Alte explicatii pentru care bancile din Romania sunt supuse atacurilor phishing:
- Angajatii magazinelor care au cititoare de card nu respecta legislatia si, astfel, cardurile clonate nu sunt depistate la timp
- Specialistii Politiei Romane spun ca si bancile sunt vulnerabile informatic si nu exclud posibilitatea ca unii angajati ai bancilor sa colaboreze cu cei care realizeaza atacurile informatice
- Infractorii romani care se ocupau cu traficul de droguri, prostitutie sau punerea in circulatie de bancnote false s-au reprofesionalizat in criminalitatea informatica
- Unii tineri aleg din teribilism sa realizeze astfel de atacuri informatice, care in final se transforma in pagube milioane de euro pentru banci
Seful BCCO a mentionat ca din 2006 numarul de carduri emise de banci a crescut exponential de la an la an. "Institutiile publice sunt obligate sa isi plateasca angajatii pe card, societatile comerciale isi platesc angajatii pe card, bancile au incurajat foarte mult ca agentii economici sa utilizeze POS-urile (cititoarele de card de la supermarketuri - n.red.), bancile ofera facilitati financiare precum descoperirile de card. Toate acestea au facut ca infractiunile informatice de tip phishing sa fie mai des utilizate", a explicat Gheorghiu.
Un alt aspect al acestui gen de infractiune este si faptul ca cei care realizeaza atacurile de tip phishing cred ca vor fi mai greu depistati de catre autoritati. "In primul rand aceste activitati nu au granite, atacurile poti fi declansate de oriunde. Cei care se ocupa au impresia ca daca faptele sunt comise pe Internet sunt mai greu de depistat", a mai explicat Dragos Gheorghiu.
Toata lumea se plange, dar nimeni nu se documenteaza
Unul dintre factorii care incurajeaza atacurile de phishing este si faptul ca detinatorii de carduri sunt ignoranti si ca agentii economici nu respecta reglementarile utilizarii cititoarelor de card. "Daca se face un sondaj legat de cati dintre cei care au un card au citit instructiunile de utilizare o sa descoperim ca putini o fac. Astfel, ei nu afla ca banca nu iti cere prin intermediul mailului pinul. De asemenea, nici agentii economici nu respecta reglementarile pentru ca, de exemplu, cand se face o plata cu cardul in magazin detinatorul de card trebuie sa prezinte si un act de identitate", a mai explicat Gheorghiu.
Unde sunt vulnerabile bancile
Potrivit legislatiei, bancile isi organizeaza departamente specializate care sa previna atacurile informatice. "Sistemele informatice se imbunatatesc constant. Uneori cei care realizeaza atacurile de tip phishing sunt mai informati si cauta in permanenta vulnerabilitatile sistemului", a mai declarat Gheorghiu.
Pe de alta parte nu este exclusa si ipoteza ca atacurile informatice sa beneficieze si de scurgeri de informatii chiar din interiorul bancilor. "Bancile cer uneori clientilor sa lase la rubrica contact o adresa de mail. Nu este exclusa si o scurgere de informatii din interiorul bancilor", a mai declarat Dragos Gheorghiu. El a mai explicat insa ca in mod obisnuit atacurile phishing au ca punct de pornire achizitionarea unei baze de date cu adrese de e-mail. "Pe internet se tranzactioneaza baze de date care au milioane de adrese de e-mail", a explicat Gheorghiu.
Structura speciala pentru infractorii virtuali
Potrivit statisticilor internationale, Romania ocupa locul trei in randul tarilor cu cele mai multe atacuri de tip phishing. In aceste conditii, in cadrul Politiei Romane va fi creata o noua directie specializata in criminalitatea informatica. In acest moment atacurile informatice sunt investigate de catre serviciul specializat din cadrul Directiei de Combatere a Criminalitatii Organizate. Potrivit statisticilor oficiale ale Politiei Romane, in primele noua luni ale anului 2007 au fost constatate un numar de 897 infractiuni informatice, in care au fost cercetate 519 persoane, din care 61 au fost retinute sau arestate.
