Med 13. in 19. februarjem je v Merkurjevi trgovini v Kranju prišlo do zlorabe plačilnih kartic kupcev, ki so plačevali preko POS terminala. POS terminal, na katerem je prišlo do zlorabe, naj bi bil v lasti Banke Koper. Te informacije nam na Banki Koper še niso mogli potrditi. "Naši strokovnjaki so na delu in zadevo preverjajo. Več bo znanega jutri. Sicer pa varnosti posvečamo zelo veliko pozornost, a vedno se lahko kaj nepredvidljivega zgodi. Stoodstotne varnosti pa ni v nobenem poslu," je za 24ur.com povedal Franc Ohnjec z Banke Koper.
Oškodovanih je več kupcev, ki naj bi jih storilci "olajšali" za dnevne limite. Posameznik je torej izgubil vsaj 200 evrov, denar pa naj bi dvigovali na Nizozemskem.
Gorenjsko banko obvestili komitenti
Na podlagi prijav imetnikov o domnevnih zlorabah njihovih plačilnih kartic, smo s pomočjo podatkov, ki jih imajo na razpolago kartični procesorji pregledali dogajanja na področju kartičnega poslovanja. Zaenkrat gre izključno za sum zlorabe na enem od prodajnih mest v Kranju. Skupaj s policijo in strokovnjaki na tem področju še preiskujemo možne načine pridobitve podatkov o karticah in kasnejših zlorabah, so sporočili iz Gorenjske banke.
Zaradi preprečitve zlorab smo takoj blokirali okoli 170 kartic Gorenjske banke in imetnike zaščitili pred dodatnimi zlorabami, so sporočili. Ker naj bi iz posamezne kartice ukradli dnevne limite, kar minimalno znaša 200 evrov, bi storilci pri zlorabi 170 kartic Gorenjske banke lahko pridobili 34.000 evrov.
Vsi imetniki, katerih kartice smo preklicali, bodo v naslednjih dneh prejeli nove kartice. Imetnikom bo tudi ustrezno povrnjena morebitna nastala škoda, so zatrdili.
Abanka: Zlorabljenih 65 kartic
Na Abanki Vipa so ugotovili, da je bilo zlorabljenih okoli 65 kartic, je za 24ur.com povedala Vlasta Jurečič iz Abanke. Če so posamezniku dvignili minimalni dnevni limit, to skupaj znaša 13.000 evrov.
Tudi v Abanki Vipa bodo strankam povrnili morebitno škodo. "Stroški iz naslova potrjenih zlorab se stranki vedno vrnejo na račun z datumom opravljene zlorabljene transakcije. Oškodovanec poda pisno prijavo na matični enoti banke, kjer mora natančno opisati in podpisati izjavo o transakaciji, ki je ne prizna. Vsaka finančna transakcija se preveri, in ko se ugotovi, da je reklamacija upravičena, stranki vrnemo sredstva na njen osebni račun z datumom reklamirane transakcije," so pojasnili na Abanki Vipa.
NLB blokirala 100 kartic
NLB poudarja, da se kot izdajateljica kartic vedno odzove z enakimi preventivnimi postopki. "Če gre za utemeljen sum skimmimnga na bankomatu, POS terminalu in če npr. dobimo obvestilo Bankarta, potem odreagiramo tako, da preventivno blokiramo kartice in o tem stranke obvestimo," je za 24ur.com povedala tiskovna predstavnica NLB Irena Oven in dodala, da so zaradi suma zlorabe v Merkurju blokirali nekaj več kot 100 kartic. "Poudariti velja, da vse konkretne pritožbe strank, še zlasti glede zlorab, obravnavamo individualno. V pomoč nam je dokumentacija, ki jo pridobimo tekom postopka. Če ugotovimo, da je šlo za zlorabo, bomo stranki povrnili stroške," je še razložila Ovnova. Če so bile vse blokirane kartice dejansko zlorabljene, so neznanci s komitenti NLB zaslužili 20000 evrov.
NLB strankam svetuje, da svojo kartico prekličejo takoj, ko ugotovijo, da nimajo svoje plačilne kartice ali opazijo kakšno neobičajno napravo na bankomatu. V NLB lahko kartico prekličete 24 ur na dan vse dni v letu na posebni telefonski številki 00 386 1 477 20 00, po faksu 00 386 1 524 29 72, prek NLB Klika ali v matični poslovalnici.
Merkur: Zloraba preko POS terminala malo verjetna
Na kakšen način je do zlorabe prišlo, še ni jasno. Abanka Vipa, ki je komitente obvestila o zlorabi, trdi, da ni šlo za zlorabo med spletnimi transakcijami ali dvigovanjem na bankomatih. Predstavnik za stike z javnostmi kranjskega Merkurja na Primskovem, Rok Istenič, pa je za 24ur.com povedal, da je zloraba kartic preko POS terminala malo verjetna.
