Στόχος χάκερς έπεσαν πελάτες online τουριστικού πρακτορείου. Έκλεψαν δεδομένα 15.000 πιστωτικών και χρεωστικών καρτών. Στην άμεση αντικατάστασή τους προχωρούν οι τράπεζες. Ενήμερη η Τράπεζα της Ελλάδας, έρευνα για το πως έγινε η υποκλοπή από Visa και MasterCard.
Συναγερμός έχει σημάνει στις τράπεζες μετά την αποκάλυψη πως πελάτες online ταξιδιωτικού πρακτορείου έπεσαν θύμα χάκερς, που υπέκλεψαν τα στοιχεία των πιστωτικών ή των χρεωστικών τους καρτών. Οι τράπεζες θα αντικαταστήσουν τις κάρτες αυτές, που φτάνουν στις σχεδόν 15.000, ενώ ήδη έχει ξεκινήσει έρευνα για το πως έγινε η υποκλοπή.
Ήδη, σύμφωνα με την Καθημερινή, οι ελληνικές τράπεζες έχουν ξεκινήσει τη σταδιακή αντικατάσταση των περίπου 15.000 καρτών, ώστε να μην υπάρξουν προβλήματα από την υποκλοπή των στοιχείων τους.
Στόχος των χάκερς έγιναν οι πελάτες ελληνικής εταιρίας, μέσω της οποίας μπορεί κανείς να κάνει κρατήσεις αεροπορικών και ακτοπλοϊκών εισιτηρίων, ξενοδοχείων, αυτοκινήτων και ταξιδιωτικών ασφαλίσεων.
Click4more Συναλλαγές στα γκισέ… τέλος! Μεγάλες αλλαγές στις τράπεζες
Σημειώνεται, πάντως, ότι τα κρούσματα χρεώσεων για συναλλαγές που δεν έγιναν… ποτέ ήταν μερικές δεκάδες, πολύ λιγότερα από τις 15.000 που έγιναν στόχος των χάκερς, οι τράπεζες αναγκάστηκαν να δράσουν προληπτικά και εκτός από την «παρακολούθηση» των καρτών, να προχωρήσουν σταδιακά στην αντικατάστασή τους, ακυρώνοντας σύμφωνα με πληροφορίες όλες τις κάρτες πελατών τους που είχαν ήδη πραγματοποιήσει έστω και μία συναλλαγή κατά το παρελθόν στο συγκεκριμένο site.
Το κόστος αντικατάστασης των καρτών και το κόστος των όποιων συναλλαγών έγιναν επωμίστηκαν οι τράπεζες και δεν επιβαρύνει τους κατόχους των καρτών. Όπως υποστηρίζουν αρμόδια στελέχη στην Καθημερινή, το γεγονός ότι έχουν κινηθεί έγκαιρα, ενεργοποιώντας τις μεθόδους ασφαλείας για «περίεργες» συναλλαγές, καθιστά το κόστος αυτό «διαχειρίσιμο».
Ακυρώθηκαν 15.000 κάρτες
Οι τέσσερις συστημικές τράπεζες έχουν ακυρώσει ή προτίθενται να ακυρώσουν σταδιακά και να αντικαταστήσουν με νέες, περίπου 15.000 κάρτες. Για το θέμα είναι ενήμερη τόσο η Τράπεζα της Ελλάδος όσο και η Visa και η MasterCard, που έχουν ξεκινήσει έρευνα, για να εντοπίσουν πώς έγινε η υποκλοπή.
Η έρευνα εντοπίζεται στο κατά πόσον η εν λόγω επιχείρηση, που έχει έδρα την Ελλάδα, τηρεί τους κανόνες PCI DSS. Πρόκειται για ένα πρότυπο που έχουν συμφωνήσει τα μεγάλα σχήματα καρτών για την ασφάλεια διαχείρισης στοιχείων συναλλαγών με κάρτες, διασφαλίζοντας ότι όλες οι εταιρείες που δέχονται, επεξεργάζονται, αποθηκεύουν ή μεταφέρουν πληροφορίες καρτών λειτουργούν σε ένα ασφαλές περιβάλλον.
Το συγκεκριμένο πρότυπο επιτρέπει, υπό όρους και σε συγκεκριμένες επιχειρήσεις, να κρατούν στοιχεία των καρτών των πελατών τους με την προϋπόθεση ότι διαθέτουν την πιστοποίηση PCI DSS και πάντα για συγκεκριμένο χρονικό διάστημα π.χ. έξι μηνών και όχι για μεγάλο χρονικό διάστημα.
Η έρευνα
Η έρευνα που διεξάγεται και αναμένεται να ολοκληρωθεί στα τέλη Μαρτίου, επικεντρώνεται στο εάν η συγκεκριμένη επιχείρηση είχε τη σχετική πιστοποίηση, η οποία επικαιροποιείται κάθε χρόνο. Στον βαθμό που διαθέτει τη σχετική πιστοποίηση η έρευνα θα πρέπει να αναδείξει πώς έγινε η διαρροή των στοιχείων των καρτών.
Σημειώνεται ότι για πληρωμές σε περιβάλλον ηλεκτρονικού εμπορίου (e-commerce), απαιτείται από τον εκδότη της κάρτας (π.χ. τράπεζα, ίδρυμα ηλεκτρονικού χρήματος, κ.λπ.), η ισχυρή ταυτοποίηση του κατόχου της και της συναλλαγής του.
Η ισχυρή ταυτοποίηση επιτυγχάνεται μόνο αν χρησιμοποιούνται συνδυαστικά παράγοντες ασφαλείας όπως δακτυλικό αποτύπωμα, κωδικοί e-banking, PIN κάρτας, password, μοναδικός κωδικός μιας χρήσης με μήνυμα sms, κ.λπ. Βασικός κανόνας για την ασφάλεια των online πληρωμών είναι η αποφυγή διενέργειας οικονομικών συναλλαγών πλην του προσωπικού υπολογιστή κάποιου, δηλαδή από χώρους στους οποίους έχουν πρόσβαση πολλοί χρήστες (π.χ. internet café).
Όσοι κάνουν πληρωμές μέσω internet θα πρέπει επίσης να έχουν απενεργοποιημένη τη λειτουργία «Αυτόματης Καταχώρισης» του browser, τη λειτουργία δηλαδή που αποθηκεύει τους κωδικούς στον υπολογιστή.
Όποιος χρησιμοποιεί την κάρτα του για συναλλαγές μέσω internet, θα πρέπει να ξέρει ότι:
πρέπει να αλλάζει συχνά τους κωδικούς του
να μη βάζει για κωδικό την ημερομηνία γέννησής του, τον αριθμό του τηλεφώνου του ή όποια στοιχεία μπορούν να βρεθούν εύκολα από έγγραφα
να μην έχει τους ίδιους κωδικούς σε περισσότερα από ένα site ή σε περισσότερες από μια κάρτες και
να μην αποκαλύπτει σε κανέναν τους κωδικούς του.