Przestępstwa z wykorzystaniem kart płatniczych

Od wielu lat trwa wyścig pomiędzy przestępcami a organami ścigania oraz organizacjami płatniczymi i bankami, którym zależy na bezpieczeństwie stosowanych rozwiązań. Postęp technologiczny powoduje, że karty są coraz lepiej zabezpieczone, jednak ten sam postęp dostarcza przestępcom coraz to nowych narzędzi do łamania tych zabezpieczeń.

Pewne jest, że nie można całkowicie wyeliminować przestępczości związanej z kartami. Nie uczynią tego ani najlepsze zabezpieczenia, ani najlepsze prawo. Należy jednak dążyć do marginalizacji tego zjawiska. Można tego dokonać poprzez szybkie wdrażanie najnowszych technologii zabezpieczeń oraz poprzez edukację użytkowników kart, aby uzmysłowić im zagrożenia zwiane z kartową przestępczością. W tym celu został stworzony ten artykuł, który ma zaprezentować najpopularniejsze z tego rodzaju przestępstw, pokazując jednocześnie, w jaki sposób można ich uniknąć.

Jednak najważniejszymi podmiotami w walce z kartową przestępczością zawsze pozostaną Policja oraz banki. Konieczne jest, by były one wyposażone w najlepsze technologie i sprzęt pozwalający im na skuteczne działanie.

Wykorzystanie skradzionej karty płatniczej

Przestępstwa związane z nielegalnym wejściem w posiadanie karty płatniczej należą do bardzo powszechnych. Jednak ilość tego rodzaju przestępstw powoli się zmniejsza. Jest to związane z wprowadzaniem nowych technologii, chroniących przed tego rodzaju oszustwami.

Najczęściej tego typu przestępstwa polegają na:
- kradzieży karty i podrobieniu podpisu właściciela,
- podrobieniu lub przerobieniu kart,
- posługiwaniu się kartami nie doręczonymi prawowitemu użytkownikowi.

Wejście w posiadanie cudzej karty płatniczej następuje w większości przypadków poprzez kradzież. Może to także mieć miejsce w sytuacji znalezienia cudzej karty, zgodnie z zasadą, że "okazja czyni złodzieja". Przestępcy często starają się "przechwycić" karty wysyłane przez banki i będące w drodze do swoich właścicieli. Banki najczęściej wysyłają karty w formie nieaktywnej, jednak przestępcy mogą próbować dokonać ich aktywacji, jeśli tylko posiadają wiedzę o posiadaczu, lub też wykorzystać otrzymaną kartę po odpowiednim przerobieniu jako nośnik danych innej karty.

Nowa ustawa o elektronicznych instrumentach płatniczych wymaga, by bank wysyłający kartę był w stanie wskazać dokładnie moment jej doręczenia klientowi. Przed tym momentem bank jest jedyną instytucją odpowiedzialną za transakcje dokonane kartą. Spowoduje to uporządkowanie kwestii zwianych z doręczaniem kart i zapewni ich większe bezpieczeństwo, gdyż banki najprawdopodobniej zrezygnują z rozsyłania kart zwykłymi listami.

Jeśli aktywna karta wpadnie w ręce przestępców w wyniku kradzieży lub zagubienia, to najczęściej klient dość szybko jest w stanie stwierdzić utratę karty. Przestępcy w takiej sytuacji szybko starają się dokonać zakupów posiadaną kartą, licząc na to, że zdążą zrobić to przed zastrzeżeniem karty przez prawowitego właściciela. W przypadku kart wypukłych przestępcy często dokonują zakupów w punktach, w których istnieją limity wysokości autoryzowanych transakcji (floor limit). Działanie floor limitu polega na nieautoryzowaniu on-line transakcji o wartości poniżej ustalonej kwoty, np. 100 zł. Pozwala to sprzedawcy na usprawnianie procesu autoryzacji kart oraz zmniejszenie jego kosztów. W przypadku autoryzacji off-line numer karty jest sprawdzany z listą skradzionych lub zastrzeżonych kart, którą urządzenie posiada w swojej pamięci.

Lista ta jednak jest uaktualniana najczęściej tylko raz na dobę, podczas wysyłki nocnej. Przestępcy w takiej sytuacji mają dużo czasu na wykorzystanie karty, zanim jej numer pojawi się na "czarnej liście" w terminalach. Dokonują wiec dużej ilości transakcji na niewielkie kwoty, by uniknąć autoryzacji karty on-line. W celu walki z tego rodzaju procederem, terminale dokonują także autoryzacji on-line wybranych losowo transakcji na niskie kwoty. W ten sposób przestępcy nigdy nie mogą być pewni, czy karta nie zostanie zatrzymana. Niektóre centra autoryzacyjne takie jak Polcard i eService autoryzują wszystkie transakcje kartami płatniczymi Visa oraz MasterCard, obojętnie czy są to karty płaskie czy wypukłe. W ten sposób centra zabezpieczają swoich klientów przed transakcjami zastrzeżonymi kartami, ale jednocześnie narażają posiadaczy kart na oczekiwanie na autoryzację nawet w przypadku płatności na niską kwotę.

