17/8/2020
Wyciek nawet pozornie niegroźnych danych może się skończyć stratą pieniędzy – piszemy o tym nie raz. Dowodem, że zagrożenie jest nie tylko teoretyczne, niech będzie oszustwo jakim padły osoby rezerwujące stolik w znanym luksusowym hotelu.
Wakacje nie mogą się obejść bez jakiejś historii hotelowej.
Jak donosi BBC londyński hotel Ritz najwyraźniej miał wyciek z systemu rezerwacyjnego. Piszemy “najwyraźniej” ponieważ nie wiadomo jak i kiedy Wyciek mógł nastąpić, natomiast z całą pewnością klienci Ritza padli ofiarą oszustwa, które takiego wycieku jest następstwem. BBC opisuje oszustwo jako “ekstremalnie przekonujące”. O co chodziło?
Dzwonię w sprawie rezerwacji…
Nieznani sprawcy w jakiś sposób zdobyli dane osób rezerwujących stoliki na kolację w Ritzu. Dzień przed kolacją dzwonili do ofiary podając się za personel hotelu. Informowali, że trzeba potwierdzić dane dotyczące karty płatniczej. Ofiary podawały dane kart, ale na tym się nie kończyło.
Jak zwykle oszuści przyjęli strategię “dojenia jelenia do końca”. Jeśli ofiara podała dane karty, oszust informował o odrzuceniu płatności i prosił o podanie danych innej karty jeśli to możliwe.
Mając dane kart oszuści próbowali zamówić kilka rzeczy w sklepie Argos. BBC pisze, że “bank zauważył podejrzane transakcje” i je zablokował, ale czy naprawdę tak było? O tym za chwilę, bo to jeszcze nie koniec oszustwa.
Oszuści ostrzegli przed oszustwem
Oszuści dzwonili do ofiar ponownie, ale podając się za personel banku. Informowali, że wykryte zostały podejrzane transakcje, które – na szczęście – zostały zablokowane. Następnie prosili o podanie kodu bezpieczeństwa wysłanego na telefon. Ofiara podawała kod umożliwiając oszustom autoryzowanie dokonanych wcześniej transakcji.
Tak opisany scenariusz oszustwa sugeruje, że nie tyle “bank wykrywał podejrzane transakcje” co raczej domagał się potwierdzenia transakcji kartowych kodem jednorazowym (dziś już nie jest to rzadkość). Oszuści jak widać znaleźli sposób na wyłudzenie tych kodów.
Wśród ofiar były zarówno osoby dokonujące rezerwacji online jak i takie, które dokonały jej telefonicznie. To sugeruje, że wyciek istotnie musiał nastąpić z jakiegoś systemu hotelowego. Sprawa została zgłoszona do ICO, czyli do brytyjskiego odpowiednika UODO. Śledztwo trwa. Nie wiadomo ile mogło być ofiar. W e-mailu do klientów dotkniętych problemem hotel ostrzegł, że nigdy nie dzwoni do klientów w sprawie dokonanych rezerwacji.
Czy to było “ekstremalnie przekonujące”?
Wiemy, że wielu naszych Czytelników słyszało o podobnych numerach, a część z was już teraz z miną eksperta orzekła, że “tylko idioci dali się nabrać”. My natomiast powiemy, że to oszustwo owszem, było proste i w pewien sposób przewidywalne. Niemniej było też przekonujące. Podsumujmy.
- Oszuści znali szczegóły rezerwacji dokonanej w luksusowym 5-gwiazdkowym hotelu. Aura luksusu i wysokiej ceny zawsze sugeruje większą dbałość o szczegóły takie jak prywatność i ochrona danych. Kto by się spodziewał plebejskiego oszustwa w Ritzu?
Oszuści wiedzieli kto dokonał rezerwacji, mieli numer ofiary, wiedzieli na kiedy i na co była dokonana rezerwacja. Wiedzieli też, że ofiara ma pieniądze skoro rezerwowała coś w Ritzu. - Oszuści fałszowali numer połączenia przychodzącego (wykorzystywali tzw. spoofing caller ID). Innymi słowy ofiary odbierające połączenia widzieli, że przychodzą one z numeru hotelu lub banku. Wciąż wiele osób nie ma świadomości, że numer połączenia przychodzącego da się podrobić i w dodatku jest to proste.
