K

omputer mo˝e w u∏amku se-
kundy pope∏niç b∏àd, który ma-
tematykom przytrafia si´ raz na

100 lat odr´cznej pracy – mawiano kie-
dyÊ ˝artobliwie. Dla 900 tys. posia-
daczy kart kredytowych, którym nie-
uczciwie obcià˝ono konto podczas ope-
racji komputerowej, sta∏o si´ to przykrà
rzeczywistoÊcià. Federal Trade Commi-
sion (FTC – Federalna Komisja Handlu)
próbuje odzyskaç 45 mln dolarów od
grupki ludzi, dla których przestarza∏e
zabezpieczenia nie stanowi∏y przeszko-
dy. Pod koniec 1998 roku przej´li oni
4% wszystkich zap∏at w systemie
VISA, w których na rachunek
sprzedawcy przelewana jest kwo-
ta z konta kupujàcego. Niepotrzeb-
na by∏a nawet transakcja kartà za
poÊrednictwem WWW, by staç si´
ofiarà kradzie˝y. Karta by∏a w ogó-
le zbyteczna.

Nieuczciwy pracownik restau-

racji czy sprzedawca w sklepie mu-
sia∏by pracowaç bezustannie przez
trzy lata, by zrealizowaç wszyst-
kie szalbierstwa przypisywane
przez Êledczych FTC Kennetho-
wi H. Tavesowi, jego ˝onie Tere-
sie i ich wspó∏pracownikom. W do-
chodzeniu ujawniono, ˝e grupa ta
zarejestrowa∏a firmy przetwarza-
jàce obcià˝enia kont VISA za ko-
rzystanie z witryn pornograficz-
nych w sieci WWW. Nast´pnie
numery tych kart (oraz inne wyge-
nerowane przez specjalny program
komputerowy) z∏odzieje wykorzy-
stywali do przelewania z kont zap∏at za
us∏ugi, z których oszukiwani nigdy nie
korzystali. (W chwili, gdy numer szed∏
do druku, Taves siedzia∏ w areszcie za
odmow´ ujawnienia rejestrów transak-
cji i zwrócenia 6 mln dolarów ulokowa-
nych w banku na Kajmanach. Data pro-
cesu by∏a wyznaczona na 28 wrzeÊnia.)

Grupa Tavesa wykorzysta∏a stary trik

komputerowy w nowym wydaniu.
WieÊç niesie, ˝e sprytny programista
Êciàga∏ z milionów kont bankowych gro-
szowe kwoty – sam zosta∏ bogaczem,
choç nikt w zasadzie nie odczu∏ straty.
W omawianym przypadku fa∏szywe ra-
chunki wynosi∏y z regu∏y 19.95 dolara.
Jest ma∏o prawdopodobne, aby klient
wszczyna∏ alarm z powodu takiej su-
my, najcz´Êciej nawet nie pami´ta on
wszystkich transakcji. Oszustwa umkn´-
∏y równie˝ stosowanym przez VISA al-
gorytmom s∏u˝àcym do wy∏apywania

fa∏szerstw. Jakkolwiek banki tego kon-
sorcjum zachowa∏y g∏´bokie milczenie
na temat zwiàzku pomi´dzy systemem
detekcji fa∏szerstw i rozwojem afery, nie-
które êród∏a sugerujà, ˝e algorytmy by∏y
nastawione na wychwytywanie mniej-
szej liczby, ale kradzie˝y powa˝niej-
szych kwot.

Wzgl´dnie niewielka kwota na ka˝-

dym z fa∏szywych rachunków dopro-
wadzi∏a do sytuacji podpadajàcej pod
tzw. paragraf 22 – powszechnie stoso-
wany chwyt finansowy. Banki zazwy-
czaj uwzgl´dniajà reklamacje najwy˝ej

z dwóch miesi´cy wstecz, co dawa∏o
w sumie 39.90 dolara, czyli mniej od li-
mitu 50 dolarów. Dopiero powy˝ej tej
kwoty amerykaƒskie instytucje finan-
sowe sà prawnie zobowiàzane do re-
kompensowania strat poniesionych
przez klientów na skutek fa∏szywych
transakcji dokonywanych kartami p∏at-
niczymi. By sprawy jeszcze bardziej
skomplikowaç, w razie interwencji ban-
ków podejrzewajàcych kradzie˝, Taves
i jego kompani mieli wiarygodnà wy-
mówk´ dotyczàcà rodzaju us∏ug, które
rzekomo sprzedawali. W faksie przes∏a-
nym przynajmniej do jednego banku
wyjaÊniajà, ˝e jest rzeczà ca∏kowicie na-
turalnà, i˝ klienci korzystajàcy z porno-
graficznych us∏ug w sieci WWW nie
chcà tego ujawniaç.

