Terwyl FNB se virtuele kaarte uitstekende veiligheidskenmerke bied, soos ‘n gereelde draaiende CVV, is dit nie ‘n silwer koeël vir kaartbedrog nie.
Frontend-ingenieur Herman Stander het onlangs die slagoffer geword van ‘n uitvissing-aanval waarin kubermisdadigers sy virtuele kaart aan ‘n tik-om-te-betaal digitale beursie gekoppel en sy bankrekening skoongemaak het.
Ongelukkig was die virtuele kaart aan sy debietkaart gekoppel, en sy salaris is pas in sy rekening inbetaal. Hulle het dit alles gesteel.
Hy het nie kennisgewings of SMS-boodskappe ontvang wat hom waarsku dat transaksies teen sy rekening afgaan nie.
FNB se bedrogafdeling het ook nie gemerk dat twaalf betreklik groot transaksies direk na mekaar afgeloop het nie, baie vir net minder as R5 000.
FNB het sy virtuele kaartproduk bevorder as ‘n kenmerk wat sekuriteit verbeter en kaartbedrog voorkom.
Dit spoor ook kliënte sterk aan om virtuele kaarte te gebruik deur dit aan eBucks-belonings te koppel.
Toe FNB aan Stander gesê het dat die verlies sy skuld was omdat hy uitgeviss is en dit hom nie sou terugbetaal nie, het hy begin om die aanval te reverse engineering om te verstaan hoe dit werk.
Hy het ook ‘n bewys-van-konsep-aanval ontwikkel wat hy teen sy vrou se FNB-rekening getoets het om sy bevindinge te bevestig.
Stander se toetse het getoon dat wanneer ‘n virtuele kaart aan ‘n digitale beursie soos Google Pay gekoppel word, die CVV slegs vereis word wanneer die kaart aanvanklik op die platform geregistreer word.
Die roterende CVV van FNB se virtuele kaart help net met aanlyn-inkopie-tipe betalings, ook bekend as kaart-nie-teenwoordige transaksies.
Nadat dit aan ‘n ondersteunde digitale beursie gekoppel is, word die kaart se CVV omseil.
FNB het dit bevestig toe MyBroadband om kommentaar oor Stander se saak en aanvaldemo gevra het.
“’n CVV is nie nodig vir transaksies op kaarte nie,” het Jacqui O’Sullivan, uitvoerende hoof van FNB se korporatiewe sake, gesê.
“CVV en OTP word vereis op die tydstip dat die digitale beursie op ‘n toestel geregistreer is om transaksies te doen, in hierdie geval is dit gedoen toe die kliënt se kaartbesonderhede uitgeviss is en gekompromitteer is.”
Gelukkig is die CVV nie die enigste ding wat aanvallers verhoed om ‘n kaart op platforms soos Google Pay te registreer nie.
Die truuk van hierdie aanval is vir kubermisdadigers om jou te oortuig om vir hulle ’n eenmalige PIN te stuur wat na jou foon gestuur word wanneer hulle registreer.
Hulle probeer dit op baie maniere doen, waarvan die meeste jou na ‘n vals webwerf verwys wat ontwerp is om net soos die regte ding te lyk.
In Stander se geval het ‘n SMS hom na ‘n webwerf wat soos die SA Poskantoor lyk, gerig om doeane te betaal op ‘n pakkie wat hy verwag het.
Die aanvallers het waarskynlik nie geweet hul slagoffer verwag ‘n pakkie nie. Hulle blaas eenvoudig e-posse en SMS’e uit na databasisse wat miljoene mense se kontakbesonderhede bevat en hoop om iemand te vang.
Aanvallers gebruik ook nie uitsluitlik die Poskantoor as ‘n invalshoek nie. Hulle sal beweer dat hulle van DHL, FedEx, ‘n bank of ‘n mediese fonds is – alles in die hoop om een keer reg te raai en ‘n slagoffer te haak.
Vir ‘n aanval soos hierdie, sal die vals webwerf jou vra om jou kredietkaartinligting soos gewoonlik in te voer vir “douaneklaring” of ‘n ander rede.
Sodra hulle jou kredietkaartinligting het, sal hulle jou probeer oortuig om die OTP wat jy ontvang te stuur om die betaling te verifieer of te bevestig.
Dit is ‘n rooi vlag, alhoewel selfs die mees waaksame en kundige gebruikers dit kan mis as hulle haastig is of andersins afgelei word.
Dit sou egter ook een in ‘n reeks rooi vlae gewees het om voor op te let, en daarom probeer aanvallers dikwels jou oordeel met dringendheid vertroebel.
Stander se saak beklemtoon verskeie waarskuwingstekens en sekuriteitskwessies om van bewus te wees wanneer aanlyn betalings gemaak word.
Virtuele kaarte is nie ‘n silwer koeël teen kaartbedrog nie.
As jy jou krediet kan bestuur en toegang tot ‘n kredietkaart het, vermy die gebruik van debietkaarte vir betalings. Banke herstel kredietkaartbedrog oor die algemeen baie vinniger.
Wees versigtig wanneer jy skakels van e-posse, SMS’e, WhatsApps en ander boodskappe volg.
Kontroleer altyd ‘n bladsy se URL. Moenie net kyk vir ‘n slot-ikoon nie – dit beteken nie dat die bladsy veilig is nie.
Wees op die uitkyk vir tikfoute, spelfoute en soortgelyke tekens van swendelary.
Jy sal nooit gevra word om ‘n bank-OTP aan ‘n handelaar te verskaf wanneer jy ‘n betaling maak nie. Maak seker dat transaksieverifikasieversoeke ooreenstem met wat jy gewoond is om by jou bank te sien. Dit is gewoonlik deesdae via toepassings, nie OTP’s nie.
“Met kubermisdadigers wat meer gesofistikeerd raak, word kliënte aangemoedig om waaksaam te bly en proaktiewe maatreëls te tref om hulself te alle tye te beskerm,” het O’Sullivan gesê.
“Ons moedig kliënte aan om onmiddellik enige gebeurtenisse wat tot bedrog op hul bankrekeninge kan lei aan te meld en om ons FNB-toepassing te gebruik om hul kaarte te stop of te kanselleer.”
MyBroadband het FNB gevra vir terugvoer oor hoekom Stander nie transaksiekennisgewings ontvang het toe die misdadigers sy rekening met die gekaapte virtuele kaart skoongemaak het nie. Dit het nie ‘n antwoord deur publikasie verskaf nie.
