Target, al doilea retailer de tip discount din Statele Unite ale Americii, dupa Walmart, este in mijlocul unui scandal legat de furtul datelor a milioane de carduri bancare ale clientilor sai. Posesorii acestor carduri efectuasera legitim plati cu ocazia Black Friday 2013 in magazinele companiei. Incercam sa aflam cat de sigure sunt tranzactiile cu cardul in SUA. Dar in tara noastra?
Desi multi romani au in posesie un card de credit sau de debit, inca exista persoane care refuza sa efectueze plati online. Mai mult, unii romani nu utilizeaza cardurile nici pentru plata in magazine. Increderea in securitatea platilor cu cardul nu este ridicata, iar unul dintre motivele principale este reprezentat de clonarea acestora, fenomen intalnit inclusiv in Statele Unite.
Cea mai aglomerata perioada de shopping din SUA si Europa incepe odata cu Black Friday. In SUA, majoritatea cumparatorilor aleg sa isi faca platile cu cardul, in timp ce in Romania lucrurile stau putin diferit.
Logica americanilor este destul de simpla: salariile vin pe cardurile de debit, iar multi alti cumparatori sunt posesori de carduri de credit. Cele din urma permit utilizatorilor sa cumpere bunuri, iar mai apoi sa isi plateasca ratele la banca.
De ce sa platesti cu cardul in Statele Unite ale Americii?
Este riscant sa umbli cu bani cash la tine in SUA, afirma expertii. Daca esti jefuit, atunci pierzi toti banii cash. Daca in portofel ai insa un card, vei ramane fara el. Banca iti va emite unul nou, iar cel vechi va fi anulat.
In teorie, banii sunt mai in siguranta pe card decat in buzunar. In practica, lucrurile sunt putin diferite, intrucat trebuie sa ai incredere si in banci, si in magazine. Acest sistem de tranzactii cu cardul mai include si procesatorul de plati, in cazul achitarii online. Orice bresa de securitate, orice atac informatic, la oricare dintre elementele acestui ecosistem, poate conduce la urmari neplacute pentru client.
La ce folosesc romanii cardurile bancare?
La noi in tara, asa cum releva si ultimele statistici BNR, majoritatea detinatorilor de card inca prefera sa isi scoata banii de la bancomat si sa efectueze platile cu numerar. Statisticile ne arata clar cum in ultimii ani au crescut atat numarul de retrageri de numerar de la ATM-uri, cat si valoarea medie si totala a acestor retrageri.
Datele sunt valabile strict pentru cardurile emise in tara si se referea la retrageri de la ATM, respectiv tranzactii la punctele de vanzare din Romania.
Platile directe cu cardul la comercianti, prin intermediul dispozitivelor de tip POS, au crescut in ultimii ani, de asemenea. Trebuie tinut cont insa de un amanunt important: intre 20 si 25 de procente din valoarea totala a tranzactiilor sunt efectuate cu carduri eliberate in Romania, dar la POS-uri din straintate.
Nu stim sigur daca cetatenii romani au o incredere mai mare in platile efectuate cu cardul in afara tarii sau daca pur si simplu se adapteaza la modul de viata vestic, ce implica tranzactii cat mai putine cu cash. Cert este ca inclusiv piata online este afectata de acest comportament: conform statisticilor Mastercard – citate pe blogul GPeC – majoritatea tranzactiilor online efectuate de romani cu cardul sunt internationale.
Doar 40% din totalul platilor online sunt domestice. Cel putin in cazul platilor online, ar fi de discutat si comisioanele cerute magazinelor online de catre procesatorii de plati din Romania, dar rezervam aceasta discutie pentru un articol viitor.
Comodidatea oferita de cardurile bancare vine cu un pret. In afara de problema comisioanelor bancare din ce in ce mai mari in cazul operatiunilor cu cardul, romanii vad aproape saptamanal in media reportaje despre clonarea cardurilor. Cat de grava este de fapt situatia? Sunt tarile dezvoltate la adapost de aceste atacuri?
Atac cibernetic de proportii inceput in ajunul Black Friday
Expertii in securitate cibernetica au descoperit un software malitios instalat in cititoarele de carduri din aproape toate magazinele Target din SUA. Cei care au instalat de la distanta acest software au intrat in posesia detaliilor cardurilor de credit si de debit a celor care au cumparat de la magazinele Target in perioada 27 noiembrie 2013 – 15 decembrie 2013.
La inceput se zvonea ca doar doua milioane de platitori au fost afectati, insa investigatiile amanuntite au scos la iveala un numar mult mai sumbru. Stirea s-a raspandit rapid la mijlocul lunii decembrie si a condus pentru Target la o scadere de aproape 4% a tranzactiilor in weekendul dinaintea Craciunului. Ca urmare, atat incasarile, cat si profiturile lantului de magazine au fost afectate serios. Datele preliminare indicau un declin important al profitului companiei in ultimul trimestru din 2013, care este mai mic cu 46% fata de trimestrul IV al anului anterior.