Choç tematyka witryn stanowi∏a do-

skona∏à zas∏on´ dymnà, to zdaniem Joh-
na G. Faughnana, twórcy oprogramo-

wania i lekarza, którego strona domo-
wa jest najlepszym êród∏em informacji
na temat skandalu (www.labmed.umn.
edu/~john/ccfraud.html), w∏aÊnie por-
nografia sta∏a si´ przyczynà wpadki
Tavesa. Wiele spoÊród co najmniej
200 ofiar zacz´∏o si´ obawiaç, ˝e ich
ma∏˝eƒstwo lub kariera zawodowa sà
zagro˝one – mia∏y wi´c znacznie istot-
niejszy powód, by wytropiç z∏oczyƒc´,
ni˝ tylko odzyskanie 20 czy nawet 100
dolarów. Faughnan przekona∏ si´ na
w∏asnej skórze, ˝e walka z biurokra-
cjà finansowà i domaganie si´ rekom-
pensaty kosztuje wi´cej ni˝ utracone
pieniàdze.

Wydaje si´, ˝e z∏odziejom u∏atwi-

∏y poczynania niedostatki procedury
przetwarzania kart p∏atniczych. Fa∏sze-
rze ulokowali wi´kszoÊç transakcji

poza Stanami Zjednoczonymi,
gdzie znaczna cz´Êç banków
nie sprawdza adresu bilingo-
wego, a w wielu przypadkach
nawet terminu wa˝noÊci obcià-
˝anej karty. Poniewa˝ w trans-
akcjach nie podawano adre-
sów, obcià˝enia by∏y trakto-
wane jak transakcje dokonywa-
ne w restauracjach i sklepach,
podczas których sprzedawca
dysponuje kartà kupujàcego i
jego podpisem na kwicie kon-
trolnym. Jedyne, czego z∏odzie-
je potrzebowali, to numer kar-
ty, zb´dne by∏o nawet nazwi-
sko w∏aÊciciela.*

Jakie znaczenie ma ten przy-

padek dla przysz∏oÊci ma∏ych
kawa∏ków plastiku, które spra-
wi∏y, ˝e nasze ˝ycie sta∏o si´
o wiele wygodniejsze? Dost´p-
noÊç tanich komputerów o du-
˝ych mocach obliczeniowych

uczyni∏a system mniej odpornym na za-
machy bezwzgl´dnych rabusiów ju˝ 10
lat temu, a nawet wczeÊniej. Najprawdo-
podobniej jednak dopiero gwa∏towny
wzrost poda˝y nieuchwytnych us∏ug
i produktów w praktycznie niejawnych
sieciach przerwa∏ tam´ wstrzymujàcà
mikrofa∏szerstwa. Restauracja na 20
miejsc lub ma∏y sklepik o miesi´cznych
obrotach w wysokoÊci 4 mln dolarów
by∏yby oczywistym celem inspekcji.
Sklep cyfrowy sk∏adajàcy si´ z tuzina
szybkich komputerów klasy PC mo˝e
sprzedawaç dobra wartoÊci milionów
dolarów z zamkni´tego pomieszczenia
wielkoÊci Êredniego pokoju lub stano-
wiç przykrywk´ dla szajki kradnàcej za
pomocà zaawansowanej techniki nie-
wielkie pieniàdze z bardzo wielu kont.
Wykrycie ró˝nicy mi´dzy tymi mo˝li-
woÊciami wymaga znacznie wi´kszej
uwagi zarówno od cyfrowego klienta,

24 Â

WIAT

N

AUKI

Paêdziernik 1999

Jak ukraÊç miliony drobniakami?

