Bankomaty nejsou v bezpečí
1. Červenec 2008 - Zobrazeno: 6,690 x
Novinky.cz, 1. července 2007: Muž osahával bankomat v gumových rukavicích a zatkla ho policie. Člověk, který čekal za ním a pozoroval, jak muž obezřetně prohlíží bankomat, hledá kamery a zkouší klávesnici, nabyl pocitu, že něco není v pořádku. Když pak ještě posypal klávesnici práškem a nasadil si gumové rukavice, nevydržel to a zavolal policii. Tohle se stalo v německém Münsteru. Zatčeným byl čtyřicetiletý Němec Hans Mauer, a jak se následně vysvětlilo, dlouhé roky se vyhýbal bankomatům.
Zní to jako příběh pro cvokaře, leč smích ve tváři ztuhne ve chvíli, když si uvědomíme, že jen v Evropské unii došlo (vztaženo k roku 2007) k napadení již 27 milionů(!) platebních karet. V celosvětovém měřítku bylo napadeno již 121 mil. karet (údaj podle Magazinu Codrmag č. 3/2007).
Padělatelství - zlatý důl
Padělatelství je hodně stará forma trestné činnosti a vyvíjí se stejně jako platební prostředky. Padělání bankovek, šeků, dokladů, cenin a dalších cenných dokumentů má zhruba čtyřistaletou historii a bylo vždy považováno za jeden z nejtěžších zločinů, čemuž odpovídaly i formy trestání státní mocí. V různých zemích hrozilo padělateli useknutí ruky (nebo raději obou), hození za živa do vroucí vody nebo oleje, anebo poprava. Svým způsobem výhrou pro pachatele byla deportace na Sibiř (uplatňováno v Rusku). Pravdou ovšem také je, že padělatelé, podobně jako kasaři, byli považováni za jakousi extratřídu mezi zločinci. Ostatně, nevšední pohled na „padělatelské umění” přináší Rakousko-Německý film Die Fälscher - Ďáblova dílna (režie Stefan Ruzowitzky, 2007), který doporučuji shlédnout.
Padělání elektronických platebních prostředků je pochopitelně relativně mladou formou trestné činnosti. Vždyť historie platebních karet sahá do roku 1950, kdy společnost Diners Club vydala první platební kartu na světě pro zákazníky, kteří se dostali do trapné situace v restauraci, když si doma „zapomněli” peněženku.
Obrovský úspěch platebních, hlavně však kreditních karet, se záhy přenesl z Ameriky do Evropy a dalších částí světa. Nejrozšířenějšími elektronickými platebními prostředky jsou dnes produkty společností VISA, AMERICAN EXPRESS, MASTERCARD, DINERS CLUB a JCB.
Ochranné prvky platebních karet
Tak jak docházelo k napadání platebních karet, zvyšovaly se prvky jejich ochrany, včetně toho, že byly vyvíjeny ochrany celého systému elektronického bankovnictví (konstrukce bankomatů, přenosové bankovní sítě, režimová opatření, kontrolní systémy atd.).
V současnosti se od karet s magnetickým proužkem (který uchovává potřebná identifikační a další data) přechází ke kartám s čipem. Pro banky je ale přechod na novější technologie nákladný, proto s ním nijak moc nespěchají. Po přechodnou dobu se tedy budou užívat tzv. karty hybridní (s magnetickým proužkem i čipem).
Ochranné prvky aplikované přímo na kartách ale ani zdaleka neznamenají stoprocentní ochranu účtu klienta. Kriminalisté a bankéři registrují celou řadu primitivních, ale i velmi sofistikovaných metod padělků platebních karet, jakož i napadení bankomatů. K mnoha nejrůznějším formám zneužívání karet dochází i v oblasti internetového obchodu.
Rozhodující je, že i dříve primitivní metody fungovaly, než se na ně našel „protilék”. Dnes je dosti časté použití tzv. „klonované” karty. Jako polotovar k jejímu zhotovení se používá čistý bílý plastový výlisek s magnetickým proužkem na zadní straně. Ten je nutné „oživit” reálnými údaji z originální platební karty klienta. Způsobů, jak se to pachateli podaří, je fůra.
A co naše legislativa?
V této souvislosti je nutné podotknout, že zatímco česká legislativa je vcelku dobře připravena na postih padělání peněz, podle některých odborníků to neplatí pro ochranu elektronických platebních prostředků. Přesněji, podle názoru kriminalistů někteří státní zástupci a soudci neaplikují na konkrétní skutky pachatelů správná ustanovení tr. zákona. Ale to je jiná kapitola. Ostatně, právo vždycky zaostává za technickým rozvojem - a není pochyb o tom, že vývoj bezhotovostních platebních prostředků (stejně jako „vývoj” jejich zneužívání) je skutečným a grandiózním technickým vývojem.
Statistické počty vydaných karet a počty jimi skutečných platem by ale ani na vteřinu neměly nechat v klidu legislativce zejm. ministerstev spravedlnosti, vnitra, financí a asi i dalších. Podle dostupných údajů (Výroční zpráva Sdružení pro bankovní karty ČR za rok 2006) bylo v roce 2006 našimi bankami vydáno 7,8 mil. karet (6,6 mil. debetních, 1,2 mil. kreditních). U obchodníků bylo kartami vydanými českým občanům uskutečněno téměř 116,9 mil. plateb v celkové výši cca 133,7 mil. Kč, po přičtení karet vydaných v zahraničí se tyto údaje navyšují na 137,4 mil., resp. 165,6 mil. Kč.