Atat vanzarile in scadere pe final de an, cat si analiza bresei de securitate, precum si auditurile efectuate au costat compania sume importante de bani. Din pacate pentru Target, conturile companiei vor avea de suferit mult timp. Foarte multi dintre cei afectati si-au exprimat ingrijorarea cu privire la finantele lor, cat si la posibilitatea de a le fi furata identitatea.
In plus, unii dintre clientii vizati au declarat ca nu se vor mai apropia niciodata de un magazin Target, pentru ca sarbatorile lor au fost pur si simplu ruinate. Unele banci au decis sa anuleze cardurile unor clienti Target vizati de atac, iar eliberarea altora noi a durat foarte mult. Astfel, multi dintre posesorii de carduri furate au ramas fara niciun ban de sarbatori. Nu au putut cumpara cadouri pentru cei dragi si nu au putut plati facturile curente.
In astfel de cazuri, unii oameni ajung chiar la concluzia ca ar fi mai bine sa nu detina un card si sa „lucreze” doar cu numerar. Problema a fost suficient de grava, incat Departamentul pentru Securitate Interna din SUA a creat (si a actualizat de curand) pe site-ul us-cert.gov (dedicat problemelor de cyber-securitate) o pagina dedicata informatiilor privitoare la softurile de tip malware ce pot ataca sistemele Point Of Sale (POS-urile) din magazine.
40 de milioane de carduri furate: cum au ajuns datele pe un server din Rusia?
Putea fi prevenit unul dintre cele mai mari atacuri cibernetice din istoria retailului american, care s-a produs asupra celor aproape 1800 de magazine Target? Cum au ajuns totusi hackerii sa acceseze si sa downloadeze toate aceste informatii?
Nu se stie exact ce sistem de operare utilizau cititoarele de carduri din magazinele Target, dar, in general, in retailul american sunt intalnite in POS-uri sisteme de operare bazate pe Windows (Windows XP Embedded sau Windows Embedded for Point of Service). Toate cititoarele erau conectate la serverele centrale Target, prin intermediul retelei interne.
Initial, se pare ca hackerii au preluat controlul unui server web al companiei si au reusit sa uploadeze un soft de tip malware pe fiecare din masinile de tip Point-Of-Sale (POS) aflate in magazine. Ulterior, un server central a inceput sa preia toate informatiile despre tranzactiile efectuate prin intermediul dispozitivelor POS infectate, chiar inainte de Black Friday. Dupa 6 zile in care nu au fost detectati, incepand cu 2 decembrie, atactorii au transferat de pe serverul companiei americane pe un server FTP din Rusia informatiile stocate: datele cardurilor de credit sau de debit, precum si informatii personale ale clientilor Target.
Timp de 2 saptamani, s-au logat zilnic de mai multe ori pe serverul compromis si au initiat transferuri totalizand 11 GB de date cu date sensibile. Informatiile cuprindeau si datele personale (nume, adrese, numere de telefon, e-mail) a aproximativ 70 de milioane de clienti Target.
Imediat dupa finalizarea atacului, specialistii in fraude informatice afirmau ca au detectat de 10 pana la 20 de ori mai multe anunturi pe piata neagra, pentru vanzarea de informatii asociate unor carduri emise de aproape orice banca din SUA.
Mai multe detalii tehnice despre filmul atacului informatic puteti gasi pe blogul unui expert in securitatea informatica.
Cardurile cu cip – o alternativa securizata la cele cu banda magnetica
Prezente pe piata in Europa inca din anul 2005 (in Marea Britanie chiar mai devreme cu cativa ani) asa-numitele „smart cards”, EMV cards (Europay, Mastercard, Visa) sau carduri cu cip – in fapt, carduri inteligente – prezinta o securitate sporita. Adoptarea acestora a fost mult mai agresiva si mai rapida decat in Statele Unite ale Americii si, astfel, europenii se considera ceva mai protejati.
Fiecare smart card contine un cip computerizat, ce cripteaza informatiile sensibile stocate pe card, legate de tranzactiile efectuate. Riscul de clonare a unor astfel de carduri este mult redus, deoarece echipamentele necesare unui astfel de procedeu sunt extrem de scumpe. Aceste carduri nu pot fi folosite decat cu PIN-ul asociat si eventual cu o parola aditionala care se schimba la fiecare utilizare. Din pacate, platile online raman in continuare vulnerabile, insa poti plati cu mai putina teama in orice magazin fizic.
Standardul EMV – pentru cardurile inteligente – exista din anii ’90, dar a fost imbunatatit repetat, in 2000 si 2004, fiind promovat puternic in tarile europene. Ca o comparatie, „magstripe” – cardul cu banda magnetica – este folosit inca din anii ’70.