- “Dojenie jelenia do końca” tylko zwiększało wiarygodność ataku. To pozwala na utrzymanie ofiary w stanie ciągłego pobudzenia emocjonalnego. Problemy z pierwszą płatnością wprowadzały ofiarę w stan zdenerwowania (“ojej, problem z kartą, muszę to załatwić”). Późniejsze podszycie się pod bank tylko podnosiło poziom zamieszania i sprawiało, że ofiara zaczynała się zachowywać jeszcze bardziej nieostrożnie (por. Wyłudzał dane i “potęgował psychozę”. Co się stało z phisherem, przed którym ostrzegaliśmy).
- Oszuści prawdopodobnie musieli wyłudzić kod CVC/CVV. Części z was wyda się, że podawanie tego kodu przez telefon jest głupotą. Prawda jest jednak taka, że kod CVV/CVC służy autoryzowaniu transakcji bez obecności karty co dotyczy transakcji online oraz… transakcji telefonicznych. W krajach, w których płacenie kartami jest bardziej popularne i mocniej zakorzenione w rynku podanie przez telefon kodu z rewersu karty nie jest rzeczą niespotykaną.
Przy okazji przypominamy, że praktyką absolutnie niedopuszczalną jest spisywanie kodu CVC/CVV na kartach.
Pod pewnymi względami oszustwo w Ritzu przypomina opisywany niegdyś u nas scam związany z wyciekiem danych o rezerwacjach na wycieczki. Jednak pod jednym względem to oszustwo było bardziej przekonujące. Zostało dokonane przez telefon, a ta droga kontaktu zwiększa nacisk na natychmiastowe działanie ofiary.
Co robić? Jak żyć?
Przede wszystkim pamiętajmy, że nasze dane wyciekają. Nie tak dawno informowaliśmy o incydencie ochrony danych w znanej wypożyczalni aut. Nawiasem mówiąc wiemy, że wypożyczalnia bardzo uważnie przygląda się sytuacji i poinformowała swoich klientów o możliwym wycieku. To bardzo ważne i godne pochwały.
Bądźmy wyczuleni na wszelkie niespodziewane telefony, w których rozmówca żąda podania danych osobowych albo nawet fragmentów tych danych. W takim wypadku dobrym pomysłem będzie powiedzenie konsultantowi, że sami oddzwonicie do firmy by wyjaśnić sprawę. Uwaga. Oszust w tej sytuacji się nie podda i prawdopodobnie będzie straszył poważnymi konsekwencjami braku współpracy. Miejcie to gdzieś.
Przed podawaniem fragmentów danych ostrzegamy, bo niektórzy oszuści potrafią zbierać dane “na raty” np. prosić tylko o 4 ostatnie cyfry PESEL-u, by po pewnym czasie zadzwonić i poprosić o inne cyfry.
Właściwie trudno nam wyobrazić sobie sytuację, w której warunkiem załatwienia jakiejś sprawy telefonicznie jest podanie danych natychmiast i w rozmowie, która nie została przez nas zamówiona. No chyba, że będzie to rozmowa o charakterze marketingowym, w której ktoś proponuje nam zmianę lub zawarcie nowej umowy. W takich sytuacjach również radzimy grzecznie odmawiać i ewentualnie prosić o telefon w innym terminie, dając sobie czas na sprawdzenie marketera i jednocześnie przemyślenie propozycji.
Wiemy, że niektórzy prawdziwi przedstawiciele banków potrafią dzwonić i z miejsca pytać o dane osobowe. Ubolewamy nad tym, że takie praktyki się zdarzają.
Aktualizacja
Już po publikacji tego tekstu napisał do nas Czytelnik, który mieszka na stałe w UK i potwierdza to o czym pisaliśmy – podawanie w tym kraju danych karty przez telefon (z kodem CVV włącznie) nie jest niczym nadzwyczajnym. Co gorsza – trudno tego uniknąć.
