Wystarczy niewielkie urządzenie w odpowiednim miejscu i dane o karcie kredytowej razem z kodem pin trafią do przestępców. A razem z nimi miliony euro, funtów i złotych.
Scenariusz skreślił trzy lata temu ówczesny wysoko postawiony oficjel w amerykańskim wywiadzie, a opisał dziennik Daily Telegraph. Podstawą scenariusza jest założenie, że najsłabszym ogniwem w łańcuchu bezpieczeństwa są ludzie, a punktem kulminacyjnym przejęcie kilkudziesięciu milionów funtów i euro z kart płatniczych europejskich konsumentów. O co chodzi?
Tak mogłoby się zdarzyć
Załóżmy, że gdzieś na Dalekim Wschodzie przekupiony zostaje pracownik zajmujący się kontrolą jakości i bezpieczeństwa w fabryce produkującej elektroniczne komponenty do czytników kart płatniczych. Przymyka oko gdy w urządzenia wpinane jest małe urządzenie – keylogger – umożliwiające przejęcie tego, co wystukiwane jest na klawiaturze. Podzespoły montowane są potem w urządzeniach, a te trafiają do terminali w sklepach w całej Europie. Kilka miesięcy później z kart kredytowych konsumentów odprowadzane są niewielkie sumy, których ci nawet nie zauważają. Keylogger spełnia zadanie, przestępcy zgarniają milionowe zyski.
Niemożliwe? Być może rzeczywiście taki scenariusz należy do kategorii fikcji literackiej, a Joel Brenner wymyślił go, żeby nastraszyć opinię publiczną. Jednak problem, zwany z angielska supply chain attack istnieje, a podobny scenariusz może się kiedyś ziścić. Keylogger nie jest przecież urządzeniem używanym przez Bondów całego świata, proste modele kupić może każdy. Keylogger jest po prostu dostępny w sklepach, a kwestie bezpieczeństwa nie należą do najważniejszych, przynajmniej w ocenie samych producentów.
A tymczasem producenci…
Przeprowadzone w 2011 roku przez firmę ChainLink Research badanie pokazuje, że bezpieczeństwo sieci zaopatrzenia traktowane jest przez globalne koncerny po macoszemu. Większość firm przeznacza na te kwestie nie więcej niż 250 tys. dolarów rocznie, przy czym dominującą kwotą jest mniej niż 50 tys. dolarów. A to oznacza, że przeciętna firma nie zatrudnia nawet jednej osoby, która byłaby za to odpowiedzialna. Ponad 70 proc. badanych firm nie ma żadnych standardów bezpieczeństwa, a osiem z dziesięciu w ogóle nie kontroluje niektórych ze swoich dostawców.
Zaawansowane operacje grup przestępczych są być może fikcją, jednak wyłudzenia przy użyciu podstawionych urządzeń są całkowicie realne. W 2008 roku Mastercard Internal ogłosił, że odkrył kilkaset takich urządzeń w sklepach w Wielkiej Brytanii. Keylogger w każdym z nich przekazywał drogą telefoniczną z wykorzystaniem sieci komórkowych informacje o kartach i kodach pin. Wszystkie trafiały do Lahore w Pakistanie, gdzie wykorzystywane były do przeprowadzania transakcji.
Co można zrobić?
W Polsce co jakiś czas media obiegają ostrzeżenia przed niefrasobliwym wybieraniem pieniędzy z bankomatów. Zaleca się przyglądanie temu, co znajduje się na zewnątrz urządzeń, kompletnie zapominając, że rzeczywiste zagrożenie może czaić się wewnątrz. Złożone procesy produkcji, łańcuszki dostawców i poddostawców, spółek matek, córek, wnuczek i innych powinowatych sprawiają, że kontrola jest wyjątkowo utrudniona. Z punktu widzenia pojedynczego konsumenta niewiele da się zrobić. Warto jednak monitorować dokładnie swoje konta bankowe i karty kredytowe. Przydatną opcją oferowaną ostatnio przez banki jest smsowe powiadomienie o każdej transakcji. Jeżeli dojdzie do transakcji, która nie była autoryzowana przez właściciela konta lub karty kredytowej, to posiadać takiego rachunku lub karty od razu ją wyłapie dzięki otrzymanemu smsowi.