CYBERÂWIAT

DAVID SUTER

jak i sprzedawcy, nawet jeÊli mia∏oby to
doprowadziç do zmniejszenia wielkiej
ostatnio atrakcyjnoÊci elektronicznego
handlu.

Na dodatek dopóki strata czasu i ner-

wów oraz koszty, którymi obcià˝a si´
klienta za anulowanie fa∏szywej trans-
akcji, przekraczajà wartoÊç tej ostatniej,
dopóty nikt z uczestników elektronicz-
nego handlu nie b´dzie naprawd´ za-
interesowany przyj´ciem regu∏ (takich
jak oczekujàcy na akceptacj´ standard
Secure Electronic Transaction lub ró˝ne
formy cyfrowego pieniàdza) utrudniajà-
cych elektroniczne kradzie˝e. W rzeczy-
wistoÊci – dowodzi Faughnan – wielu
sprzedawcom cyfrowych dóbr op∏aca
si´ otwieraç witryny dost´pne dla u˝yt-
kowników fa∏szywych kart p∏atniczych.
Nawet w przypadku tak nieprawdopo-
dobnego wydarzenia jak obcià˝enie za
transakcj´ rachunku sprzedawcy koszt
dostarczonych dodatkowych kilku bi-
tów jest znikomy.

Nie ma wàtpliwoÊci, ˝e fachowcy w

koƒcu znajdà sposoby przeciwdzia∏a-

nia – mo˝e b´dzie to oprogramowanie
szyfrujàce, ciàgle zazdroÊnie strze˝one
przez agendy rzàdowe przed wszystki-
mi, którzy nie zdà˝yli si´ w nie za-
opatrzyç wczeÊniej. Do tego czasu jedy-
nà skutecznà obronà przed z∏odziejami
(przynajmniej w Internecie) jest zaalar-
mowanie tysi´cy lub nawet milionów
innych infonautów.

Paul Wallich

* W p∏atnoÊciach kartami kredytowymi granicà ak-
ceptowalnego ryzyka dla sprzedawcy i obs∏ugujà-
cego go banku jest zwykle 100 dolarów. Przy jedno-
razowych zakupach nie przekraczajàcych tej kwoty
transakcja jest autoryzowana numerem karty i da-
tà jej wa˝noÊci; zwykle nie jest weryfikowane imi´
i nazwisko posiadacza, a jedynie sprawdza si´ zgod-
noÊç podanej daty z zakodowanà w numerze kar-
ty. Autentyczne numery kart mo˝na odczytaç z wy-
druków porzuconych w pobli˝u bankomatów.
¸atwo dost´pny w Internecie program kompute-
rowy rozszyfruje zawarte w nich daty wa˝noÊci.
Inny program z tego samego êród∏a mo˝e wyge-
nerowaç numery nie istniejàcych kart spe∏niajàce
wszystkie zasady kodowania stosowane przez sys-
temy kart kredytowych. Wi´kszoÊç polskich ban-
ków odradza klientom p∏acenie kartami kredy-
towymi za zakupy w Internecie do czasu upo-
wszechnienia metod bezpiecznej transmisji i wery-
fikacji podawanych danych (przyp. red.).

Inne obcoj´zyczne wydania

LE SCIENZE
Piazza della Repubblica, 8
20121 Milano
ITALY

POUR LA SCIENCE
Éditions BELIN
8, rue Férou
75006 Paris
FRANCE

INVESTIGACION Y CIENCIA
Prensa Cientifica, S.A.,
Muntaner, 339 pral. l.a.
08021 Barcelona,
SPAIN

SPEKTRUM DER WISSENSCHAFT
Verlagsgesellschaft mbH
Vangerowstrasse 20
69115 Heidelberg,
GERMANY

KE XUE– Chongqing Branch
Institute of Scientific
& Technical Information of China
P.O. Box 2104
Chongqing, Sichuan
PEOPLES REPUBLIC
OF CHINA

MAJALLAT AL-OLOOM
Kuwait Foundation for
the Advancement of Sciences
P.O. Box 20856
Safat, 13069
KUWAIT

290010, Lwów,
ul. Pekarska 69
UKRAINA

NIKKEI SCIENCE, INC.
1-9-5 Otemachi
Chiyoda-ku,
Tokyo 100-66,
JAPAN