Witam
Krótki komentarz do Waszego artykułu o Ritz. Mieszkam w UK od jakiegoś czasu i wiem jak tu się to dzieje. Podawanie numerów kart przez telefon wraz z numerami CVV to tu całkiem normalne zachowanie sklepów, urzędów itd. Niestety BARDZO wielu obywateli UK nie ma wiedzy o tym co się dzieje i jak trzeba zachowywać się w podobnych sytuacjach. Co ciekawe nie ma w wielu przypadkach możliwości zrezygnowania z takich firm, bo trzeba by w ogóle rezygnować z wielu usług (leczenie, opłaty parkingowe itd), szczególnie w chwili obecnej w trakcie COVID. Mało tego czytając Wasz artykuł powiem że PRAWDOPODOBNIE sam bym się mógł “naciąć” na fragment z hotelem (dzwonienie “z banku” już by u mnie nie przeszło).
Mam z kobietą po kilka kart bankomatowych polskich oraz angielskich. I oboje byliśmy ofiarami kradzieży numerów kart angielskich (jak się domyślamy numery “wypłynęły” poprzez jakieś strony www), a więc wyobrażam sobie jaka jest skala kradzieży. Jeden jedyny plus, że w UK nikt z banku nie dyskutuje z nami o tym czy nam oddać pieniądze, lub czy nie i nie jest uzależniane oddanie od tego w jaki sposób te pieniądze zostały ukradzione, po prostu oddają. Jedyne pytanie jakie dostałem ze swojego banku podczas zgłaszania takiej kradzieży, to było czy mam program antywirusowy oraz czy dawałem numer karty znajomym.
W Polsce po kradzieży pieniądze też powinny być oddane, tak wyraźnie stanowi prawo, ale w praktyce jest inaczej (zob. Ukradli mi pieniądze z konta i co dalej? Prawo swoje a banki swoje)
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Niektórzy ludzie nie dojrzeli do posiadania karty płatniczej. Natomias kwestią usprawiedliwiającą jest to, że u anglosasów panuje kultura załatwienia każdej sprawy przez telefon, bez wychodzenia z domu.
Nie, to system nie dojrzał do ludzi. Kilka cyferek nie powinno być dowodem złożenia oświadczenia woli i zawarcia wiążącej umowy, a tym bardziej przesłanką do spełniania świadczeń pieniężnych.
Również jestem tego zdania że system jest niedojrzały. Jak można ściągnąć komuś z konta jakąkolwiek sumę pieniędzy bez autoryzacji (bardzo dobrze jest to rozwiązane przy blik). Dla mnie to Chore.
Dlatego nie robię rezerwacji przez Booking, tam zawsze trzeba podać numery karty.
Czyli dane karty są w bazie booking i hotelu.
Swego czasu, będąc gościem hotelu należącego do słynnej, greckiej sieci korzystałem czasami z komputera z netem umieszczonego w lobby. Internet bardzo ciężko na nim chodził, więc zainteresowałem się tym co jest na dysku. Okazało się, że to komputer przeniesiony z działu sprzedaży/marketingu i na profilu innego użytkownika można było znaleźć wiele ciekawych zestawień, planów sprzedaży, rezerwacji wraz z numerami dowodów/paszportów i numerów lotów pasażerów.
Pisałeś już o tym kiedyś w komentarzu (nawet w artykule podlinkowanym tutaj (tym o spisywaniu numerów (o nie, zapętlone nawiasy (i co teraz))))
Atak byl przekonywujacy skuteczny poniewarz przestepcy “autoryzowali” sie danymi ktore wyciagneli od hotelarzy przed klientami a potem danymi wyciagnietymi od klientow przed bankiem (niescislosci nie wyplynely poniewarz podzielili atak na kilka stopni).
Watpie zeby przed czyms takim mozna bylo sie zabezpieczyc racjonalnym wysilkiem czy ostrozniscia. Po prostu ten system jest wadliwy. To troche tak jak plywanie z rekinami w opatrunku z ktorego saczy sie krew.
Problem 1: Karty kredytowa wykorzystywana (nawet “wiszaca”) jako token rezerwacji.
Problem 2: Zalawiatwianie *czegokolwiek* przez telefon, gdzie siec telefoniczna to obecnie rezerwuar zagrozen i podatnosci.
Aby dosyć mocno ograniczyć taki scenariusz wystarczy wymusić na rozmówcy wykonanie połączenia zwrotnego (oddzwonię za chwilę i podam dane).
