Kujutage ette, et lähete poodi, hakkate kaupa valima, samal ajal panete mõned tuhanded eurod lauale ja ütlete müüjatele, et võtke ise sealt, palju vaja on. Kõlab kummaliselt? Krediitkaardiga makstes aga nii natuke asi ju käib.

Taavi Tamkivi on ettevõtte Dataminer juht ja ekspert, kes on võidelnud erinevate petuskeemide ja turvaaukude vastu ka IT-hiidude Skype ja Transferwise ridades.

Lasime tal selgitada, mida halba üldse saab minu krediitkaardiga teha, kuidas on mu raha turvatud ning kuidas oma kaardiandmetega ümber käia, et raha ikka alles jääks.

Kuidas kaardiandmed valedesse kätesse satuvad?’

1. Füüsiliselt kaardiga makstes võidakse salvestada nii number kui turvakood
2. Soetad midagi veebipoest, mille pidaja ei ole helgete kavatsustega
3. Arvutisse tuleb pahavara, mis salvestab kõik klahvivajutused. Hiljem on sealt juba lihtne välja selekteerida kaardinumbri pikkune numbrijada ja sellele kohe järgnev kolmekohaline turvakood.
4. Kuna enamik poode ja teenuspakkujaid ei töötle ise krediitkaardiandmeid vaid kasutavad maksekeskusi, siis rünnatakse just seda vahelüli, kust võib korraga kätte saada tuhandeid kaardiandmeid.
5. Kaarte veavad füüsiliselt laiali postiljonid ja neid saab lihtlabaselt postkastist varastada (pigem USAs levinud skeem).

Mida mu kaardiandmetega teha saab?

Kõige labasem versioon, kus taskuvaras näppab ära su rahakoti koos kaardiga ning läheb ja sooritab kiirelt mõned ostud, ei lähe suures plaanis krediitkaardi pettuste alla.

Suurema koguse kaardiandmete kogumise korral see varas ise nendega ei tee midagi, vaid ärimudeliks on nende andmete müük järgmistele, näiteks tumeveebi kaudu.

Üldjoonetes saab varastatud kaardiandmetega teha järgmisi asju:

1. Rahalised tehingud. Varastatud kaartidega ostetakse erinevaid asju edasimüümise eesmärgil, mitte endale. Kui selgub, et asi on ostetud varastatud kaardiga, siis tekib probleem asja uuel omanikul.
2. Teenuste edasimüümine. Sarnane skeem toimub teenustega. Näiteks varastatud kaartidega ostetakse kogus lennupileteid. Seejärel müüakse need ruttu palju soodsamalt mõne netiteenuse kaudu maha ning ostjatelt saadud summa läheb juba petturi enda kontole.Probleem tekib aga pileti ostjal, sest kohe, kui lennufirma turvasüsteemid ja algoritmid saavad aru, et piletid on ostetud varastatud kaartidega, tühistatakse piletid. See tähendab, et pätt on oma raha kätte saanud aga ostjal pileteid enam ei ole.

Ostetavad asjad võivad olla ka nii väikse väärtusega, et omanik ei märkagi. Ostetakse kõneaega, mingite veebiteenuste liitumisi ja kuumakseid. Seega on oluline aeg-ajalt oma kuludega tutvuda.

Õnneks vastutavad ju pangad ja ma saan oma raha tagasi!

Päris nii ei ole. Igal pangal on kindlasti tingimustes erinevusi, aga väga selgelt tehakse vahet, kas omanik on teinud kõik endast oleneva, et andmed oleks hoitud.

Puhkusereisi ajal kaardiga maksmine on normaalne käitumine ja kui te just kuskil hämaras linnaosas oma kaardiga võltsitud Gucci tooteid ei osta, siis peaks korras olema.

Kui aga teete telefoni teel hotelli broneeringut ning küsitakse krediitkaarti numbrid JA turvakoodi ning te selle viimase ka annate, siis võib võimaliku pettuse korral vastutus teie enda kanda jääda.

Kui ost on PIN-koodiga kinnitatud, siis on see lõplik

Swedbanki pangakaartide osakonna juht Kai Voore:

“Kui kaardiomanik avastab kontol tehingu, mida ta ise teinud ei ole, tuleb sellest koheselt pangale teada anda ja kaart sulgeda. Kui inimesel puudub igasugune seos vaidlustatava tehinguga, siis üldjuhul saab ta kogu raha tagasi.

Pank teostab omalt poolt kaarditehingute seiret tuvastamaks kahtlaseid tehinguid. Kui on kohe selge, et tegemist on mõne konkreetse kaardipetuskeemiga, siis kontolt läinud raha saab tagasi paari päeva jooksul.”

Samas ütleb Voore, et kui tehing on toimunud läbi kaarditerminali või pangaautomaadis ja see on kinnitatud PIN-koodiga näiteks poes ostu sooritamisel või pangaautomaadist raha võtmisel, siis tehingut ei ole võimalik vaidlustada. Seega kindlasti veenduge, kas kinnitatav ostusumma on õige.

Ma ei julge enam midagi teha …

Nii traagiline asi ei ole. Eesti pankade kliendid võivad ennast võrdlemisi kindlalt tunda. Meie ja pankade IT-võimekus ning teadlikkus on Tamkivi sõnul sellisel tasemel, et võimalikud pettused avastatakse pigem juba algfaasis.

See tähendab ka muidugi suuremat ettevaatlikust ja seetõttu tulebki inimestel tihti ette, et suurema ostu sooritamisel tahab pank isikut tõendada netipanka sisselogimise kaudu. Tüütu aga oluline.

Punane tuli võib pangas põlema minna ka siis, kui tehakse kiirelt mitu väikest ostu (testimiseks) ja siis üks suurem. Turvaalgoritmid ja mustrite tabamised on väga keerukad ning pidevalt muutumises.

Hügieen!

Väga oluline on üldine IT-alane hügieen. Mõistlik on kasutada salasõnade jaoks spetsiaalset programmi (näiteks OnePass), mitte iga kord oma andmeid uuesti sisse trükkida ja võimaldada kurjal klahviloenduril mustrit näha.

Kui vajutate enda arust mingi poe lingile, siis kontrollige sel hetkel ka oma internetiakna alaservas asuval ribal, kuhu leht tegelikult suundub.

Kõikvõimalikes kohtades kasutage kaheastmelist autentimist, näiteks PayPalis. Kui kurikaelad pääsevad teie PayPali kontole ligi, siis ei tarvitse olla nende esmaseks eesmärgiks selle tühjaks tegemine vaid võivad muuta muulaks, mille kaudu varastatud kaartide raha liigutada või muud hämarat teha.

Sa tead nii palju, kas ise julged kaarti kasutada?

Muidugi, eenimetatud põhjustel ja viisidel. Samas just reisile minnes on hea, kui oleks kaasas mitu kaarti, kuna algortim võib ühtäkki arvata, et midagi kahtlast on toimumas ja siis kaardi kasutamise piirata. Sel juhul on hea, kui on tagavarakaart.