Hlavní druhy zneužití
Zneužití karty se v ČR a EU dnes děje typicky v několika kategoriích, které mají různý profil a vyžadují různou obranu.
Phishing
Útočník vás přiměje dobrovolně sdělit údaje karty, případně potvrdit 3D Secure platbu. Typické kanály: e-mail tvářící se jako banka („vaše karta byla zablokována, ověřte údaje“), SMS s odkazem na podvrženou stránku (typicky o „nedoručené zásilce“ nebo „doplatku za clo“), telefonát z falešného čísla banky („zaznamenali jsme podezřelou transakci, ověřte se“). Phishing je dnes nejčastější způsob zneužití a útočníci ho neustále zlepšují — texty jsou v plynulé češtině, layout napodobuje skutečnou banku, čísla volajících jsou falšována.
Skimming
Fyzické okopírování karty na bankomatu nebo terminálu pomocí přídavného zařízení. V éře čipových karet je skimming v EU vzácný — čip nelze klonovat. Útočníci se zaměřují na bankomaty s magnetickým pruhem, typicky v destinacích, kde čipová infrastruktura není standardem. Známkou skimmingu na bankomatu jsou neobvyklé prvky kolem slotu (nadměrně vyčnívající kryt, nelepící se plast, zaházky), nepřirozeně umístěná kamera nad klávesnicí.
Únik databáze obchodníka
Velký e-shop nebo služba má slabě zabezpečenou databázi a útočník odcizí čísla karet, expirace a CVV. Tato data se pak prodávají na temném internetu a používají k pokusům o platby. V Evropě je úspěšnost těchto pokusů omezena 3D Secure, mimo Evropu vyšší. Klient se o úniku zpravidla dozví dvěma cestami — banka monitoring zaregistruje podezřelé pokusy a kartu preventivně vymění, nebo klient sám zachytí sporné transakce na výpisu.
Falešný e-shop
Podvodný internetový obchod nabízí zboží, které neexistuje, nebo za nereálně nízké ceny. Klient zaplatí, zboží nedorazí, e-shop přestane reagovat. Někdy dorazí náhrada nízké hodnoty, aby se transakce z pohledu chargebacku jevila „doručená“. Detail o ověřování e-shopů je v textu o online platbách. Chargeback v této kategorii bývá úspěšný, pokud klient stihne lhůtu a má dokumentaci.
SIM swap
Sofistikovanější útok, při kterém útočník přesvědčí mobilního operátora, aby přesměroval vaše číslo na jeho SIM kartu. Po úspěšném swapu mu chodí všechny SMS, včetně 3D Secure kódů, autorizací bankovních operací a obnovovacích hesel k e-mailu. Při kombinaci s předchozím únikem hesel může útočník vyprázdnit účet. SIM swap je v ČR méně častý než v některých jiných zemích, ale výskyt roste. Obrana: silné autentizační kódy pro operátora, využívání aplikační autorizace místo SMS kódů, kde to banka umožňuje.
Krádež nebo nález karty
Zloděj získá fyzickou kartu (s peněženkou nebo samostatně) a zkouší platit bezkontaktně do limitu, případně se snaží uhodnout PIN. Bezkontaktní platby nad limit vyžadují PIN, takže škoda bývá omezená — typicky několik tisíc korun, než si klient všimne nebo než karta odmítne další transakci. Detail je v textu ztracená karta.
Varovné signály
Některé situace by měly v klientovi okamžitě vyvolat ostražitost. Příchozí SMS nebo e-mail „od banky“ s odkazem nebo žádostí o údaje — legitimní banka nikdy nepožaduje údaje karty mimo aplikaci nebo internetové bankovnictví. Hovor „z banky“ s žádostí o ověření kódu z notifikace nebo SMS — banka o tyto kódy nikdy telefonicky nežádá. 3D Secure žádost, kterou jste nečekali — někdo se snaží použít vaše údaje na e-shopu. Drobná podezřelá platba na výpisu — útočníci často testují kradené údaje malou částkou, než zkusí velkou. Nedoručené dopisy nebo SMS — klasický příznak SIM swap, vaše komunikace chodí jinému zařízení.
Žádný z těchto signálů sám o sobě neznamená, že jste obětí — ale měl by vést k zvýšené pozornosti a krátké preventivní akci (zkontrolovat výpis, otevřít aplikaci banky, zavolat svému operátorovi). Lepší je deset zbytečných kontrol než jedna ignorovaná výstraha.
Co dělat při zjištění zneužití
Krok 1 — blokace karty. Okamžitě, bez čekání. Aplikace banky, klientská linka, případně Visa/Mastercard nouzová čísla.