Cine sunt pescarii de carduri
Seful BCCO Cluj a creionat si profilul celor care initiaza atacurile de phishing, identificati dupa cateva tipologii:
- infractorii care se ocupau cu alte tipuri de infractiuni, precum traficul de droguri sau punerea in circulatie de bancnote false. "Acestia au obsevat ca exista o piata de exploatat si au realizat un fel de reconversie profesionala", a explicat Gheorghiu.
- infractorii "scoliti" in strainatate, care dupa 2000 au revenit in tara. "Acestia s-au specializat in afara tarii si s-au intors in tara din diferite motive, avand insa cunostintele necesare", mai spune seful BCCO
- infractorii teribilisti, de obicei tineri foarte inteligenti care din diverse motive aleg sa intre in lumea infractorilor virtuali. "Unii dintre acesti tineri sunt racolati de gruparile deja constituite si sunt transformati in <sageti>, adica oamenii care efectiv produc atacurile informatice", a mai explicat Gheorghiu.
Domeniul IT e mai securizat decat mintea/intentia omului, utilizatorul e adevarata problema.
Probleme apar numai cand boii de utilizatori (ca nu pot sa le spun altfel) incearca sa utilizeze un serviciu sensibil (spre exemplu de natura financiara) fara ca sa aiba cea mai vaga idee despre cum functioneaza. Sa iti iei card si sa nu te interesezi absolut deloc cum functioneaza sistemul (mai ales pe online), este ca si cum te-ai urca la volanul unui TIR si ai incepe sa mergi cu el prin Bucuresti, desi ai vazut cum se conduce o masina doar in filme.
Atacurile asupra clientilor unei banci specifice sunt doar o modalitate de a fura carduri sau date personale, nu singura... De ex. cumparand de pe un site "securizat" despre care nu stii nimic poate fii de fapt o simpla interfata pentru culegerea de date. Tu vrei sa platesti pt perechea aia faina de pantofi la 10$ bucata ei vor sa iti trimita bezele cu datele tale de card.
Tin minte acum vreo 10 ani am dat cu ochii de o lista de carduri de prin state... Erau vreo 50.000 de carduri cu nume, adresa si cod de verificare... Ramanea doar sa iti doresti sa fii infractor. Cine se uita cand iti dispare cativa $ de pe cont? Oricum banca plateste tot...
Din pacate romanii nu sunt pregatiti pentru asa ceva (cum nu erau nici americanii pe atunci).
Mai jos un pasaj care confirma ce am zis la inceput. Interesant e pasajul cu "spoof the address bar". E clar, e veche chestia (de prin 2005-2006) dar sunt sigur ca se gasesc chestii noi tot timpul...
"Paul has reported a vulnerability in Microsoft Internet Explorer, which can be exploited by malicious people to bypass certain security restrictions and potentially compromise a user's system.
The problem is that it is possible to place arbitrary content above any other window and dialog box using the "window.createPopup()" function. This can be exploited to "alter" the appearance of dialog boxes and other windows (e.g. <b>spoof the address bar or trick users into opening malicious programs</b>).
The vulnerability has been confirmed on a fully patched system with Internet Explorer 6.0 and Microsoft Windows 2000 SP 4. Other versions may also be affected"
Eu am scris si un articol pe tema asta intitulat "Cum sa va feriti de atacurile de tip "phishing" ?"
www.360romania.eu/blog.php?b=23
Povestea aia cu pop-up-ul este doar atat: o poveste. Nu exista nici un browser pe platformele Linux si Windows care sa *nu* marcheze clar un pop-up. Trebuie sa fii cu adevarat tampit sa confunzi un pop-up cu fereastra initiala. Nici macar in browsere mai putin folosite - gen Konqueror asa ceva nu este posibil.
Totusi cred ca m-am indepartat prea mult de subiectul abordat de stire...
