Când vine vorba de atacuri asupra site-urilor unor instituţii sau companii, deseori hackerii români sunt printre primii arătaţi cu degetul. Cât este mit şi cât este realitate în jocul de-a hoţii şi vardiştii electronici?
V-aţi întrebat vreodată de ce site-uri de comerţ online, precum amazon.com sau ebay.com, nu livrează în România? Răspunsul se regăseşte în numărul mare de fraude comise în ţara noastră, care au ca ţintă respectivele site-uri. „Magazinele online sunt obligate să livreze marfa, chiar dacă au bănuieli că e vorba de o fraudă şi, de cele mai multe ori, merg cu comanda la destinaţie, iar în urma lor apare şi poliţia, interpolul sau FBI-ul“, explică expertul în securitate informatică Gheorghe Dobrea, directorul companiei de consultanţă şi training IT Intelprof. „Situaţia e destul de neplăcută, aşa că au decis că e mai bine să nu livreze în zonele cu potenţial ridicat de risc“, continuă acesta.
Nu mai departe de săptămâna trecută, spiritele s-au inflamat din nou. „Aceste atacuri sunt cu siguranţă organizate. Există oraşe în România unde toate eforturile se concentrează asupra site-urilor precum eBay, ele reprezentând principala sursă de venit“, spune Mark Lee, directorul pentru securitate al diviziei britanice a celui mai mare site de licitaţii online.
Lucian Balaban, operations manager la GECAD ePayment, pune sub semnul întrebării afirmaţiile oficialului eBay. „Nu cunoaştem sursa acestor informaţii. Nu am văzut o statistică, o cercetare sau alte informaţii care să demonstreze acest lucru şi probabil că se exagerează“. Experţii în securitate spun că este şi o chestiune de obişnuinţă: „dă bine să aminteşti de nume exotice ca România, alături de Rusia sau China, atunci când vorbeşti de fraude online“, crede Dobrea. „Adevărul este că întotdeauna problema fraudelor electronice este legată de educaţie – şi nu doar de cea a utilizatorilor, ci chiar a băncilor sau a site-urilor de comerţ online“.
Dar lipsa de educaţie sau interes nu se manifestă doar la acest nivel, cel puţin în România, unde, în ultimul an s-au înmulţit atacurile de tip phishing (furt de identitate) prin email. Rând pe rând, au căzut „victime“ bănci precum BRD, Bancpost, Credit Europe Bank, Piraeus, Banca Românescă, Raiffeisen sau BCR, dar şi operatori telecom precum Orange sau Vodafone. De fapt, nu aceste companii sunt victime, ci clienţii lor.
Însă reacţiile nu sunt, de multe ori, pe măsură.
Lipsă de reacţie promptă
Site-ul de pe care s-a derulat cel de-al doilea atac, în decurs de o săptămână, asupra BRD a rămas în picioare aproape o zi întreagă. Iar în ce priveşte autorităţile, „legislaţie există, mai trebuie lucrat la aplicare şi la informare“, spune Balaban. De altfel, portalul Ministerului Comunicaţiilor „pentru primirea sesizărilor privind activităţile cu caracter aparent nelegal în domeniul serviciilor societăţii informaţionale“, eFrauda.ro, nu a mai fost actualizat din 2006, iar certificatul de securitate i-a expirat pe 9 februarie. Iar Centrul pentru plângeri privind fraudele pe internet, înfiinţat în urma unui parteneriat între FBI şi Centrul Naţional Român pentru Crimă Organizată nici măcar nu are un site sau, dacă are, e foarte bine ascuns…
Sigur, statistici în acest domeniu sunt foarte greu de întocmit. „De altfel, în unele cazuri este literalmente imposibil de stabilit dacă un calculator folosit la fraudă este chiar al criminalului sau este doar compromis (virusat) şi folosit drept «paravan» de un criminal de altundeva“, explică Mircea Mitu, senior product manager la BitDefender. Cert este că, potrivit Inspectoratului General al Poliţiei, numărul persoanelor reţinute sau arestate pentru infracţiuni în acest domeniu se dublează de la an la an. Cele mai active zone ale ţării în ceea ce priveşte comiterea acestui gen de fapte sunt: Bucureşti, Alexandria, Râmnicu-Vâlcea, Craiova, Timişoara, Iaşi, Sibiu şi Constanţa. Dar deşi expertul eBay spune că atacurile sunt conduse de reţele organizate, Lucian Balaban este de părere că „pentru unii dintre ei, a frauda este o distracţie, la egalitate cu dorinţa de a-şi demonstra ce pot şi de a arăta şi altora acest lucru. Cei mai mulţi însă doresc să obţină câştiguri facile peste noapte. Nu ne putem pronunţa în ceea ce priveşte eBay, pentru că este un alt sistem, însă, în ceea ce priveşte fraudele cu carduri online, nu se poate câştiga din asta.“ În cazul sistemelor de licitaţii este ceva mai simplu, pentru că nu sunt monitorizate foarte bine, spun experţii în securitate.