2005-2006 au reprezentat anii de impunere a unor astfel de carduri cu cip in Uniunea Europeana. Incepand cu 1 ianuarie 2005, Mastercard transfera in totalitate raspunderea fraudelor cu cardul asupra comerciantului, daca acesta nu avea un echipament de citit carduri compatibil-EMV. Acelasi „transfer de raspundere” l-a impus si Visa incepand cu 1 ianuarie 2006 pentru statele UE.
Aceste carduri se folosesc pe scara larga in peste 80 de tari in acest moment. Exista totusi o problema… Datorita perioadei de tranzitie la cardurile cu cip, echipamentele de citit carduri (din ATM-uri sau POS-uri) au fost modernizate treptat. Astfel, pentru o compatibilitate sporita, inclusiv cardurile cu cip eliberate de bancile europene prezentau banda magnetica.
In plus, chiar si in prezent, datorita calatoriilor in/din tari unde cardurile magnetice si cititoarele aferente sunt prevalente, cardurile cu cip inca inglobeaza banda magnetica. Un astfel de card hibrid poate fi citit si de dispozitivele vechi, si de cele noi, insa mosteneste problemele de securitate ale primelor.
De ce americanii inca nu folosesc cardurile smart?
In 2013, doar aproximativ 2% dintre cardurile din SUA erau de tip „smart”. Ne intrebam pe buna dreptate de ce nu au fost inca adoptate in masa, avand in vedere avantajele lor. Motivul este oarecum simplu: nu exista infrastructura aferenta. Cititoarele de carduri cu banda magnetica – pentru cardurile clasice – nu sunt compatibile cu cardurile destepte. Ele nu pot citi informatiile de pe cipurile computerizate ale cardurilor si asta inseamna ca magazinele si bancile ar trebui sa isi schimbe echipamentele.
Dupa cum puteti intui, aceste actiuni dureaza si sunt destul de costisitoare, intrucat peste 8 milioane de companii ar trebui sa isi inlocuiasca echipamentele. Al doilea motiv ar fi ca exista peste un miliard de carduri obisnuite in SUA, fie ele de debit sau de credit. Bancile ar trebui sa le inlocuiasca pe toate, insa producerea unui card cu cip este de 5 ori mai scumpa decat in cazul unui card clasic, cu banda magnetica.
Sistemul de plati din SUA este unul multistratificat, implica si procesatori de plati, iar sistemul juridic este diferit. Povara upgrade-ului infrastructurii va cadea in mare masura si pe comericianti, de aici si ezitarea lor in a adopta noul sistem. Probabil ca ceea ce s-a intamplat in perioada Black Friday la Target va accelera termenul limita de impunere in SUA a noului standard in materie de carduri, planificat initial pentru 1 octombrie 2015.
In plus, protectia consumatorului este foarte bine pusa la punct in SUA si cetateanul american isi recupereaza eventualii bani pierduti in astfel de fraude. Totodata, expertii in securitate afirma ca frauda in materie de carduri bancare este oarecum scazuta. Pana la urma, bancile pierd aproximativ 6 centi la fiecare suta de dolari tranzactionata prin intermediul cardurilor de debit sau de credit. Aceasta pierdere este considerata acceptabila pentru ca este mai mica si ofera mai putine batai de cap decat reconstruirea totala a infrastructurii.
Un card inteligent poate insemna ca utilizatorii sa piarda timp si sa se enerveze in timp ce asteapta generarea unei parole pentru a confirma plata. O alternativa comoda la utilizarea cardurilor, cel putin pentru platile de valoare mica, este oferita chiar de piata smartphoneurilor. Tot mai multe telefoane inteligente vin la pachet cu tehnologia NFC (Near Field Communication).
Acest sistem permite ca utilizatorii sa isi lege contul bancar de un portofel personal in smartphone. Tot ce trebuie sa faci este sa apropii telefonul de un sistem compatibil si tranzactia este completa.
Cum stau lucrurile in Romania?
La noi in tara, procentul platilor cu bani cash este covarsitor. In mare masura, romanii folosesc cardurile doar pentru a-si retrage banii de pe cardul de salariu. 40% dintre ei isi scot toti banii de pe card in ziua de leafa.
Un studiu al Comisiei Europene claseaza Romania pe penultimul loc in Uniunea Europeana, inaintea doar a Bulgariei, in privinta platilor cu cardul. In medie, un roman plateste cu cardul de 8 ori intr-un an.
In privinta cumparaturilor online, cea mai populara metoda de plata in perioada Black Friday, ca de altfel si in timpul anului, este cea ramburs. Coletele vin acasa, banii sunt luati de catre firmele de curierat si ulterior ajung in contul comerciantului.
Cu toate ca, dupa cum am mentionat anterior, proportiile fraudelor facute prin intermediul cardurilor bancare sunt scazute, romanii aleg sa nu riste deloc si sa plateasca ramburs cand comanda online.
Lasă un răspuns