Przestępcy kradną środki z naszych kart płatniczych w skokowym tempie. Podczas gdy w 2020 r.
przestępcy ukradli w ten sposób 38,5 mln zł, to już w 2021 r. było to 57,6 mln zł. Eksperci ostrzegają, że jeśli takie tempo się utrzyma, to za 2 lata cyberprzestępcy mogą ukraść z naszych kart płatniczych 100 mln zł…. Całkowita liczba oszustw, związanych z kartami płatniczymi w Polsce wzrosła do ponad 200 tysięcy rocznie – wynika z analiz NBP.
O tym, że nasz sektor bankowy (finansowy) i jego klienci są na celowniku hakerów ostrzegano od dawna.
Najnowsze dane firmy Check Point Software wskazują, że polski sektor finansowo-bankowy jest drugim, najbardziej zagrożonym pod względem ilości ataków – co tydzień dochodzi do 1067 ataków na tego typu instytucje. To znacznie więcej niż średnia na świecie – 1034. Jak wyjaśnia Wojciech Głażewski, dyrektor zarządzający firmy Check Point Software Technologies w Polsce, hakerzy posługują się coraz bardziej wyrafinowanymi technikami przejęcia danych osobowych, kart płatniczych i środków finansowych.
Z roku na rok przestępcy są coraz bardziej skuteczni, opracowują coraz więcej technik, aby wzbogacić się, zyskując dostęp do cudzych kart płatniczych. Zdaniem autorów Nilson Report, globalne straty wynikające z oszustw związanych z kartami kredytowymi osiągną w ciągu pięciu lat 43 miliardy USD. Tymczasem całkowita wartość oszustw na świecie, związanych z kartami płatniczymi w ciągu następnej dekady będzie kosztować branżę łącznie 408,50 miliardów USD.
Kradzież danych i środków z kart płatniczych to duży problem dla Polski. Nasz kraj (dane PwC) należy bowiem do grupy 10 państw świata, które przodują w płatnościach kartami płatniczymi zbliżeniowych. W Polsce aktywnych jest ponad 30 mln kart płatniczych, wśród których zdecydowanie dominują karty debetowe (82,1%) przed kredytowymi (12,3%) i przedpłaconymi (5,2%). W Polsce działa ponad 1 mln terminali płatniczych POS, z których wszystkie obsługiwały płatności zbliżeniowe (Min.Fin.) Z badania firmy Mastercard wynika, że w 2021 roku, 82,7% respondentów skorzystało z bezgotówkowych form płatności, wśród których najpowszechniej stosowana była karta płatnicza.
Rosnąca popularność płatności kartą w sklepach i Internecie stworzyła ogromny rynek dla wrogiej działalności hakerskiej. Oszustwa detaliczne szybko rosną, a cyberprzestępcy atakują terminale w punktach sprzedaży (PoS) oraz transakcje Online, aby ukraść dane osobowe, hasła i środki finansowe z kart kredytowych. Według badacza bezpieczeństwa Williama Thomasa, cyberprzestępcy w lutym 2022 roku zaatakowali użytkowników kont mobilnych i kart wielowalutowych Monzo i Revolut, próbując uzyskać dostęp do ich danych uwierzytelniających. O ile Monzo jest usługą dostępną w Wielkiej Brytanii, o tyle Revolut cieszy się w Polsce rosnącą popularnością. Specjaliści ds. bezpieczeństwa już od dawna powtarzają, by z dużą ostrożnością podchodzić do wszelkich wiadomości otrzymywanych na mail lub SMS, zachęcających do kliknięcia w linki ‘’od banku’’. Grozi to przejęciem danych kart płatniczych. Podobnie jest z bankami, wystawiającymi te karty.
– Banki potrzebują zabezpieczeń, które odpowiadają potrzebom zmieniającego się otoczenia biznesowego. To klucz do bezpiecznego przesyłania setek terabajtów danych, zapewnienia niskiego poziomu opóźnień w transakcjach finansowych o wysokiej częstotliwości i skalowania zabezpieczeń w celu wsparcia szybko rozwijającego się biznesu, jakim jest handel online – podkreśla W.Głażewski.
Z danych NBP wynika, że wśród transakcji oszukańczych dominujący udział stanowią transakcje dokonane poza terytorium RP kartami wydanymi w Polsce. W 2021 roku, pod względem liczby było to 78,4%, natomiast pod względem wartości 86,6% takich transakcji. Okazuje się, że dominującą część oszustw w transakcjach bezgotówkowych stanowiły przestępstwa typu CNP (card not present), których pod względem liczby było 85 proc., a pod względem wartości 89 proc. Transakcje typu card not present to transakcje kartą niewymagające fizycznego użycia karty płatniczej, takie jak zamówienie pocztowe (Mail Order), zamówienie telefoniczne (Telephone Order), zamówienie internetowe (Internet Order). Transakcje te dokonywane są na podstawie danych, skopiowanych z karty lub podawanych przez klienta… Czy oznacza to, że brak uwagi czyni nas ofiarami ataków?
