Hakerzy nie należą do ludzi, którzy będą milsi dla innych w okresie świątecznym. Co więcej, będą bardzo wykorzystywać nasz pośpiech i stres. Gra na emocjach jest podstawową umiejętnością socjotechników. Nie potrzebują oni również skomplikowanych programów czy narzędzi do przeprowadzania ataków wyłudzających dane. Dlatego szczególnie w okresie przedświątecznych zakupów zachowujmy zdrowy rozsądek i nie ufajmy nieznanym osobom, zwłaszcza kiedy nie możemy zweryfikować ich rzeczywistej tożsamości.

Pan Andrzej od zawsze unikał przedświątecznego szału zakupowego, związanych z nim kolejek i walki o miejsca parkingowe. W tym roku postanowił zrobić internetowe zakupy prezentowe dla całej rodziny nieco wcześniej. Od syna dowiedział się o azjatyckim portalu zakupowym, na którym wiele rzeczy można kupić dużo taniej, jeśli termin wysyłki nie jest priorytetem. Faktycznie, nowy telefon dla żony kupił znacznie taniej niż w Polsce. Zakończył transakcję i zapłacił, zaskoczony, że wszystko poszło tak sprawnie. „Technologia idzie do przodu…” – pomyślał. Zadowolony z siebie opublikował jeszcze krótki post na Facebooku, chwaląc się znajomym, że „zakupy świąteczne w tym roku zakończył jeszcze w listopadzie”. Zadowolony usiadł przed telewizorem.

Kilka dni później do pana Andrzeja zadzwoniła przedstawicielka banku. Jak zawsze pan Andrzej starał się być miły, ale chciał też jak najszybciej zakończyć rozmowę. Nie lubił rozmów w telemarketerami.
– Dzień dobry. Nazywam się Julia Niebezpieczna, dzwonię z Dobrego Banku. Moją tożsamość może pan potwierdzić na stronie banku – przedstawiła się rozmówczyni, podając nazwę banku, w którym pan Andrzej miał konto. – Wykryliśmy aktywność dokonaną pana kartą kredytową na Bahamach. Nasz system zarejestrował to jako podejrzaną akcję i zablokował transakcję. Dzwonię, żeby się upewnić, że przebywa pan obecnie na wycieczce i że powinniśmy umożliwić takie transakcje w przyszłości.
­– Nie, jestem teraz w domu…  – odparł pan Andrzej zdenerwowany.
– Rozumiem. W takim razie proszę się nie martwić, nasz system zablokował tę transakcję i uniemożliwił wypłatę pieniędzy. Widocznie ktoś wykradł numer pana karty, na przykład przez zagraniczny portal aukcyjny lub w kawiarni. Będzie konieczne zablokowanie karty. My oczywiście wyślemy nową na pana adres korespondencyjny. Powinien pan ją otrzymać przed świętami. Nie mogę zablokować panu karty, ale mogę przełączyć pana do naszego centrum automatycznego, gdzie może pan to zrobić od razu. Czy chciałby pan teraz zablokować kartę?
– Tak, oczywiście. Bardzo dziękuję – powiedział, po cichu dziękując bankowi za system wykrywania oszustw. Julia pożegnała się z nim i przełączyła go do automatycznego systemu.

„Witamy w Dobrym Banku! Jeśli chcesz zastrzec kartę, wciśnij 9…”
Nie czekając dłużej, pan Andrzej wcisnął na klawiaturze smartfona dziewiątkę.
„Po sygnale wypowiedz wyraźnie swoje imię i nazwisko i wciśnij krzyżyk.”
– Andrzej Bogaty – powiedział wyraźnie.
„Wprowadź numer swojej karty. Dla bezpieczeństwa pomiń ostatnią cyfrę i naciśnij krzyżyk.”
Bip. Bip. Bip. Bip. Bip. Bip.
„Dziękujemy. Wpisz datę ważności karty, pomijając ukośnik i naciśnij krzyżyk.”
Bip. Bip. Bip. Bip.
„Dziękujemy. Odwróć kartę na drugą stronę i podaj trzy cyfry znajdujące się obok pola przeznaczonego na podpis i naciśnij krzyżyk.”
Bip. Bip. Bip. Bip.
„Dziękujemy. Twoja karta została zablokowana. Oczekuj przesyłki z nową kartą”.

Pan Andrzej rozłączył się, zadowolony, że udało mu się uniknąć strat.

Po drugiej stronie telefonu Robert zapisał wygenerowane dane. Korzystając z algorytmu Luhna, wyliczył ostatnią cyfrę numeru karty. Miał teraz pełne dane karty pana Andrzeja. Mógł z nimi zrobić to, co tylko chciał, np. wykorzystać do celów zakupowych w Internecie.
Robert uruchomił Facebooka w celu znalezienia kolejnej ofiary. Możliwości zdobycia danych klientów portali jest mnóstwo, a oni sami nakierowują oszustów na wartościowe dane, chwaląc się swoimi działaniami w Internecie . Robert wpisał w wyszukiwarkę postów #Aliexpress i wybrał kolejną osobę. Wszedł na jej konto i sprawdził polubienia. Tym razem wśród polubionych profili był profil banku z lisem w logotypie.
Okres przedświąteczny jest tak gorący, że prawie każdy robi gdzieś zakupy, a spora część ludzi melduje się w dużych centrach handlowych, dając kolejne informacje sprawnemu socjotechnikowi.
– Aniu, mam numer następnego… – zwrócił się do wspólniczki siedzącej obok, używając jej prawdziwego imienia.

W czasie przygotowań świątecznych łatwiej jest dać się podejść. Jeżeli dzwoni do Ciebie osoba z Twojego banku, zachęcając do weryfikacji, teoretycznie nic nie powinno wzbudzać Twoich podejrzeń. Nie do końca. To jeden ze sposobów, jakimi posługują się oszuści. Osoba zachęcona do kontroli, nie skorzysta z niej, uspokojona troską drugiej strony.

Co powinien zrobić pan Andrzej, żeby ustrzec się przed kradzieżą danych? Przede wszystkim nie powinien korzystać z funkcji automatycznego blokowania karty. Powinien się rozłączyć i zadzwonić na infolinię banku osobiście – tym razem faktycznie łącząc się ze swoim usługodawcą. Niepokój powinna wzbudzić konieczność podawania innych danych niż numer karty, który przecież i tak jest unikalny. A już na pewno zaniepokoić powinna pana Andrzeja prośba o podanie kodu CVV, czyli kodu zabezpieczającego kartę.

Bezpiecznych przedświątecznych zakupów! 🙂