nusikaltėliams reikia pavogti pačią mokėjimo kortelę – tai didina riziką būti pagautiems. Bet turint reikiamą įrangą, nužiūrėjus PIN kodą, kortelės vogti nebereikia – užtenka, kad nesąžiningas parduotuvės ar restorano darbuotojas mokėjimo kortelės duomenis nepastebimai nuskaitytų mažu delne telpančiu aparatuku:
Delne telpantis mokėjimo kortelių skanavimo įrenginys

Vėliau, pagal nuskaitytus kortelės duomenis bus nesunku pagaminti magnetinė kortelės kopiją, kuri bus naudojama imti pinigus iš bankomatų.
Bankas tikriausiai atsisakys atlyginti nuostolius, nes visos vagystės operacijos bus patvirtintos PIN kodu.

 

Kortelės duomenų ir PIN kodo vogimo įrangos sumotavimas bankomate

Nusikaltėliai gali nesunkiai ir nelabai brangiai įsigyti įrangą skirtą vogti bankomatais besinaudojančių žmonių mokėjimo kortelių duomenis. Tokiu atveju, ant skylės į kurią dedama kortelė uždedamas kortelės magnetinės juostelės duomenų skaitytuvas, o bankomato viršuje įmontuojama PIN kodo įvedimą filmuojanti miniatiūrinė kamera. Kad palengvinti nusikaltėlių darbą, kartais vietoj PIN kodų įvedimą filmuojančios kameros, įdedama speciali klaviatūra, kuri registruoja įvedamus PIN kodus. 
Tokius modifikuotus bankomatus atskirti yra labai sunku, ypač jei nežinote kaip bankomatas atrodė prieš tai:
Bankomatas su įmontuota mokėjimo kortelių duomenų ir PIN kodų vogimo įranga

Pagal vogtus mokėjimo kortelių duomenis, bus pagamintos magnetinių kortelių kopijos, su kuriomis bus galima išimti pinigus iš bankomatų.
Šiuo atveju, jei tai nebuvo masinė bankui žinoma vagystė, bankas taip pat tikriausiai atsisakys atlyginti nuostolius, nes visos vagystės operacijos bus patvirtintos PIN kodu.

 

Kortelės duomenų ir PIN kodo vogimo įrangos sumontavimas atsiskaitymo kortelėmis terminale (POS)

Kortelių duomenų ir PIN kodo vogimo įranga montuojama ne tik bankomatuose, bet ir kituose atsiskaitymo kortelėmis įrenginiuose.
Atsiskaitymo mokėjimo kortelėmis terminalas
Šiuos įrenginius gamina daug gamintojų, todėl jų modelių yra labai įvairių. To pasekoje vartotojas neturi praktiškai nė mažiausios galimybės atskirti kuris įrenginys yra originalus ir nepažeistas, o kuriame yra nusikaltėlių sumontuota kortelių duomenų vogimo įranga. Naudojantis tokiu pažeistu atsiskaitymo įrenginiu bus pavogtas vartotojo PIN kodas ir pakankamai informacijos, kad padaryti magnetinės kortelės dublikatą (net jei naudojama mokėjimo kortelė su mikroschema).
Vienas žinomesnių tokių atvejų – kai į atsiskaitymo terminalus, dar prieš pateikiant juos parduotuvėms, Kinijoje buvo įmontuota papildoma, kortelių duomenis ir PIN kodus vagianti įranga, kuri kartą per dieną GSM tinklais išsiųsdavo pavogtus mokėjimo kortelių duomenis į Pakistaną. Ši įranga buvo atsitiktinai pastebėta tik po devynių mėnesių veikimo įvairiose Europos šalyse, o pavogtų pinigų suma galėjo svyruoti tarp 50 ir 100 milijonų dolerių.
University of Cambridge kompiuterijų laboratorija, nagrinėjanti mokėjimo kortelių nesaugumo problemas, linksmai pademonstravo kad netgi namų salygomis galima pakeisti atsiskaitymo terminalo įrangą taip, kad vartotojas to nepastebės – jie mokėjimo terminalą “išmokė” žaisti tetrį. Deja, nusikaltėliai įsilaužia į mokėjimo terminalus ne tam, kad žaisti tetrį, bet kad pavogti PIN kodus ir mokėjimo kortelių duomenis.

Neįtikėtina, bet Lietuvos bankai tokiu atveju, jei tai nebuvo masinė bankui žinoma vagystė, taip pat tikriausiai atsisakytų atlyginti nuostolius, nes vagystės operacijos būtų patvirtintos PIN kodu, o vartotojas neturėtų galimybės įrodyti, kad jo PIN kodas buvo pavogtas.

 

Bankomato programinės įrangos pakeitimai

Yra pasitaikę atvejų (aprašytų Lietuvos ir užsienio šaltiniuose), kad nusikaltėliai sugeba įsilaužti ir pakeisti bankomato programinę įrangą. Šie pakeitimai niekaip išoriškai matomi nebus. Toks bankomatas tiesiog atsimins visų jį naudojusių klientų kortelių duomenis ir PIN kodus, kurie vėliau bus panaudoti pagaminti padirbtoms mokėjimo kortelėms.

Deja, nuo tokios nusikaltėlių veiklos nukentėjęs mokėjimo kortelės savininkas Lietuvoje, jei tai nebuvo masinė bankui žinoma vagystė, tikriausiai būtų bankų apkaltintas “dideliu neatsargumu”, ir bankas atsisakytų atlyginti nuostolius.

 

Kodėl Lietuvoje už viską atsakingas vartotojas?

Egzistuoja ir daugiau sudėtingesnių techninių būdų pavogti PIN kodą bei kortelės duomenis – įsilaužimas į atsiskaitymus aptarnaujančius serverius, tinklu keliaujančių duomenų “pasiklausymas”, EMV protokolo spragų išnaudojimas galėtų būti tik keletas iš jų. Tarp nusikaltėlių ir bankų saugumo specialistų vyko ir vyks nesibaigianti kova – vieni bandys išnaudoti bankų mokėjimo kortelių sistemų saugumo spragas, kiti – jas pašalinti.
Neteisinga yra tai, kad Lietuvoje veikiantys bankai tokių vagysčių nuostolius bando perkelti ant savo klientų pečių, PIN kodo paslapties praradimo atveju apkaltindami jį “dideliu neatsargumu”, palankiai sau traktuodami įstatymus bei priversdami klientus pasirašyti sutartis, kuriose jie prisiima atsakomybę už visas PIN kodu patvirtintas operacijas. PIN kodu, kurį pavogti nėra sunku.