@Hrabia,
Tylko ze to jest lata na wadliwe rozwiazanie, dodatkowo zeby miala jakikolwiej sens firmy, instutucje a generalnie wszyscy dzwiniacy musieli by sie zachowywac tak jakby byli calkowicie anonimowymi podejrzanymi typami spotkanymi w ciemnym zaulku (bo to jest kierunek w ktorym zmierzamy).
Racjonalne podejscie u dzwoniacych nie ma miejsca i raczej nigdy go miec nie bedzie, a “manualna” weryfikacja tozsamosci jest traktowana jako ujma na honorze dzwoniacego, niemowiac juz o numerach na ktore nie mozna oddzwonic (automaty/boty, numery zastrzezone czy inne ustrojstwa). Dodatkowo 10’000 obslugowanych na raz osob dostaje telefon z firmy X a potem oddzwaniaja wszyscy na ten sam numer…?
PONADTO, nawet jesli poprawne zachowania stana sie standardem, to nadal istnieja mozliwosci uszustwa (kradzierz numerow, podmiana stacji bazowej, etc).
Rozmowa telefoniczna – nie jako samo zalozenie ale system/wykonanie, w obecnych czasach i warunkach traci racje bytu. Moze dalo by sie cos z tym zrobic gdyby go racjonalnie modernizowac, ale operatorzy maja to gdzies, rzadwy wrecz utrudniaja, glupota tryumfuje…
TL;DR: Zabezpieczenie systemow/operacji funkcjonujacych przy pomocy telefonicznej rozmowy to troche tak jak proba wygrania sztafety, przez druzyne gdzie 3 biegaczy zawsze niesie 4-tego przez caly jego odcinek. Ile by sie nie naanalizowac, ile by sie nie naoptymalizowac, ile by nie wlozyc�wysilku to nigdy nie wygraja. Moga co najwyzej probowac minimalizowac straty ale jest pewna granica ktorej nie przekrocza, ich czas bedzie o te kilkadziesiat procent gorszy (plus minus ulamki procenta od pewnej granicy) podobnie jak normalne biegnacy ktorzy koncza w pewnym waskim zakresie szerokosci kilku procent czy ulamkow procenta…
T-Mobile usługi bankowe, czyli Alior – Trwało to 3 miesiące ale pieniądze oddane. Dane karty wyciekły niewiadomo gdzie. Teraz ustawiam małe limity internetowe, i zwiększam tylko na chwilę.
Ale jakie podawanie CVV przez telefon?! Przecież VI i CA kategorycznie tego zabraniają! Żaden merchant nie ma prawa poprosić o CVV przy płatności MOTO. Nawet brytyjskie firmy obsługujące płatności zdalne dobrze o tym wiedzą. Do przeprocesowania płatności w POSie nie jest potrzebne CVV, a nawet jeśli merchant korzysta z formularza online’owego do przeprocesowania płatności, ale jest to formularz pod zamówienia MOTO, to to na tym formularzu nie ma pola CVV.
Mieszkam w UK od 7 lat i jakoś nigdy nie podałem numeru karty przez telefon. Fakt że niektóre restauracje tego wymagają przy rezerwacji, ale są inne, które nie wymagają. Zwłaszcza teraz, gdy restauracje padają jak muchy, powinny się nauczyć, że klient ich pan i nie należy od niego wymagać podawania CVV. Dużo gorzej jest (przynajmniej było) z hotelami w Hiszpanii. Tam bardzo trudno zarezerwować bez podania CVV. Natomiast banki maja już dość oddawania pieniędzy i coraz częściej trzeba podać 3D Secure wysyłane SMSem. Taki SMS z NatWest ma postać. For security NEVER share the following code, even with the bank or police. Code to confirm your online purchase is 123456 & expires in 8mins. Więc skoro wyraźnie jest napisane, by nigdy go nie podawać nawet bankowi lub policji to ewidentnie jest wina kogoś kto podaje.
Swoją drogą niedawno miałem sytuację z bankiem w UK gdzie jest ewidentna luka w bezpieczeństwie. Tym razem Metrobank, w którym mam konto firmowe.