Sa mergem pe ideea tot salariul scos de la bancomat cand il primim si atunci nu se vor inmulti decat evenimentele de dat in cap.
cat despre salarii la o banca aleasa de angajator ... de acord cu ring ... riscul sa ti se dea in cap e mai mic ...
sunt banci care iti dau carduri diferite pentru credit si pentru debit astfel cu doar unul paguba e mai mica ...fata de unul pe care ai bani si o descoperire de cont semnificativa....
sunt banci care au cip-uri in romania de trei ani .... atii nici acum nu-si dau silinta ... la cele cu cipu-uri problemele de clonare nu au existat ... singura problema ce poate apare e sa-ti fure cardul si sa stie si pin-ul
si nu mai scrieti pin-ul pe toate gardurile, este chiar la mintea cocosului
iar despre internet banking .... inafara de pin mai ai o grija ...MARE parola ... daca cineva se poate loga pe contul tau ... normal ca va putea face operatiuni in numele tau.... dar exista solutie si pentru acesta ... sa nu-l folositi decat de la terminalele bancii (non - cash) doua banci au asa ceva .... sau de la un singur calculator ... si eventual puneti si un fitru de phishing pe acesta .. si fiti foarte atenti sa operati doar pe site-ul bancii
Ajungand la ideea de baza, bancile sunt cei mai mari bancheri ai unei tari, deci au la un moment dat acces la fonduri nelimitate, in schimbul unei dobanzi oarecare, si ma refer aici la dobanda pentru depozite care este putin mai mre in comparatie cu dobanda pentru conturile curente. Si atunci cum se intampla ca numai in Romania si alte cateva tari, problemele bancare sunt de "nestavilit" si sunt descoperite "slabiciuni" in sistem ? Adica, bancile din tari occidentale sunt mai banci decat alte banci ? In plus de asta multe banci romanesti au (dupa multe cumparari si vinderi de actiuni) suport de la state europene cu vechime in servicii bancare, si mai ales in utilizarea cardurilor. Oare nu se vrea, totusi sau exista o mafie ceva mai mare care sa aduca in primul rand prejudicii de imagine bancilor romanesti ? In paralel, nu este o problema cu asigurarea conturilor, pentru ca daca faci un depozit de cateva milioane de euro, lire sau in cazul leilor, de peste 1 miliard, conditiile de pastrare a banilor sunt negociate, adica, nu mai este valabila acea "chichita" a Guvernului ca bancile asigura numai in limita a 15 000 euro din depozit. DEci, unde este problema de fapt ? Avand in vedere ca, la un moment dat, banca este ca un stat in stat, politia, nu va putea actiona decat daca este sesizata, (vezi cazurile mai multor tineri inteligenti care s-au "jucat" de-a spartul site-urilor unor institutii foarte importante). Este simplu de spus ca consumatorul este de vina, sau banca este de vina, sau ca Politia nu vegheaza, dar unde este problema de fapt ?
2. Nu se tine PINul scris pe un biletel la indemana in geanta si se scoate la bancomat sau POS :)
3. Nu se lasa cardul cine stie pe unde. Poate titularul mai uita de el, hotii niciodata :)
4. Cum spunea un oarecare domn Ion Creanga, "cardul se pastreaza aproape de inima" :)))))
~Nautilus
In Romania bancile nu stiu ce este charge-back, posibilitatea de recuperare a banilor dintr-o tranzactie pe care nu a fost facuta de proprietarul cardului sau care nu a fost aprobata de proprietarul cardului.
1. Nu divulgati NIMANUI pinul.
2. daca vreti sa-l scrieti , tineti hartia in alt loc decat cardul
3. nu lasati cardul , fizic, nesupravegheat, poate fi copiat fara sa stiti, si anumite date de pe verso, care permit plati pe internet
4. nu raspundeti niciunui email care va solicita date personale
Banca are prima responsabilitate in securitatea datelor d-voastra, care cuprind multe altele in afara numarului de card, dar.... si utilizarea cardului neglijenta, face munca hotilor mai usoara.
Charge back-ul este o cerere ce recuperare a unor tranzactii nerecunoscute de detinatorul de card, dar daca se dovedeste ca nu a respectat regulile de folosire a cardului, nu se poate castiga un charge back.
Concluzia: fiti vigilenti cand folositi plata prin card sau retragerea de la ATM, totul sa se petreaca avand cardul in fata.
Si copiii incep sa stie cum se face o plata pe Internet, securizati-va cardul, in orice moment.