Internetové obchody a kreditní karty

Společnosti zabývající se elektronickým obchodováním se nutně musí zaměřovat na to, aby se jejich zákazníci cíti...


Společnosti zabývající se elektronickým obchodováním se nutně musí zaměřovat na
to, aby se jejich zákazníci cítili ve virtuálním obchodě bezpečně. Dosažení
stejné úrovně bezpečnosti pro samotné obchodníky je však mnohem složitějším
problémem.
Hlavní ohrožení přinášejí falešné kreditní karty, jež jsou používány pro platbu
ve většině virtuálních obchodů. Právě proto někteří IT odborníci tvrdí, že s
e-obchodováním není třeba spěchat.
"Jeden nebo dva zloději s kradenými kreditními kartami mohou obchodníka téměř
okamžitě připravit o velkou část výdělku právě pomocí vnějšího přístupu na WWW
stránky," tvrdí Jim Shanks, CIO v počítačovém maloobchodě CDW Computer Center
Illinois.
Přemýšlíte, zda je příslušná kreditní karta kradená? Desetiminutové hledání
několika redaktorů amerického Computerworldu na Webu objevilo půl tuctu
aplikací generujících číslo kreditní karty, dále průvodce identifikačním
systémem banky a instrukce pro "carding" neboli pro použití kradených
kreditních karet. To jsou ale jen některé z mnoha rozličných prostředků a metod
používaných těmi, které můžeme s klidným svědomím nazvat zloději.
Jak zloději pracují
Čísla kreditních karet obsahují vestavěný matematický test, označovaný jako
"checksum" kontrolní součet. Aplikace pro generování čísel kreditních karet
zjišťují bankovní čísla v podstatě velmi jednoduše zadáte první čtyři cifry
hlavního čísla kreditní karty, a ta vygeneruje matematicky platné číslo, které
projde testem kontrolního součtu.
Nicméně si u cardingu musíte dát další práci, abyste zjistili, zda vygenerované
číslo patří aktivní kartě. Proto je mnohem snazší koupit kartu kradenou. Číslo
aktivní a tedy platné kreditní karty s datem platnosti je možné pořídit on-line
za necelých 25 dolarů. To tvrdí Ramzi Saffouri, zkušený konzultant prodeje
speciálního softwaru pro odhalování podvodů Advanced Software Applications z
Pittsburghu.
Podle zjištění známého úřadu pro vyšetřování závažných zločinů, Federal Bureau
of Investigation, můžete na černém trhu koupit přibližně za 40 dolarů sadu
magnetických pásků a hologramů potřebných pro tvorbu fyzických, avšak
padělaných karet. Číslo, které byste na kartu měli vyrazit, přitom zjistíte
jedním z výše uvedených způsobů.
Mnoho komerčních webových stránek, zvláště těch náležejících do skupiny tzv.
menších, zanedbává přiměřenou ochranu databáze zákazníků. Databáze, obsahující
mnoho osobních údajů včetně čísel kreditních karet, jsou tedy lehkým cílem
profesionálního útoku zlodějů hledajících informace o kreditních kartách,
upozorňuje Saffouri.
Banky a velké elektronické obchody jsou proti útoku naopak chráněny poměrně
dobře, tvrdí tentýž muž. V maloobchodě je však pořád velmi snadné dostat se k
zákaznickým datům. Stoupající měrou dnes slýcháme dokonce o zlodějích
kradoucích rovnou celé servery, z nichž poté získají nejen data o kreditních
kartách, ale i mnohé další údaje.
Zloději se též mohou zásobit tzv. "cikánskými" platebními kartami. Založí
obchod virtuální či kamenný a nasadí podezřele nízké ceny. Během několika dnů
tak většinou získají celou řadu objednávek a spolu s nimi i informace o
stovkách platebních karet. Když se rozhodnou, že je jich dostatečné množství,
jednoduše obchod zavřou a firmu nechají zkrachovat. Pokud nevyužijí
nashromážděných dat sami, prodají je on-line na Internetu nejvyšší nabídce.
Další podvodníci předstírají, že jsou zaměstnanci velké společnosti poskytující
služby tisícům uživatelů, které telefonicky obvolávají s tím, že chtějí
potvrdit došlou platbu. Podle Billa Burnhama, analytika pro elektronický obchod
v Credit Suisse First Boston Bank ze San Francisca, se vždy se najde nějaký
nováček, který jim uvěří. Jednou ze společností, za kterou se podvodníci s
oblibou vydávají, je např. America Online.
"Pro ukradení čísla kreditní karty však nemusíte být ani počítačový odborník,
který se dostane do cizího systému zvenku, ani zloděj přehazující server přes
plot, ba ani někdo, kdo umí vzbudit důvěru. Úplně vám postačí pracovat v
restauraci nebo ve videoobchodě," poznamenává Saffouri.
Omezení podvodů
"Pro nově vzniklé elektronické obchody není neobvyklé, že se zde poměr
podvodných transakcí pohybuje mezi 8 až 20 %. Jestliže však dodržujete správné
postupy, můžete se dostat pod 1 nebo 2 procenta," říká Audri Lanford, vlastník
společnosti Netrageous, jejíž stránka Internet ScamBusters obsluhuje okolo 50
000 elektronický obchodů.
Společnost používá pro odhalení neobvyklého postupu nákupu pomocí kreditní
karty vyspělých bankovních technologií a technologií pro kontrolu platnosti
kreditních karet. Technologie jsou založeny na systému umělé inteligence.