Musiałem zapłacić corporation tax i jak zwykle próbowałem to zrobić kartą online na stronie HMRC (brytyjski US). wyświetliło mi się 3D secure, ale kod SMSsem nie przyszedł. Poczekałem kilka minut i spróbowałem ponownie. Znowu to samo. Jako, że jak zwykle zwlekałem na ostatnią chwilę a nie chciałem płacić kary za zwłokę to postanowiłem zapłacić przelewem online. Płatność niby na nowego odbiorcę ale wybieram z liSty bezpiecznych instytucji HMRC. tym razem przychodzi SMS z kodem do potwierdzenia, potwierdzam, ale płatność jest odrzucona. OK idę do banku. Stoję sobie w kolejce w odstępie 2m od poprzednika, z maseczką na twarzy. W banku przy okienku, nadal w maseczce na twarzy, mówię o co chodzi, pani prosi mnie o podanie karty płatniczej. Generalnie bym odmówił dawania karty, no ale w końcu jestem w banku, który ją wydał. Pani tylko ją przyłożyła do czytnika zbliżeniowego i zaraz oddała. Spytała się mnie ile przelać, na jakie konto i z jaką referencją. Jak usłyszała kwotę, to powiedziała, że musi manager potwierdzić a mi kazała się podpisać na poleceniu przelewu. Podpisałem się, pani poszła na zaplecze i po chwili przyszła ze zgodą managera. Miałem w ręku paszport bo spodziewałem się, że będzie konieczny do potwierdzenia tożsamości, ale nie był potrzebny. Cały czas na twarzy miałem maseczkę. Wystarczyło im zbliżenie karty do czytnika i podpis. Dodam, że kartę mam niepodpisaną. Widocznie zakładają, że nikt nie płaci podatku kradzioną kartą. No ale w takim razie dlaczego odrzucają transakcję online gdy zalogowałem się loginem, hasłem (wybrane literki), pinem (wybrane cyferki i jest to pin do logowania online nie do karty) i potwierdziłem logowanie kodem z SMSa a później jeszcze raz potwierdziłem płatność kodem z SMSa.
Skoro to była kwota, która wymagała autoryzacji managera przy płatności w placówce banku (w domyśle, nie było to 100 funtów) – może po prostu przekraczała któryś z limitów na karcie ustawionych (transakcji, dzienny lub miesięczny)?
Przekraczała limit na karcie, ale nie mam limitu na przelewy online a te były odrzucane bez podania przyczyny. Poza tym głównie chodzi mi o to, że jak ktoś znajdzie kartę Metrobanku, której zguby właściciel nie zgłosił, to może iść do placówki i wykonać przelew. Jedyne uwierzytelnienie to podpis.
W idealnej sytuacji banki przyzwyczajałyby nas, by gdy dzwoni “bank” i twierdzi, że ma coś do nas “urgent, people are dying”, to podaje tylko imię, nazwisko prosząc, byśmy oddzwonili ASAP na oficjalny, _dostępny_na_karcie_płatniczej_ numer telefonu, prosząc o rozmowę z oczekującym pracownikiem.
Owca syta i wilk cały.
Dokładnie!
Z nieco innej beczki: niech ktoś mi powie, czemu rejestrując się gdziekolwiek, trzeba podać maila 9na który przyjdzie potwierdzenie rejestracji), zamiast samemu wysłać maila z jakąś konkretną treścią, która od razu potwierdza naszą rejestrację?
Np. dziś dostałem maila rejestracyjnego z Reddita, bo ktoś wpisał mój mail. I co? Mam kliknąć “to nie ja się rejestrowałem” czy olać? A tak, to nie dałoby się omyłkowo ani specjalnie podać cudzego maila.
Rowniez potwierdzam, ze w UK podawanie danych karty przez tel to normalna praktyka. Zwrot pieniedzy jest naprawde bezobslugowy. Dla przykladu, zglosilem transakcje za niewykonanie uslugi. Kilka pytan przez chat i zwrot po tygodniu. Przyklad z polskiego nestbanku: ograniczona liczba zalacznikow, chaotyczny proces. Uznali chargeback za rozwiazany bez zwrotu kasy i poprosii by wyslac poczta paragony (WTF? mialem tylko elektroniczna fv). Bardzo dlugo odpisywali i kasa zwrocona po 2 mcach od zgloszenia.