Oczywiście przestępcy muszą złożyć w obecności kasjera podpis, zgodny z podpisem znajdującym się na karcie. Niestety większość sprzedawców nie sprawdza dokładnie zgodności podpisów, co znacznie ułatwia życie przestępcom. Także klienci często podpisują się w sposób łatwy do odwzorowania przez przestępcę. Przestępcy mogą także podrobić kartę, próbując usunąć stary podpis i złożyć w jego miejsce nowy. Warto przypomnieć, że sprzedawca ma obowiązek, w razie najmniejszych wątpliwości co do tożsamości posiadacza karty, poprosić o dokument ją potwierdzający.

Przestępstwa tego rodzaju stanowią obecnie wysoki odsetek wszystkich przestępstw kartowych. Walka z nimi powinna w pierwszym rzędzie polegać na edukacji klientów oraz sprzedawców. Ci pierwsi powinni w sposób właściwy zabezpieczać swoje karty płatnicze, a ci drudzy w należyty sposób wywiązywać się z obowiązku sprawdzania podpisu klienta na karcie i weryfikacji jego tożsamości. Także sami klienci powinni przywyknąć do dokładnego sprawdzania podpisów i ewentualnie dokumentów przy płatnościach kartowych.

Pełna eliminacja tego rodzaju przestępstw nastąpi po pełnym zastąpieniu obecnych kart z paskiem magnetycznym przez karty chipowe. W przypadku kart chipowych potwierdzenie transakcji będzie dokonywane przy użyciu kodu PIN, co daje prawie pełne bezpieczeństwo w przypadku przestępczego wejścia w posiadanie karty. Już obecnie niektóre transakcje kartami elektronicznymi dokonywane są z wykorzystaniem PINu, jest to jednak margines wszystkich transakcji.

Zakupy na odległość z wykorzystaniem danych cudzej karty (carding)

Przestępczość związana z płatnościami kartowymi w Internecie także stanowi bardzo poważny problem. Trwają już jednak prace wdrożeniowe technologii, które w ciągu kilku lat pozwolą znacznie zmniejszyć jej zakres.

Najpopularniejszym przestępstwem tego rodzaju jest dokonanie zakupu, podając dane karty kredytowej innej osoby. Tego rodzaju przestępstwo jest odmianą przestępstwa nazywanego identity theft (kradzież tożsamości). Wykorzystywane do zakupu dane o karcie kredytowej mogą zostać zdobyte na różne sposoby. Przestępca może wejść w ich posiadanie poprzez fizyczny kontakt z kartą (spisanie danych przez sprzedawcę, podejrzenie danych z karty) lub poprzez Internet (hacking - kradzież numeru karty z komputera posiadacza lub bazy danych, scam - podstępne skłonienie posiadacza karty do samodzielnego podania numeru swojej karty, itd.)

Po zdobyciu danych karty, przestępca próbuje dokonać przy ich użyciu zakupu w Internecie. Może tego dokonać w tych sklepach internetowych, gdzie możliwe jest przesyłanie towaru na adres inny, niż adres posiadacza karty. Wiele sklepów zabezpiecza się przed oszustwami w ten właśnie sposób, że przesyła towary tylko na adres, jaki widnieje w bazie danych wystawcy karty jako adres posiadacza.

Często towary przesyłane są przez przestępców na adres innych osób, które jedynie mają odebrać przesyłkę, by potem przekazać ją przestępcy. Sklepy czasami dokonują także sprawdzania specjalnego kodu CVV2/CVC2, który jest wydrukowany na pasku z tyłu karty. Znajomość tego kodu ma potwierdzać, że kupujący jest rzeczywiście w fizycznym posiadaniu karty, której dane podaje.

Obecnie trwają prace wdrożeniowe technologii, które w znaczący sposób zredukują ilość oszustw kartowych w Internecie. Technologie Visa 3D Secure (Verified by Visa) oraz MasterCard SPA opierają się na współpracy pomiędzy sprzedawcą a bankiem - wystawcą karty płatniczej. Klient dokonujący zakupu, poza danymi karty będzie musiał dodatkowo podać specjalne hasło, które potwierdzi, że jest on prawowitym posiadaczem karty. Hasło będzie definiowane w momencie uzyskiwania karty płatniczej, lub później, w momencie uzyskiwania dostępu do funkcji płatności przez Internet. Zastosowanie tej technologii zapewne wyeliminuje obecne typy przestępstw internetowych, lecz z pewnością zrodzi też zupełnie nowe ich rodzaje. Należy się spodziewać, że przestępcy spróbują się wtedy skupić na wyłudzaniu od nieświadomych klientów danych kart wraz z hasłami potwierdzającymi ich tożsamość.