Una peste alta, problema fraudelor electronice pare să fie luată în serios, deocamdată, doar de experţi şi mai puţin de autorităţi sau utilizatori. Probabil, până la primul atac mai serios…
Buturuga mică răstoarnă carul mare?
De-a lungul vremii, au existat câteva cazuri de fraude online cu autori arestaţi care, chiar dacă nu au fost de talia celor care sparg serverele Pentagonului, au făcut vâlvă în presa românească. În urmă cu numai câteva luni, autorităţile americane au anunţat punerea sub acuzare a 21 de persoane, bănuite că au sustras cinci milioane de dolari de la utilizatori ai unui site de licitaţii, printr-un sistem online cu originea în România. Tot anul trecut, un hoţ cu pseudonimul „Vladuz“, despre care s-a presupus că a operat din România, a reuşit pentru a treia oară să fure credite eBay şi să se recomande drept reprezentant oficial al companiei. El a fost deconectat şi i-a fost anulat accesul la informaţiile despre clienţi din reţea, dar hoţul a reuşit să intre din nou şi a scris: „Sper că eBay nu mă va da în judecată pentru că i-am trezit tot staff-ul“.
În 2005, autorităţile federale din Chicago acuzau un român că a furat suma de 125.000 de dolari de la trei persoane care au crezut că li se acordă a doua şansă de a cumpăra o serie de produse pe care nu reuşiseră să le cumpere când fuseseră postate prima dată pe eBay. Acesta a „vândut“ diferite tipuri de maşini şi aparatură, printre care o motocicletă şi un model de automobil de colecţie.
În urmă cu patru ani, poliţiştii băcăuani au prins patru tineri care au pus la punct cea mai mare fraudă pe internet de până atunci din zona Moldovei. Ei au fost acuzaţi că, în mai puţin de un an, şi-au însuşit ilegal peste 60.000 de dolari de la cumpărători de pe site-ul ebay.com. Tot atunci, un hacker bucureştean, în vârstă de 24 de ani a fost judecat de un tribunal din Los Angeles pentru conspiraţie şi frauda pe internet, paguba imputată fiind de zece milioane de dolari.
Pagube
3,6 miliarde de dolari, la atât se ridică pierderile cauzate de fraude online, la nivelul SUA anul trecut. În scădere ca procentaj din cifra de afaceri, suma totală este în creştere din cauza vânzărilor online tot mai mari.
«De cele mai multe ori, principalul scop al phishingului nu este acela de a-ţi lua banii din cont, ci de a culege date personale, care sunt ulterior vândute.»
Gheorghe Dobrea, director general Intelprof
Siguranţa
0,2% Potrivit RomCard, foarte puţin din totalul tranzactiilor cu cardul efectuate prin internet reprezintă fraude sau plângeri (chargeback-uri), generate de posesorul de card.