Tak przynajmniej wynika z badań CardRates.com przeprowadzonych w 2021 roku w USA wśród posiadaczy kart płatniczych. Okazuje się, że mniej niż 1/5 posiadaczy kart (18%) uważa, że ochrona przed oszustwami to ich odpowiedzialność. Ponadto 32% konsumentów uważa, że to banki i firmy obsługujące karty kredytowe powinny ponosić ciężar ochrony przed oszustwami, a 48% wskazuje marki internetowe jako właściwe do ponoszenia odpowiedzialności za ochronę klientów przed oszustwami i kradzieżą tożsamości.
Tymczasem Polacy z kart płatniczych coraz chętniej korzystają w miejscach, gdzie przestępcy mogą łatwo je przechwycić – w centrach handlowych i sklepach wielkopowierzchniowych (76%), a także na stacjach benzynowych (52%). Wśród badanych przez Warszawski Instytut Bankowości (WIB 2022), 36% uważa również, że rozwój nowoczesnych płatności w Polsce powinien przyspieszyć. Tak powszechne stosowanie kart płatniczych wiąże się ze zwiększonym ryzykiem ataku cyberprzestępców. Jedną z najczęściej stosowanych metod kradzieży jest kopiowanie danych z paska magnetycznego karty, w celu stworzenia jej duplikatu. Dzięki temu złodzieje mogą z łatwością dokonywać transakcji „sklonowaną” kartą bez wiedzy i zgody właściciela. Tak właśnie dochodzi do skimmingu, którego ofiarą można paść przy sklepowej kasie, korzystając z terminalu, ale też używając bankomatu, w którym zainstalowano urządzenia umożliwiające w konsekwencji kradzież naszych pieniędzy. Brytyjski dziennik Financial Times opisywał ostatnio sprawę masowego skimmingu w restauracji londyńskiego hotelu Ritz, do którego doszło w 2020 roku. System rezerwacji miejsc, zawierający wiele, poufnych danych – w tym kart kredytowych gości, został sklonowany i wykorzystany przez cyberprzestępców.
– Ilość i skala danych przetwarzanych przez sieci hoteli jest wyjątkowo wartościowym łupem dla hakerów, stąd należy oczekiwać, że firmy te będą bardzo restrykcyjnie podchodzić do sprawy zabezpieczenia cybernetycznego – podkreśla Wojciech Głażewski z Check Point.
Ekspert podkreśla, że po wejściu w posiadanie danych karty (fizycznie lub elektronicznie) wykonywany jest tzw. klon (white plastic). Karta ta zachowuje się jak oryginał i pozwala złodziejowi realizować transakcje zarówno podczas fizycznego użycia karty płatniczej w terminalu (card present) lub płatności w internecie (tryb card not present). Przy użyciu fałszywej karty może zapłacić za zakupy stacjonarnie. Do płatności w Online nie musi nawet tworzyć nowego „plastiku” – wystarczy podać skradzione dane w bramce płatności w internecie. Karta płatnicza skopiowana przez hakera, pozwala nie tylko na pobranie środków w ramach limitu, ale zaciągnięcie kredytu i obciążenie właściciela karty spłatą zobowiązań, na które nigdy się nie decydował.
Kradzież danych kart płatniczych na świecie – Jak duży jest to problem?
Z analizy firmy Security.com z 2021 roku wynika, że ofiarami kradzieży danych lub oszustw związanych z kartami płatniczymi (m.in. skimmingu) padła na świecie ponad połowa użytkowników (58%), a 9% padło ofiarą co najmniej cztery razy. Potwierdzają to badania Consumer Payment Choice, przeprowadzonego przez Bank Rezerwy Federalnej w Atlancie (USA), które wykazały, iż 3,5% posiadaczy kart kredytowych w 2020/2021 r. stwierdziło, że w ciągu ostatnich 12 miesięcy doświadczyli utraty, kradzieży lub oszustwa związanego z ich kartą kredytową.
Federalna Komisja Handlu (FTC) uważa oszustwa związane z kartami kredytowymi za formę kradzieży tożsamości. Według danych FTC z początku 2022 r. oszustwa związane z kartami kredytowymi są konsekwentnie najczęściej zgłaszanym rodzajem kradzieży tożsamości od 2017 r. Statystyki FTC odzwierciedlają tylko przypadki oszustw, które zostały zgłoszone agencji – a większość przypadków oszustw nigdy nie jest zgłaszana.
Co ciekawe, cyberprzestępcy najczęściej celują w karty znanych firmy: Visa, Mastercard, American Express, Diners Club, JCB. Ataki na karty z tymi znakami stanowiły w 2021 roku 81,44% globalnego wolumenu. Jak podają analitycy Nilson Report, w 2030 r. – kiedy całkowity wolumen na wszystkich kartach płatniczych ma osiągnąć 79,140 bln USD straty z tytułu oszustw mają wynieść 49,32 mld USD, czyli 6,23 centów za 100 USD.
A ile kosztuje na rynku skradziona karta? Oszuści płacą mniej niż 5 USD za przeciętny zapis na koncie karty płatniczej, w tym numer CVV. Przeciętny rekord, w tym imię i nazwisko ofiary, numer ubezpieczenia społecznego i data urodzenia, wynosi nieco ponad 100 USD. (źródło: CardRates.com).