Fałszowanie dowodów transakcji przez nieuczciwych akceptantów

Fałszowanie dowodów transakcji należy do szerszej grupy przestępstw, związanych z nieuczciwością sprzedawców akceptujących karty. Współpraca sprzedawców z przestępcami zdarza się dosyć często. Centrum autoryzacyjne, które podpisuje umowy z poszczególnymi punktami handlowymi nie jest bowiem w stanie sprawdzić dokładnie wiarygodności każdego z nich. Tym bardziej nie jest w stanie sprawdzić każdej osoby, która ma dostęp do terminala kartowego i może z niego korzystać.

Przestępcy często wykorzystują "zaprzyjaźnione" punkty handlowe do wykonywania transakcji kradzionymi kartami płatniczymi. Przestępcy maja w ten sposób ułatwione zadanie złożenia na potwierdzeniu odpowiedniego podpisu. W ten sposób unikają także zagrożenia zdemaskowaniem w sytuacji, gdy karta okaże się być już zastrzeżona. Jest to jednak bardzo krótkowzroczna przestępcza działalność, gdyż monitoring transakcji prowadzony przez centra rozliczeniowe doskonale wychwytuje tego rodzaju "niepewne" punkty, a późniejsze czynności Policji i prokuratury doprowadzają do ujawniania samych przestępców.

Działalnością przestępczą o mniejszym ciężarze gatunkowym jest natomiast podrabianie już podpisanych przez klientów potwierdzeń wykonania transakcji. Dzieje się to najczęściej w restauracjach, gdzie terminale wyposażone są w opcję dodawania do rachunków napiwków klientów. Klienci często pozostawiają puste pole na potwierdzeniu, przeznaczone na wpisanie wysokości napiwku. Pole to może zostać w dowolny sposób zapełnione przez nieuczciwego sprzedawcę lub kelnera. Później dokonuje on wprowadzenia specjalnej "napiwkowej" transakcji do terminala i klient zostaje obciążony dodatkowo taką kwotą. Zabezpieczeniem w systemie jest wysokość napiwku, który nie może przekroczyć 20% wartości całej transakcji. Działalność prewencyjna w przypadku tego rodzaju przestępstw winna polegać na uświadomieniu klientom konieczności dokładnego wypełniania potwierdzeń transakcji i wpisywania kwoty napiwku w odpowiednim miejscu lub wpisania zera lub też wpisania "xxx" w miejscach przeznaczonych na wpisanie kwoty napiwku.

Skimming w punkcie handlowym

Skimming to obecnie najbardziej rozpowszechnione i najbardziej niebezpieczne przestępstwo kartowe. Polega ono na skopiowaniu paska magnetycznego karty płatniczej ofiary i nałożenia go na inną kartę. Ta karta służy natomiast do dokonywania transakcji na konto ofiary. Ofiara przez długi czas działalności skimmerów nie jest świadoma, że znajdują się oni w posiadaniu kopii jej karty. Dowiaduje się o tym najczęściej wtedy, gdy otrzymuje z banku wyciąg, na którym widnieją transakcje, których nie dokonała. Często transakcji tych nie mogłaby fizycznie wykonać, gdyż zostały one dokonane na drugim końcu świata. Jest to efekt działania międzynarodowych gangów skimmerów, które wymieniają się w sieci Internet zawartością pasków magnetycznych kart ofiar swoich przestępstw.

Brak wiedzy posiadacza o skopiowaniu jego karty daje skimmerom duże poczucie bezpieczeństwa w korzystaniu ze skopiowanej karty. Jedynym sposobem wykrycia działalności skimmerów na tym etapie, jest monitoring transakcji wykonywany przez banki i centra rozliczeniowe. Polega on na kontakcie z osobą, której karta służy do wykonywania wielu transakcji w różnych częściach świata, lub też jednej transakcji na dużą kwotę. Jeśli okazuje się, ze klient jest w danym momencie w Polsce i nie dokonuje takiej transakcji, to karta zostaje natychmiast zablokowana.

Skopiowana karta może zostać nagrana na inną kartę typu white plastic (biała karta bez żadnych oznaczeń) i być wykorzystywana w terminalach sprzedawców współpracujących z przestępcami. Może także być nałożona na inną, normalną kartę płatniczą. W takiej sytuacji, w przypadku dokonywania transakcji, numer wybity na karcie i numer karty wydrukowany na potwierdzeniu transakcji różnią się. To kolejny oręż walki ze skimmingiem. Dokonując transakcji sprzedawca powinien sprawdzić, czy numer karty i numer z potwierdzenia są ze sobą zgodne.