Naprava za plačevanje s karticami je zelo majhna, zato je na njo skoraj nemogoče namestiti kakršen koli odčitovalec, s pomočjo katerega bi lahko odčitali podatke. Prav tako je malo verjetno, da bi nekdo tovrstno napravo vgradil v škatlico, saj se POS terminal, če ga odpremo, takoj pokvari. V takem primeru Merkur pokliče serviserje banke, ki skrbijo za terminal, je pojasnil.
Včeraj je kranjski Merkur obiskal kriminalist Policijske uprave Kranj, ki je pregledal POS terminal. Ker ga je odprl, so poklicali serviserje, ki skrbijo za POS terminal. Kriminalist po besedah Isteniča na POS terminalu, ki so ga že zamenjali, sicer ni odkril nič nenavadnega.
POS terminal je ločen od našega blagajniškega sistema. Vsebuje dve napravi - ena preskenira zapis na kartici, druga pa odčita kodo, ki jo vtipka kupec. Prav tako terminal ni povezan z Merkurjevim sistemom, zato je bolj verjetno, da je šlo za vdor na strežnik banke, meni Istenič. Ali pa so se nepridipravi spet domislili česa novega, je dodal.
Istenič je še poudaril, da so njihove blagajne pod nenehnim video nadzorom, zato ne verjame, da bi morebitno napravo namestil kdo od zaposlenih. Na blagajni se prav tako izmenjuje več uslužbencev, ki so redno zaposleni.
Sicer Merkur s strani bank o domnevnih zlorabah uradno še ni bil obveščen. Ko se je novica pojavila v javnosti, so sprožili notranji nadzor. Revizor Vili Perko pa do sedaj še ni odkril nič novega.
Strokovnjak za varnost: Kopiranje kartic je izredno preprosto
Strokovnjak za varnost z nazivom MVP (Most Valuable Professional) za področje varnosti v Microsoftovih okoljih, Miha Pihler, iz podjetja S&T Hermes Plus, je za 24ur.com pojasnil, da je težko govoriti, kako je prišlo do zlorabe.
Fizična menjava terminala ali spremembe opreme, tudi programske, nenazadnje pa tudi priklop dodatne opreme, ki omogoča poslušanje komunikacije med terminalom in strežnikom v procesnem centru, je po sedaj znanih informacijah najverjetnejša razlaga. Napadalci naj bi imeli namreč poleg številke kartice tudi PIN kodo. Če bi do napada prišlo preko procesnega centra, za kar je sicer malo možnosti, bi verjetno zlorabili tudi druge kartice, ne samo tiste, ki so bile zlorabljene v Merkurju, je prepričan Pihler.
Kopiranje kartic je sicer izredno preprosto in tudi oprema je praktično dosegljiva vsakemu, saj jo je možno kupiti na spletu. Ko so napadalci pridobili zapis na magnetni kartici, so ga lahko presneli na svoje prazne kartice z magnetnim zapisom. Taka kartica se ne razlikuje od tiste, ki jo izda banka, saj je magnetni zapis med karticama enak. Tako je možno na bankomatu, označenem z oznako Maestro, s PIN kodo kjer koli na svetu dvigniti denar, je pojasnil Pihler. Torej tudi na Nizozemskem.
Pred tovrstnim napadom bi se bilo možno braniti z uporabo tako imenovanih pametnih kartic oziroma smart cards, ki jih v Sloveniji uporablja Petrol, v tujini pa vedno več podjetij, ki izdajajo kreditne kartice. V tem primeru so informacije shranjene na posebnem čipu, zato v primerih pravilne uporabe kraja informacij ni možna, je še razložil Pihler.
Doslej šest prijav
Koliko kartic je dejansko zlorabljenih, še ni znano. Na Policijski upravi Kranj so doselj sicer prejeli pet prijav. Eno s strani Gorenjske banke, pet pa so jih podali posamezniki, ki so bili oškodovani za nekaj sto evrov, je za 24ur.com povedal tiskovni predstavnik kranjske policije, Zdenko Guzzi.
Guzzi je sicer pojasnil, da banke ali Merkur niso dolžne naznaniti domnevnih zlorab, saj gre za razmeroma nizke zneske. Prijavo naj čimprej na policiji osebno podajo sami oškodovanci, je pozval.
O krivcu ali odgovornemu Guzzi ni želel govoriti, "ker preiskava še poteka". Več bo torej znanega po opravljeni preiskavi. Kdaj naj bi bila preiskava končana, pa bomo še videli, je še dodal Guzzi.
KOMENTARJI (15)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.