Internet autoapărare
Cifre-cheie
• Conform unui studiu realizat de CyberSource, procentajul comenzilor acceptate care se dovedesc a fi frauduloase a înregistrat o uşoară creştere în 2007, media din SUA fiind de 1,3% faţă de 1,1% în anul precedent. Dar şi procentajul comercianţilor care au refuzat comenzi din cauza suspiciunilor de fraudă a fost mai mare, rata de respingere fiind de 4,2% faţă de 4,1% în 2006.
• Dacă, în anul 2000, 3,6% din cifra de afaceri era pierdută din cauza fraudelor online, anul trecut procentajul era de 1,4%. Cu toate acestea, în anul 2000 pierderile se ridicau la 1,5 miliarde de dolari, în timp ce anul trecut ele erau de 3,6 miliarde de dolari.
• În medie, comercianţii din SUA declară că rata de fraudare asociată comenzilor internaţionale este de 2,5 ori mai mare decât în cazul comenzilor interne. Prin urmare, şi rata comenzilor internaţionale refuzate este de de 2,5 ori mai mare decât în cazul celor primite de pe teritoriul american.
Fraude uzuale
• Fraudele cu cărţi de credit sunt generate folosindu-se, în principal, două metode: phishingul şi skimmingul. Skimmingul constă în instalarea de dispozitive la bancomate, POS-uri sau camere de luat vederi, prin care sunt copiate datele de pe benzile magnetice ale cardurilor şi este capturat PIN-ul. Ulterior, sunt transferate în computere şi, cu ajutorul altor dispozitive, banda magnetică a cardului este reinscripţionată.
Phishingul este furtul sau încercarea de furt de identitate prin mijloace electronice. Pe scurt, este vorba de un e-mail care, aparent, provine din partea unei instituţii sau companii al cărei client este victima. Aceasta este redirecţionată către o pagină web falsă, prin care îi sunt culese datele personale, inclusiv elementele de securitate ale cardului bancar. Victima are impresia că introduce datele respective pe o pagină de internet a companiei al cărei client este.
• Fraudele în comerţul electronic iniţiate din România au, de cele mai multe ori, ca ţintă potenţiale victime persoane din străinătate. În multe cazuri, este vorba de licitaţii false. Autorii folosesc sisteme de plată rapide prin internet, cum ar fi conturi escrow, conturi de Paypal, conturi e-gold, de internet-banking sau sisteme de transfer rapid de bani de tipul wire transfer – servicii oferite de instituţii ca Western Union sau MoneyGramm.
Metode de apărare
• Pentru a vă feri de atacurile de phishing, nu trebuie să accesaţi linkul transmis în conţinutul mesajelor e-mail primite de la adrese necunoscute, chiar dacă par surse de încredere.
Nu uitaţi să verificaţi în browser numele site-ului, pentru a observa diferenţe faţă de site-ul original al instituţiei. Nu divulgaţi niciodată datele confidenţiale despre conturile de card (număr de card, data expirării, codul PIN).
• Frauda prin licitaţiile online poate fi evitată atunci când cunoaşteţi cum funcţionează licitaţiile prin internet, care sunt obligaţiile cumpărătorului şi ale vânzătorului. Este de preferat să plătiţi asigurarea pentru produs şi transport. Evitaţi vânzătorii care nu furnizează date corecte, examinaţi feedbackul oferit de alţi cumpărători.
Evitaţi serviciile de transfer rapid de bani, indiferent de măsurile de protectie care vi se prezintă. Vânzătorii de pe site-urile de licitaţii nu au nevoie de datele personale ale cumpărătorului.
• Fraudele asupra cardului de credit, nu oferiţi niciodată informaţiile de pe card dacă site-ul nu foloseşte o conexiune securizată şi dacă reputaţia acestuia este îndoielnică. Înainte de a utiliza site-ul, verificaţi ce software de securitate foloseşte, pentru a vă asigura că datele dvs. sunt protejate.
Capital – Editia nr.11, data 19 martie 2008