Pred Vianocami podvody na platobných kartách naberajú na intenzite a jeden z nich sa takmer skončil stratou vyše 1 000 eur. Mladá žena zo Žiliny zistila po prebudení, že z jej účtu odchádzajú stovky eur do Spojených štátov. Zasiahla však včas a vďaka bankovým procesom sa peniaze po niekoľkých dňoch vrátili späť.
K incidentu došlo v čase, keď mala bežnú nákupnú rutinu. Objednávala darčeky aj vybavenie do nového bývania, pričom využívala známe a overené e-shopy ako Alza, Brloh či Allegro. Všetko prebiehalo štandardne a tovar prichádzal bez problémov, takže nemala dôvod čokoľvek spochybňovať. Niekde počas tohto obdobia však zrejme došlo k úniku údajov z jej platobnej karty.
Ranný šok z účtu
Nepríjemná situácia sa naplno ukázala skoro ráno, keď ju zobudili opakované upozornenia v mobile. Notifikácie signalizovali platby, ktoré v rýchlom slede smerovali na účet subjektu označeného ako národný park v americkom Las Vegas. Išlo o typický vzorec automatizovaného útoku, pri ktorom sa testujú rôzne sumy, aby aspoň časť z nich prešla.
Z účtu sa postupne pokúsili stiahnuť približne 600, 500, 400 a 300 eur. Dve transakcie systém zamietol, ďalšie však boli autorizované, pričom celková blokovaná suma presiahla 1 000 eur. Žilinčanka okamžite kontaktovala Tatra banku, kartu nechala zablokovať a podala reklamáciu. Podľa známeho z polície však mala počítať s tým, že ak by sa platby v USA zúčtovali, šanca na ich návrat by bola veľmi nízka.
Rozdiel medzi blokáciou a zúčtovaním
Rozhodujúci moment prišiel až o niekoľko dní neskôr. Banka informovala klientku, že sporné platby neboli definitívne zúčtované, a preto sa peniaze uvoľnili späť na účet. Pri kartových transakciách totiž suma najskôr prejde len autorizáciou, teda dočasnou blokáciou, ktorá zníži disponibilný zostatok. K reálnemu presunu peňazí dochádza až vtedy, keď obchodník transakciu finálne zúčtuje.
V tomto prípade sa platby do finálnej fázy nedostali. Buď ich bankové systémy vyhodnotili ako podozrivé, alebo útočník proces nedokončil. Výsledkom bolo, že účet technicky o peniaze nikdy neprišiel, hoci krátkodobo vyzeral ako vybielený. Prípad zároveň otvoril otázku, prečo banka pri vysokých sumách do zahraničia nevyžadovala dodatočné potvrdenie cez 3D Secure.
Ako dochádza k únikom údajov
Vysvetlenie je v kombinácii správania používateľov a rozdielnych bezpečnostných štandardov. Údaje z karty sa nemusia stratiť priamo v e-shope, ale napríklad cez phishingové správy, ktoré sa tvária ako oznámenie od kuriéra či obchodu. Človek, ktorý reálne čaká balík, často klikne na podvodný odkaz a zadá kartaové údaje na falošnej platobnej bráne. Ak sa následne použijú u zahraničného obchodníka bez povinného druhého overenia, banka transakciu pustí.
Odborníci preto odporúčajú preventívne opatrenia. Najvyššiu mieru ochrany poskytujú jednorazové virtuálne karty, ktoré po použití zaniknú. Rovnako pomáha nastavenie nízkych limitov pre internetové platby a ich dočasné zvýšenie len v čase nákupu. Príbeh zo Žiliny ukazuje, že rýchla reakcia a správne nastavené služby môžu rozhodnúť o tom, či peniaze klient stratí, alebo sa mu vrátia späť.
