Ova stranica istražuje tri glavna oblika napada na kartice: phishing, skimming i BIN napade, pružajući uvid u njihove karakteristike i metode izvođenja. Kao primjer HackBB, dark web platforme specijalizirane za trgovinu ukradenim podacima, dan je uvid da kriminalci svakodnevno iskorištavaju ove tehnike. Nadalje, istražuju se 3-D Secure protokol, dvofaktorska autentifikacija i virtualne kartice kao napredne sigurnosne mjere u online plaćanjima.
Ključne riječi: phishing, skimming, BIN napadi, HackBB, 3-D Secure, 2FA, virtualna kartica
U današnje doba tehnologije, gdje su elektroničke transakcije postale neizostavan dio svakodnevnog života, napadi na bankovne kartice predstavljaju ozbiljan izazov. Bankovne kartice, bilo da su debitne ili kreditne, često su meta napada hakera i kriminalaca koji koriste različite tehnike kako bi neovlašteno pristupili financijskim sredstvima korisnika. U nastavku stranice će se istražiti različite vrste napada kao i načini kojima se isti nastoje suzbiti.
Postoji širok spektar napada na bankovne kartice. U ovom poglavlju bit će opisani oni najpoznatiji, a to su phishing, skimming i BIN napadi.
Phishing je vrsta napada društvenog inženjeringa gdje napadači koriste lažnu e-poštu, tekstualne poruke ili web stranice, tj. tehnike manipulacije, s ciljem da korisnik otkrije osjetljive podatke kao što su vjerodajnice za prijavu i podaci o kreditnoj kartici. Phishing poruka izgledat će kao da dolazi od izvora kojem vjerujete, kao npr. banke ili porezne uprave. Klikom na dobiveni link, podaci korisnika izravno idu napadaču.[1]
Skimming je oblik napada na bankovne kartice gdje napadač koristi uređaj po nazivu skimmer da ukrade podatke o bankovnoj kartici. Napadači pričvršćuju skimmer na bankomate ili terminale na prodajnim mjestima kao što su samoposlužne blagajne. Skimer zatim zabilježi podatke magnetske trake kartice, koji se zatim koriste za izradu krivotvorenih kartica ili za lažne kupnje.
Najčešće će napadači uz skimmer postaviti male kamere ili prevlake za tipkovnice bankomata kako bi snimili korisnikov PIN. Ti se podaci koriste za neovlaštena podizanja novca ili kupnje.[1]
BIN (engl. banking identification number) napad uključuje uzimanje prvih šest do osam znamenki koje se nalaze na svakoj kreditnoj i debitnoj kartici te pogađanje ostalih detalja kako bi se dobio pristup kartici. Svrha BIN-a jest identifikacija izdavatelja kartice, tj. banke, tijekom transakcija. Slika 1 objašnjava broj koji se nalazi na karticama te koji dio tog broja je BIN.
Slika 1. Shematski prikaz broja kartice[2]
BIN napadi sastoje se od tri koraka, a to su: prikupljanje, validacija i testiranje. Postupak je relativno jednostavan, ali ga najčešće provode kriminalne organizacije i skupine posebno posvećene ovoj vrsti prijevare.
U koraku prikupljanja napadač će pokušati generirati informacije kartice pomoću BIN-a određene banke koji je najčešće javno dostupan. Koristit će softvere i algoritme za generiranje ostatka broja kartice i drugih detalja kao što je CVV kod. Nakon brute force generiranja kartice, napadač će potvrditi valjanost kartice provođenjem malih transakcija. Ako male transakcije budu uspješne, kartica se smatra krekanom te se pohranjuje u bazu podataka kako bi se prodala za najvišu ponudu.[2]
HackBB je bio Tor specijaliziran za kupnju ukradenih kreditnih kartica, skeniranje bankomata i hakiranje računala, poslužitelja i računa. Stranica je često bila odredište za hakirane i ukradene podatke.
