Jak ukraść numer nowej karty?

W jaki sposób złodziej może zrobić zakupy na czyjś koszt? Najprościej – za pomocą karty kredytowej. Może spróbować przechwycić jej numer w sieci, może też ukraść portfel i zrobić szybkie zakupy nim właściciel się zorientuje. Jest też trzecia opcja – przechwycenie karty w drodze z banku do odbiorcy. Tylko skąd wiadomo, kiedy karta będzie przesyłana?

Z pomocą przychodzi nowa usługa amerykańskiej poczty. United States Postal Service (USPS) uruchomiła jakiś czas temu usługę Informed Delivery. Jeśli założymy sobie na niej konto, każdy list skierowany do nas, będzie zeskanowany z zewnątrz. Tak, byśmy wiedzieli, że konkretnego dnia trafi do nas nowy numer ukochanego miesięcznika, list od cioci i przesyłka z banku.

Problem polega na tym, że przy uruchamianiu usługi, USPS zapomniał o konieczności sensownego weryfikowania użytkowników. Aby założyć konto, wystarczyło odpowiedzieć na parę ogólnych pytań przygotowanych przez… Equifax. Tak, ten sam Equifax, który “zgubił” dane około 145 milionów swoich użytkowników. Jeśli nasze odpowiedzi zgadzają się z tym, co wie o nas Equifax (i ci, którzy skopiowali sobie jego bazy), możemy się cieszyć nową usługą. W pierwszym okresie jej istnienia – w sposób niezauważalny dla rzeczywistego właściciela adresu, bo USPS dopiero po pewnym czasie zdecydował się na listowne informowanie o powstaniu konta przypisanego do konkretnego adresu.

W związku ze słabościami w identyfikacji użytkowników, grupa złych ludzi wpadła na pomysł zakładania kont w “informed delivery” w imieniu losowych osób, a następnie – również w ich imieniu – zgłaszania zagubienia kart kredytowych, zapotrzebowania na nowe lub zakładania nowych kont bankowych. Banki wysyłały nowe karty – a kiedy przesyłka trafiała do listonosza, złodzieje wiedzieli o tym kilka godzin przed jej dostarczeniem do skrzynki pocztowej. Potem już tylko trzeba było wyjąć kopertę ze skrzynki i zrobić e-zakupy na koszt niespodziewającej się niczego ofiary.

We wrześniu aresztowano siedem osób, które prawdopodobnie w ten sposób wykradały karty kredytowe. Łączne straty wygenerowane tylko przez tę grupę ocenia się na 400’000 dolarów.

A co u nas?

Poczta Polska również oferuje usługę łączącą papierową pocztę z internetem. Usługa neolist skanowany pozwala nie tylko obejrzeć kopertę z zewnątrz, ale dostać skan jej zawartości. Według strony internetowej Poczty Polskiej, do założenia konta na osobę fizyczną konieczne jest udanie się z dowodem osobistym do placówki pocztowej. Duży plus.

Minus polega na tym, że – przynajmniej według schematu na stronie PP – jeśli zakładamy konto firmowe, obecność osobista jest zbędna. Być może w praktyce jest inaczej – czy ktoś z was korzysta z tej usługi?

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z ISEC.pl, zespołem zajmującym się badaniem bezpieczeństwa systemów informatycznych.

View all posts by lmj →