Krok 2 — kontakt s bankou. Popište, kdy a jak jste zneužití zjistili. Vyjmenujte sporné transakce. Banka spustí podnět, který povede ke chargebacku a případně k vystavení nové karty.
Krok 3 — dokumentace. Uložte si screenshoty výpisu se spornými transakcemi, e-mailovou nebo SMS komunikaci s podvodníkem (pokud jde o phishing), případně další podklady. Banka je bude vyžadovat pro chargeback proceduru.
Krok 4 — policie. U krádeže, phishingu nebo SIM swap věc oznamte na policii a získejte protokol. Banka ho může vyžadovat při řešení sporných transakcí nad určitý limit.
Krok 5 — změna hesel a údajů. Pokud jste mohli zadat údaje karty na podvrženou stránku, předpokládejte, že máte i další údaje kompromitované. Změňte hesla k e-mailu, internetovému bankovnictví, mobilní aplikaci, případně i k velkým e-shopům, kde máte uložené karty.
Krok 6 — sledování dalších měsíců. Zneužití někdy probíhá v sériích. Po vystavení nové karty pečlivě kontrolujte výpisy další 1–2 měsíce, jestli se neobjeví transakce, které jste minuli.
Odpovědnost za neautorizované transakce
České právo a směrnice PSD2 nastavují odpovědnost za neautorizované transakce takto: pokud jste neporušili bezpečnostní pravidla, banka má povinnost transakci vrátit (kromě spoluúčasti do regulovaného limitu, typicky 50 EUR, často ji banky odpouští). Pokud jste neporušili pravidla a transakce byla neautorizovaná, banka nese odpovědnost.
Hraniční oblastí jsou situace, kdy klient sám potvrdil 3D Secure (typicky u sofistikovaného phishingu). Z pohledu pravidel je transakce „autorizovaná“ klientem, takže formálně nejde o neautorizovanou transakci. V praxi banky často takové případy chápou jako chybu klienta, ale ne vždy odmítají chargeback — záleží na konkrétních okolnostech a na tom, jak útok proběhl. Pokud jste jasná oběť pokročilého podvodu (ne nedbalost), je rozumné spor s bankou pokoušet i v této hraniční situaci.
Prevence — co dělat preventivně
Účinná prevence stojí na několika návycích, které dohromady dramaticky snižují riziko zneužití. Push notifikace o každé transakci v aplikaci banky. Virtuální karta pro rizikové online obchody a registrace. Mobilní peněženka (Apple Pay, Google Pay) místo plastové karty pro placení v terminálech a online — tokenizace dramaticky snižuje riziko úniku údajů. Silná hesla k internetovému bankovnictví, e-mailu a klíčovým účtům, s dvoufaktorovou autentizací (ideálně přes aplikaci, ne SMS).
Skepse k neočekávaným zprávám — žádný klik na odkaz v SMS „od banky“, žádné odpovídání na hovor „z banky“ s žádostí o ověření. Pravidelná kontrola výpisu, ne jen rychlé scrollování. Aktualizace zařízení — bezpečnostní záplaty operačního systému, prohlížeče a aplikace banky. Nikdy neukládat údaje karty v prohlížeči ani v poznámkách telefonu — jen v důvěryhodné aplikaci banky nebo peněžence.
Většina zneužití karet není záležitost technologie, ale lidské reakce na neočekávanou zprávu. Jediná spolehlivá obrana je nedůvěra.
Ochrana pro starší příbuzné
Cílovou skupinou phishingových a sociálně inženýrských útoků jsou často starší lidé, kteří méně dobře rozeznávají falešné stránky a důvěřují volajícím „bankéřům“. Pokud máte v rodině seniora s kreditkou, vyplatí se s ním probrat několik konkrétních pravidel: žádná banka nikdy nevolá s žádostí o kódy, před klikem na cokoli volat dětem nebo vnukům, limity na kartě nastavit rozumně nízko (proti zneužití), aktivně používat aplikaci banky s notifikacemi.
U seniorů, kteří aplikaci nezvládají, je vhodné mít konfiguraci, kde sledování výpisu pravidelně dělá někdo z rodiny. Mít přehled o útrech je v této věkové skupině často rozdíl mezi rychlou reakcí a měsíci ztrát, které se zachytí až při ročním výpisu nebo upozornění od banky.
Souvislosti
Zneužití úzce souvisí se všemi ostatními tématy bezpečnosti. Pro postup řešení sporných transakcí pokračujte na chargeback. Pro situace, kdy je problém v kvalitě zboží od legitimního obchodníka, projděte si reklamaci. Při krádeži karty řešte navíc postup při ztrátě. Pro preventivní vrstvu online plateb je klíčový text o online platbách a 3D Secure. Pro detail o CVV/CVC kódu, který je častý cíl útoku, pokračujte na CVV/CVC.