Обновена на 27.08.2021 от Questo
3D Secure е технология, която беше въведена за да намали злоупотребите с банкови карти.
Преди въвеждането й беше възможно някой да направи онлайн плащане само с номера на банковата ви карта и съответстващия CVV код.
Имплементирането на 3D Secure налага допълнителен слой на защита. Освен че платецът трябва да попълни номера на картата, той трябва да предостави две пароли/кодове, за да бъде извършена транскацията. Едната парола е статична (една и съща при всяко плащане), а другата е динамична (различна е всеки път и клиентът я получава на смартофна си по време на плащането).
При по-новите версии на 3D Secure се използват и биометрични данни вместо парола. Може да сте обърнали внимание, че някои от българските банки тестват плащания с лицево разпознаване.
Въвеждането на 3D Secure намалява риска от злоупотреби, но не го премахва. Според анализ на Gemini Advisory крадците започват да намират начини, с които да заобиколят този нов защитен слой при онлайн плащанията.
Как престъпниците заобикалят 3D Secure
3DS все още е нова технология и потребителите не са запознати с нея. И измамниците се възползват от този факт.
До голяма степен те разчитат на социално инженерство, за да заблудят жертвите си сами да предоставят така необходимите данни за достъп до банковите им сметки.
Фалшив онлайн магазин
Фишингът е един от най-често използваните методи за кражба на лични данни. Тази тактика може да заобиколи дори и най-затегнатата защита.
Ето как действа.
Крадците създават фалшив сайт, който имитира истински онлайн магазин.
Жертвата посещава фалшивия сайт, купува си нещо и въвежда данните за банковата си карта.
Фалшивият сайт взема данни на жертвата и ги въвежда в истинския онлайн магазин. Тъй като всичко се случва в реално време, откраднатите данни включват динамичния код, който жертвата е получила на телефона си.Така се прескача многофакторната автентикация на плащането.
Малуер на смартфона
Измамниците инсталират на смартфона на жертвата си зловреден софтуер, който има достъп до входящите SMS-ите. Така те могат да правят плащания от името на жертвата, защото виждат динамичните пароли, които пристигат като текстови съобщения.
Условията това да се случи е крадците предварително да разполагат с други важни данни за жертвата като номер на банковата карта, имена и CVV код.
И разбира се, трябва да успеят да инсталират малуера на смартфона на жертвата. Всъщност в повечето случая жертвата сама инсталира софтуера, докато си мисли, че всъщност инсталира нещо безобидно като игра или приложение за хороскопи.
Мним банкер се обажда по телефона
Измамниците вече разполагат с някакви данни за жертвата си – например име, номер на банкова карта, телефонен номер и т.н.
Те се обаждат по телефона на жертвата и се представят за служител на банката. Обясняват, че правят проверка за достоверността на данните на жертвата. Цитират и нейните собствени даннни, с които вече разполагат, за да я убедят, че обаждането наистина идва от банката.
Накрая измамниците предупреждават жертвата, че ще получи код за потвърждение, който трябва да продиктува на служителя по телефона.
Как да се предпазите
Наскоро собствениците на незаконен онлайн магазин публикуваха данни за банковите карти на 1 млн. души от цял свят, включително и българи.
Не говорим само за имена и номера на карти, но и адреси, телефони, имейли.
За да избегнете източване на банковата карта, трябва да ограничите изтичането на личните ви данни. Избягвайте да ги споделяте в интернет.
Внимавайте за фишинг сайтове.
Не отговаряйте на имейли, които изискват да изпратите или въведете данните си някъде.
Не предоставяйте личните си данни на хора, които се представят за банкови служители. Или за когото и да било.
Внимавайте какви мобилни приложения инсталирате на смартфона си. Ако искат достъп до обажданията и SMS-ите ви, без такъв да е необходим (защо му е на приложение за обработка на снимки да знае какви SMS-и получавате?), възможно е приложението да е зловредно.