Stranica je osnovana u ranijim danima Tora. U ožujku i svibnju 2013. godine jedan od administratora uništio je HackBB bazu podataka. Nakon tog napada, Tor se oporavio, ali je izgubio povjerenje svog hosta te se u konačnici ugasio u kolovozu 2013.[3]
Najčešći napadi na kartice su oni prijevare online plaćanja bez prisustva fizičke kartice (engl. card-not-present, CNP). Kako bi se smanjila mogućnost takvih napada, uvodi se protokol po nazivu 3-D Secure.
3-D Secure je dodatna autorizacijska shema korištena u online plaćanjima koja koristi entitete s tri odvojene domene. Online trgovina prvo prima podatke o plaćanju i preusmjerava korisnika na sustav za plaćanje gdje je potrebno unijeti jednokratni kod. Na posljetku banka provjerava kod te šalje zahtjev koji potvrđuje ili odbija transakciju natrag online trgovini. Problemi s 3-D Secure načinom zaštite od napada je što trgovine, kao npr. Amazon, ga još nisu ukomponirale u način rada. Na slici 2 shematski je prikazan rad 3-D Secure protokola.
Slika 2. Shema 3-D Secure protokola[4]
U Ujedinjenom Kraljevstvu 2018. godine otkrivena je prijevara u kojoj su napadači objavljivali oglase na društvenim mrežama u kojima su nudili 50 % popusta na dostavu pizze velikog brenda. Taj brend nije koristio 3-D Secure na svojoj stranici, a plaćanja su vršena ukradenim karticama. Napadači su tako dobili £1 opranog novca za svake £2 potrošene na pizzu s ukradene kartice.[5]
Dvofaktorska autentifikacija(2FA) sigurnosni je proces u kojem korisnici daju dva različita faktora autentičnosti kako bi potvrdili svoj identitet. Dvofaktorska autentifikacija je implementirana kako bi se bolje zaštitile vjerodajnice i podaci korisnika. Ona pruža višu razinu sigurnosti od jednofaktorske autentifikacije, u kojoj se koristi samo jedan faktor, obično lozinka. Metode provjere autentičnosti u 2FA sastoje se najčešće od lozinke kao prvog faktora te sigurnosnog tokena ili biometrijskog faktora kao drugog. Ona dodaje dodatni sloj sigurnosti i napadačima otežava pristup računima čak i ako je lozinka korisnika hakirana.[6]
Broj virtualne kartice povezan je s računom kreditne ili debitne kartice, ima jedinstvenu oznaku od 16 brojeva, CVV i datum isteka koji se generira za jednokratnu upotrebu što je jako korisno za online kupovinu. Ako dođe do kompromitacije virtualne kartice, fizička kartica će i dalje biti sigurna. Izbjegava se korištenje stvarnog broja kartice što smanjuje rizik od prijevare i nudi dodatnu razinu zaštite.[7]
Napadi na bankovne kartice su ozbiljan izazov u modernom digitalnom okruženju, gdje elektroničke transakcije postaju sveprisutne u svakodnevnom životu. Analizom phishinga, skimminga i BIN napada jasno je koliko je jednostavno postati žrtvom prijevare. Na primjeru HackBB, vidimo kako se te tehnike aktivno koriste na dark webu. Iako napredne sigurnosne mjere, poput 3-D Secure protokola, 2FA-a i korištenje virtualnih kartica, nastoje smanjiti rizik od online prijevara, napadači i dalje pronalaze načine za izbjegavanje detekcije. Suočavanje s ovim prijetnjama zahtijeva suradnju između korisnika, banaka i trgovina, čime se postavlja ključna uloga u očuvanju financijske sigurnosti.
[1] https://stripe.com/en-hr/resources/more/six-types-of-payment-fraud
[2] https://nordvpn.com/blog/what-is-a-bin-attack/
[3] https://dbpedia.org/page/HackBB
[5] https://hackmag.com/security/credit-cards-fraud/
[6] https://www.techtarget.com/searchsecurity/definition/two-factor-authentication
[7] https://www.usatoday.com/money/blueprint/credit-cards/what-is-a-virtual-card-number/