Zjistit údaje o vaší platební kartě může být otázkou minut

Američtí federální žalobci obvinili v tomto týdnu 11 lidí z krádeže a prodeje více než 45 milionů čísel kreditních a debetních karet získaných od zákazníků nejméně devíti amerických obchodníků. Podle žalobců jde o jeden z největších a nejkomplexnějších počítačových útoků v historii.

Představitelé amerického ministerstva spravedlnosti uvedli, že obžalovaní jsou součástí zločineckých skupin pocházejících od Spojených států až po východní Asii. Zdůrazňují tak mezinárodní rozměr zločinu. Počítačoví piráti pocházející z Estonska, Ukrajiny, Číny, Běloruska a Spojených států byli obviněni ze spiknutí, narušení bezpečnosti, podvodu a krádeže identity.

Obvinění využili při získávání dat málo zabezpečených bezdrátových sítí, díky kterým se dostali k číslům platebních karet klientů velkých maloobchodních řetězců jako T.J. Maxx nebo Marshalls. Prostřednictvím „slídících programů“ (sniffers) pak odchytávali čísla karet, hesla a další osobní informace. „Případy jako tyto vysílají jasný signál těm, kteří by chtěli zneužívat naše počítačové sítě ke kradení identit a poškozování práv lidí a obchodníků. Pokud to uděláte, budeme vás sledovat kdekoliv na světě, zatkneme vás a pošleme do vězení,“ uvedl poradce americké vlády Michael B. Mukasey.

Maloobchodní řetězce se také podílely na bankovních nákladech na výměnu všech postižených platebních karet spolu s jejich vydavateli, společnostmi Mastercard a Visa. Krádeže začaly v roce 2003 a pokračovaly až do letošního roku. Největší incident se ale odehrál v únoru loňského roku, kdy bylo ukradeno přes 45 milionů čísel platebních karet od zákazníků ve Spojených státech, Velké Británii a Kanadě. Až nyní se ale potvrdila spojitost mezi jednotlivými případy.

Bezpečnost? Jen nejnutnější nastavení

Nabourat se do bezdrátových wi-fi sítí není obecně složité. „Naprostá většina uživatelů používá jen základní zabezpečení WEP nebo WPA. Jeho konfigurace je jednoduchá, ale také prolomitelná do pár minut,“ sdělil Respektu.cz country manager společnosti Symantec Radek Smolík. Mnohem bezpečnější VPN používají spíše firmy v rámci své vlastní sítě, například mezi centrálou a pobočkou. „Pro vnější komunikaci jej ale používá tak jedno procento z nich.“

Vydavatelé platebních karet jako firmy Mastercard nebo Visa sice mají normy bezpečnosti, které by měli obchodníci dodržovat. „Vidíme ale spíše naštvanost z vysokých poplatků za používání jejich systémů a apriorní neochotu do větší bezpečnosti investovat,“ tvrdí Smolík. Naštěstí nejsou mezi českými supermarkety bezdrátové sítě příliš rozšířené, a tak nějaký masivní útok nehrozí. „V místech, kde se data sbíhají, jsme již schopni různými metodami jako zahlcením hackerských serverů útočníky odradit,“ upozorňuje Smolík.

Bezpečnost hlídají banky

Zabezpečení sítí ze strany obchodníků je věcí jednotlivých bank. „Každý obchodník má smluvní vztah s bankou, která je povinná dodržovat standardy stanovené karetní asociací,“ uvedla pro Respekt.cz Magdalena Marešová z agentury MMD, která v Česku zastupuje společnost Visa Europe. „V Česku se podobných krádeží neobáváme. Český trh je velmi sofistikovaný, a například úroveň podvodů na kartách je v ČR skoro dvacetkrát nižší než je průměr v EU. Je to díky zabezpečení a právě implementaci bezpečnostních norem.“

Jen za loňský rok byly podle odhadů na různých internetových aukcích prodány údaje od více než 200 milionů lidí. Ceny čísel kreditních karet navíc neustále klesají, a jedno číslo se dá pořídit již za padesát amerických centů. V prodejnosti vedou čísla bankovních účtů, následované právě kreditními kartami a kradenými identitami. Obchod s těmito daty dokonce pokročil do té míry, že hackeři poskytují různé množstevní slevy nebo dárky k nákupům. Pracují tedy jako jakýkoliv jiný dodavatel.

V zahraničí je teď populární také přeprogramování RFID čipů, které na sobě má zboží v obchodech. Hackeři dokážou přečíst tento čip například od levného a drahého DVD přehrávače a pak přeprogramují čip drahého na ten levný.

Česko a hackeři

Česko je podle Smolíka jednou z mnoha cílových zemí útoků. „Jsme považováni za trochu bohatší zemi, takže je pro hackery zajímavější získávat zde data. Naše legislativa ale pro ně není příliš příznivá,“ uklidňuje Smolík. Pokud by došlo k podobnému případu jako v Americe také v Česku, tak by podle Petra Grubera z kriminální policie musely zareagovat hlavně samotné banky. „Musely by zablokovat klientské účty. Mají své experty, kteří poznají, když někdo tyto údaje zneužije,“ řekl Respektu.cz.