Ova stranica istražuje tri glavna oblika napada na kartice: phishing, skimming i BIN napade, pružajući uvid u njihove karakteristike i metode izvođenja. Kao primjer HackBB, dark web platforme specijalizirane za trgovinu ukradenim podacima, dan je uvid da kriminalci svakodnevno iskorištavaju ove tehnike. Nadalje, istražuje se 3-D Secure protokol kao napredna sigurnosna mjera u online plaćanjima te se ističe važnost razumijevanja tih prijetnji za očuvanje financijske sigurnosti u suvremenom digitalnom okruženju.

Ključne riječi: phishing, skimming, BIN napadi, HackBB, 3-D Secure

U današnjem dobu tehnologije, gdje su elektroničke transakcije postale neizostavan dio svakodnevnog života, napadi na bankovne kartice predstavljaju ozbiljan izazov. Bankovne kartice, bilo da su debitne ili kreditne, često su meta sofisticiranih napada hakera i kriminalaca koji koriste različite tehnike kako bi neovlašteno pristupili financijskim sredstvima korisnika. U nastavku stranice će se istražiti različite vrste napada kao i načini kojim se nastoje suzbiti.

Postoji širok spektar napada na bankovne kartice. U ovom poglavlju bit će opisani oni najpoznatiji, a to su phishing, skimming i BIN napadi.

Phishing je vrsta napada društvenog inženjeringa gdje napadači koriste lažnu e-poštu, tekstualne poruke ili web stranice, tj. tehnike manipulacije, s ciljem da korisnik otkrije osjetljive podatke kao što su vjerodajnice za prijavu i podaci o kreditnoj kartici. Phishing poruka izgledat će kao da dolazi od izvora kojem vjerujete, kao npr. banke ili porezne uprave. Klikom na dobiveni link, podaci korisnika izravno idu napadaču.[1]

Skimming je oblik napada na bankovne kartice gdje napadač koristi uređaj po nazivu skimmer da ukrade podatke o bankovnoj kartici. Napadači pričvršćuju skimmer na bankomate ili terminale na prodajnim mjestima kao što su samoposlužne blagajne. Skimer zatim zabilježi podatke magnetske trake kartice, koji se zatim koriste za izradu krivotvorenih kartica ili za lažne kupnje.

Najčešće će napadači uz skimmer postaviti male kamere ili prevlake za tipkovnice bankomata kako bi snimili korisnikov PIN. Ti se podaci koriste za neovlaštena podizanja novca ili kupnje.[1]

BIN (engl. banking identification number) napad uključuje uzimanje prvih šest do osam znamenki koje se nalaze na svakoj kreditnoj i debitnoj kartici te pogađanje ostalih detalja kako bi se dobio pristup kartici. Svrha BIN-a jest identifikacija izdavatelja kartice, tj. banke, tijekom transakcija. Slika 1 objašnjava broj koji se nalazi na karticama te koji dio tog broja je BIN.

                    Slika 1. Shematski prikaz broja kartice[2]

BIN napadi sastoje se od tri koraka, a to su: prikupljanje, validacija i testiranje. Postupak je relativno jednostavan, ali ga najčešće provode kriminalne organizacije i skupine posebno posvećene ovoj vrsti prijevare.

U koraku prikupljanja napadač će pokušati generirati informacije kartice pomoću BIN-a određene banke koji je najčešće javno dostupan. Koristit će softvere i algoritme za generiranje ostatka broja kartice i drugih detalja kao što je CVV kod. Nakon brute force generiranja kartice, napadač će potvrditi valjanost kartice provođenjem malih transakcija. Ako male transakcije budu uspješne, kartica se smatra krekanom te se pohranjuje u bazu podataka kako bi se prodala za najvišu ponudu.[2]

HackBB je bio Tor specijaliziran za kupnju ukradenih kreditnih kartica, skeniranje bankomata i hakiranje računala, poslužitelja i računa. Stranica je često bila odredište za hakirane i ukradene podatke.

Stranica je osnovana u ranijim danima Tora. U ožujku i svibnju 2013. godine jedan od administratora uništio je HackBB bazu podataka. Nakon tog napada, Tor se oporavio, ali je izgubio povjerenje svog hosta te se u konačnici ugasio u kolovozu 2013.[3]

Najčešći napadi na kartice su oni prijevare online plaćanja bez prisustva fizičke kartice (engl. card-not-present, CNP). Kako bi se smanjila mogućnost takvih napada, uvodi se protokol po nazivu 3-D Secure.

3-D Secure je dodatna autorizacijska shema korištena u online plaćanjima koja koristi entitete s tri odvojene domene. Online trgovina prvo prima podatke o plaćanju i preusmjerava korisnika na sustav za plaćanje gdje je potrebno unijeti jednokratni kod. Na posljetku se banka provjerava kod te šalje zahtjev koji potvrđuje ili odbija transakciju natrag online trgovini. Problemi s 3-D Secure načinom zaštite od napada je što trgovine, kao npr. Amazon, ga još nisu ukomponirale u način rada. Na slici 2 shematski je prikazan rad 3-D Secure protokola.

                    Slika 2. Shema 3-D Secure protokola[4]

U Ujedinjenom Kraljevstvu 2018. godine otkrivena je prijevara u kojoj su napadači objavljivali oglase na društvenim mrežama u kojima su nudili 50 % popusta na dostavu pizze velikog brenda. Taj brend nije koristio 3-D Secure na svojoj stranici, a plaćanja su vršena ukradenim karticama. Napadači su tako dobili £1 opranog novca za svake £2 potrošene na pizzu s ukradene kartice.[5]

Napadi na bankovne kartice su ozbiljan izazov u modernom digitalnom okruženju, gdje elektroničke transakcije postaju sveprisutne u svakodnevnom životu. Analizom phishinga, skimminga i BIN napada jasno je koliko je jednostavno postati žrtvom prijevare. Na primjeru HackBB, vidimo kako se te tehnike aktivno koriste na dark webu. Iako napredne sigurnosne mjere, poput 3-D Secure protokola, nastoje smanjiti rizik od online prijevara, napadači i dalje pronalaze načine za izbjegavanje detekcije. Suočavanje s ovim prijetnjama zahtijeva suradnju između korisnika, banaka i trgovina, čime se postavlja ključna uloga u očuvanju financijske sigurnosti.

[1] https://stripe.com/en-hr/resources/more/six-types-of-payment-fraud

[2] https://nordvpn.com/blog/what-is-a-bin-attack/

[3] https://dbpedia.org/page/HackBB

[4] https://3dsecure2.com/

[5] https://hackmag.com/security/credit-cards-fraud/