Zvyšování počtu užívání platebních karet zákonitě přinese zvýšení této formy trestné činnosti. (Je otázkou, jestli poklesne počet podělků bankovek?) A troufám si tvrdit, že kriminalita v této oblasti enormně vzroste po rozšíření kreditních karet. Banky sice vydávání kreditních karet všemožně podporují (samozřejmě, že kvůli spočítaným ziskům), ale nejspíš netuší, jaký bič si na sebe v Česku šijí. Čeští vynalézavci jim nejspíš ještě ukážou, jak se u nás „vydělávají” peníze. Ostatně, astronomická čísla vypovídající o půjčkách, hypotékách a dluzích občanů republiky je snad lepší ani nekomentovat J .
Skimmovací zařízení
Relativně novou formou trestné činnosti je nezákonná úprava bankomatů. Zatím nikdo nevysvětlil, odkud se ve skutečnosti tato metoda začala šířit, faktem ovšem je, že v současnosti se šíří z Východu. Bankéři začali ono „udělátko”, instalované na bankomat a sloužící k získání údajů o originální kartě, moudře nazývat „skimmovací zařízení” (zřejmě od slova skim = sbírat /údaje/).
Těžko říci, zda bylo, nebo naopak nebylo zájmem bankovních domů sledovat počty instalací skimmovacích zařízení v České republice. Zpočátku to byla přísně důvěrná informace, později vinou sdělovacích prostředků už nešlo dělat mrtvého brouka. Podle neoficiálních podkladů bankovního sektoru mělo v roce 2003 proběhnout první (a v tom roce jediné) „nasazení” skimmovacího zařízení v České republice. V následujícím roce se to mělo stát 78 krát, v roce 2005 24 krát, v roce 2006 18 krát a vloni 91 krát. Ale jsou to opravdu reálné údaje? V kolika případech například pachatelé stačili před odhalením zařízení demontovat?
I skimmovací zařízení procházelo technickým vývojem. Nejdříve se objevila tzv. „libanonská smyčka”. Do vstupního otvoru pro platební kartu bylo vloženo parazitní zařízení (rámeček s uzavřenou smyčkou zhotovenou např. z ½ palcové videomagnetofonové pásky), které sice umožnilo vložení karty, ale po zadání PIN a dalších vyžadovaných úkonch zadrželo vysunutí karty. Tím byl automaticky zablokován proces výdeje peněz. V tomto okamžiku přispěchal „na pomoc” neznámý kolemjdoucí, zmanipuloval klienta, aby znovu zkusil zadat PIN. Ten si zapamatoval. Vydání peněz se samozřejmě nepovedlo. Klient byl odkázán na řešení problému do banky. Podvodník vyndal rámeček i se zadrženou kartou a nezákonný výběr peněz z bankomatu byl otázkou rutiny.
K mnoha podvodům docházelo v restauracích při platbách kartou. Pachatel (číšník) vzal kartu klienta, vymluvil se, že čtečku mají v kanceláři, zde nenápadně protáhl platební kartu s magnetickým proužkem vlastní čtečkou magnetického proužku a tím získal její data. Zaznamenaná data pak byla nahrána na plagiát karty. Tato metoda vyžadovala jisté odborné znalosti a také určité technické vybavení.
Teprve následně se rozšířily instalace všelijakých přídavných zařízení přímo na bankomaty. Jedna z metod spočívala v instalaci mikrokamery nad klávesnicí, která snímala zadávání PIN. Následně ale bylo nutné majiteli kartu ukradnout. Podobně byl snímán zvukový signál, který vydávaly některé klávesnice bankomatů. I zde bylo nutné zmocnit se karty.
Prozatím nejnebezpečnější formou užitou na bankomatech v ČR použili pachatelé z Rumunska, Moldavska a Bulharska. Pomocí tzv. suchých zipů nebo oboustranně lepicích pásek připevňují na otvory pro vložení karty a výdej stvrzenek panely s pseudo-otvory. Okolo těchto otvorů je instalovaný snímač magnetického proužku, potřebná elektronika a mikrobaterie. Podobně je speciálně zhotoveným panelem s pseudo-klávesnicí a elektronikou překryta originální klávesnice bankomatu, která slouží k zadávání PIN. Toto skimmovací zařízení nechají pachatelé instalované na bankomatu několik hodin a přísně ho zpovzdálí střeží. Po určité době jej nenápadně demontují a s „nasbíraných” údajů klienty použitých originálních karet vytvoří s pomocí výpočetní techniky kopie karet. Vybrakování účtu klientů je snadné.
Obdobou této varianty je instalování mobilního telefonu do zakrývacího panelu, který může „sbíraná” data přenášet pomocí Bluetooth do jiného mobilu, nebo do počítače umístěného v nedaleko zaparkovaném vozidle pachatelů.
Popsané metody samozřejmě nejsou vyčerpávající, neboť nápady zločinců jsou nekonečné.
Takže, obezřetnost pana Hanse Mauera opravdu není k smíchu.
Jan Hlaváček, 1. července 2008
S využitím:
Brož, J. - Hradecký, M.: Platební prostředky - jejich ochrana a padělání. Vyd. MV ČR a ÚOOZ ve spolupráci s THEMIS, nakladatelstvím Tiskárny MV, p. o. - Právě z této velmi poučné publikace čerpal autor této statě nejvíce. Odborníkům doporučuji k prostudování.
Schön, O.: Než sdělíte citlivé údaje, raději zavolejte do banky. HN, 31. 3. 2008, s. 27.
Schön, O.: Riziko útoku z webu sníží dobrý software. HN, 31. 3. 2008, s. 27.
Schön, O.: Zjistěte, jak banka chrání vaše platby přes internet. HN, 31. 3. 2008, s. 26.
Skalová, O.: Peníze získáte zpět, byla-li platba bez PIN. HN, 31. 3. 2008, s. 26.
Znáte základní finty počítačové kriminality? Neskočte jim na ně! Inzerce Česká spořitelna, 2008.