Skimming w punkcie handlowym jest dokonywany przez nieuczciwego sprzedawcę, który znikając na zapleczu, lub czasem nawet na oczach klienta, dokonuje skopiowania paska magnetycznego karty przy użyciu miniaturowego czytnika. Metody skimmerów są bardzo różne i mogą polegać po prostu na przejechaniu kartą po określonym miejscu na blacie stołu. Zwyczajny użytkownik karty nie jest praktycznie w stanie stwierdzić, że jego karta jest właśnie na jego oczach kopiowana. Większość skimmerów nie działa jednak w tak zuchwały sposób i, aby skopiować kartę, udają się z nią na zaplecze. Z tego właśnie powodu warto nie rozstawać się ani na krok z nasza kartą, a jeśli sprzedawca musi się z nią udać na zaplecze, to powinniśmy pójść razem z nim.

Niski koszt i powszechna dostępność czytników pozwalających na kopiowanie kart czyni ze skimmingu prawdziwą plagę początku XXI wieku. Skutecznym zabezpieczeniem przez skimmingiem będzie dopiero pełne przejście na karty chipowe standardu EMV. Skimming jest immanentnie związany z technologią paska magnetycznego karty i powinien zniknąć wraz z jego eliminacją.

Skimming w bankomacie

Skimming bankomatowy jest kwalifikowaną formą skimmingu. Wymaga on drogiego i nowoczesnego sprzętu oraz dużej wiedzy przestępców o funkcjonowaniu bankomatów. Tego rodzaju przestępczością zajmują się wyspecjalizowane grupy dysponujące odpowiednim sprzętem oraz bardzo dużą wiedzą techniczną.

Skimming bankomatowy różni się od tego dokonywanego w sklepie tym, że celem przestępców, poza skopiowaniem paska magnetycznego karty, jest także zdobycie numeru PIN posiadacza. Znajomość PINu powoduje, że przestępcy mogą na koncie ofiary dokonywać transakcji bankomatowych, czyli wypłacać pieniądze. Dzięki temu unikają problemów związanych z koniecznością wprowadzania do obiegu towarów zakupionych fałszywymi kartami w sklepach.

Urządzenie służące do tego rodzaju skimmingu musi składać się z czytnika karty, umieszczonego najczęściej wewnątrz bankomatu, który sczytuje zawartość paska magnetycznego, oraz miniaturowej kamery, która rejestruje wprowadzony przez klienta kod PIN. Obraz i dane są najczęściej przekazywane drogą radiową do zaparkowanego w pobliżu bankomatu samochodu, w którym komputer dokonuje archiwizacji zebranych danych. W ten sposób, w ciągu zaledwie kilku godzin, przestępcy są w stanie zdobyć dane o kilkudziesięciu kartach. Klienci korzystający z bankomatu najczęściej nie są w stanie stwierdzić, że w bankomacie zostało zainstalowane dodatkowe urządzenie. Jest to związane z różnym wyglądem bankomatów (nawet w obrębie tego samego banku) i brakiem jakichkolwiek standardów w tym zakresie.

Ważne jest, by klienci korzystający z bankomatów dokładnie im się przyglądali, czy nie zostały do nich przytwierdzone jakieś dodatkowe urządzenia. W przypadku jakichkolwiek wątpliwości powinni natychmiast poinformować o tym najbliższą placówkę banku lub Policję.

Pełne zabezpieczenie przed tym typem skimmingu zapewni wprowadzenie kart chipowych, których jak na razie przestępcy nie potrafią klonować.

Podsumowanie

Przestępczość kartowa, związana z najnowszymi technologiami, coraz częściej wypierać będzie przestępczość tradycyjną. Kluczem do skutecznej walki z tego rodzaju przestępczością jest działalność prewencyjna. Najważniejszym elementem tej działalności winna stać się przeprowadzona na szeroką skalę akcja edukacyjna, pokazująca zagrożenia związane z korzystaniem z kart płatniczych oraz prezentująca zachowania, które pozwalają w łatwy sposób wyeliminować kartową przestępczość.

Znajomość przez posiadacza karty typów najpopularniejszych przestępstw kartowych oraz sposobów ich dokonywania, znacznie zwiększa jego bezpieczeństwo w posługiwaniu się tym instrumentem. Wydaje się, że warto tą wiedzę przyswoić sobie już dziś, bowiem dużo lepiej uczyć się na błędach innych, niż na swoich własnych, które w przypadku kart płatniczych mogą być bardzo kosztowne.