Jednotlivé obchody pak tyto "ověřovací" služby mohou za poplatek používat, a
získat tímto způsobem úplnou kontrolu nad finanční stránkou transakcí. Servisní
personál jednotlivých obchodů přitom tvrdí, že je to řešení velmi účinné, avšak
také velmi drahé.
Majitel jednoho velkého virtuálního obchodního domu předkládá své řešení:
"Naučili jsme se, že musíme mít za každým internetovým procesem jednoho člověka
v pozadí, jehož jedinou prací je sledování a vyhodnocování toho kterého
procesu."
"Čím více to stojí, tím více se někdo pokouší to ukrást," tvrdí William
Headapohl, prezident elektronické distribuce softwaru ve společnosti
BuyDirect.com. "Jedním z našich prvních obranných kroků bylo, že jsme přestali
prodávat pomocí on-line skutečně drahé produkty."
Nejlepší společnosti zabývající se obrannými způsoby a prostředky neustále
monitorují všechny procesy, k nimž dochází u typického on-line nákupu.
Administrátoři záložkují adresy, které nelze ověřit, či vykazují některé z
podezřelých detailů. "Velmi často je to jen otázka citu. Jestliže někdo tvrdí,
že je z Velké Británie, jeho karta byla vydána v Japonsku a adresa dodání je
Beverly Hills, pak musíme telefonovat a vše důkladně prověřit," tvrdí
zaměstnanec jedné takové společnosti.
Mnoho komerčních subjektů včetně leteckých společností dnes odmítá provedení
finanční transakce v případě, že adresa majitele karty nesouhlasí s místem
jejího vystavení.
Úloha bank
Banky budou muset v nejbližší budoucnosti přijmout alespoň část odpovědnosti za
případné podvody, jestliže se s obchody dohodnou na provádění hlubších kontrol.
"Jestliže dodáváme zboží na stejnou adresu, ze které je placeno, žádáme banku o
ověření totožnosti karty i jejího majitele, které archivujeme některé banky nám
bohužel v současné době nevycházejí příliš vstříc. Poté by totiž musely nést
svůj díl odpovědnosti za provedenou falešnou transakci," říká majitel jednoho z
větších e-obchodů. "Touto cestou sice oba můžeme ztratit zisk, který by se
transakcí vygeneroval, ale nic víc. Falešná karty by totiž byla k dalším
nekalým aktivitám již nepoužitelná."
"Řízení ochrany elektronického obchodu by nemělo příliš klást tak velký důraz
na datum platnosti karty," říká jeden technický zasvěcenec. Některé systémy
skutečně kontrolují pouze to, zda je karta platná, a na fakt, zda se uvedené
údaje kompletně shodují se specifikací karty se příliš nesoustředí.
Generátory čísel kreditních karet mohou vyprodukovat ze stovek pokusů pouze
několik platných kreditních karet. Proto existuje na Internetu velké množství
míst, kde dochází k výměně dat o platebních kartách pro potřeby kriminálních
živlů. Kromě čísel použitelných falešných karet, jež jsou na prodej, jsou na
serverech k dispozici tisíce čísel čekajících na zpracování "odborníky".
"Mohou dát do oběhu 100 i více karet za den," říká jeden bezpečnostní
specialista. Stejně jako na Webu existují stránky pro zloděje, existuje jich
spousta i pro ty, kteří se chtějí bránit. Naleznete zde popisy mnoha
zločineckých praktik a většinou i "zaručeně bezpečný" systém pro odhalování
podvodů. Za ten musíte samozřejmě zaplatit, což se obzvláště mladým,
začínajícím firmám může zpočátku zdát jako zbytečná investice. Praxe je však
většinou brzy přesvědčí o opaku.
Slovníček podvodnických pojmů
Address Verification System (AVS)
Systém pro porovnání adresy držitele karty se záznamy banky, používaný v
několika státech včetně USA. AVS všeobecně nepřekračuje hranice státu.
Carding
Získávání a používání čísel kradených kreditních karet.
Card Generator
Software vytvářející a někdy i testující čísla kreditních karet.
Cardholder Verification Value
Identifikační kód na magnetickém pásku karty. Při provádění transakce musí toto
číslo odpovídat příslušnému kódu banky majitele karty.
Card-Present Transaction
Někdy též tzv. face-to-face transakce, což je transakce zahrnující fyzickou
kreditní kartu, kde má obchodník k dispozici podpis držitele kreditní karty a
magnetický pásek pro ověření autentičnosti. Banka je v tomto případě plně
zodpovědná za falešné transakce vyjma zavinění nedbalostí prodejce.
Floor Limit
Minimální částka, která uvede do provozu ověření transakce. V Evropě je floor
limit roven 100 dolarům, 99dolarová transakce není kontrolována. V USA není
floor limit žádný, všechny transakce musí být autorizovány.
Gypsy Site
Website funguje jako maska legitimního obchodu a slibuje pohádkové výhody tomu,
kdo nakoupí s kreditní kartou. Tyto obchodníci neexistují, webmaster sbírá
čísla kreditních karet pro další prodej.
Skimming
Získání zašifrovaných dat držitele kreditní karty na magnetickém pásku kreditní
karty s cílem včlenit je na prázdnou kartu (White Card).
White Card
Nelegálně vyrobená kreditní karta obsahující magnetický pásek a hologram.

9 1355 / ija









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.