W jaki sposób złodzieje kradną paliwo na karty flotowe? Phishing, skimming, siphoning

Kradzież paliwa z karty flotowej przez phishing

Karty flotowe, podobnie jak karty bankomatowe i kredytowe, obecnie są dostępne nie tylko w formie fizycznej, ale także elektronicznej. Płatność za paliwo może odbywać się za pomocą aplikacji. To wygodne rozwiązanie, ale trzeba być ostrożnym, by niepożądana osoba nie uzyskała dostępu do Twojego konta.

Najpopularniejszym typem ataku stosowanym przez złodziei jest phishing, czyli „łowienie haseł”.

W przypadku tego sposobu niejako sami podajemy oszustom dane, których potrzebują.

Sposób działania większości przestępców jest zazwyczaj jednakowy – na skrzynkę mailową lub poprzez SMS otrzymujesz wiadomość, która ma na celu wyłudzenie poufnych informacji. Jej treść jest sfabrykowana, w taki sposób by przypominała komunikat od operatora karty. Informuje ona o niezbędnym logowaniu w celu dokonania zaległej płatności czy przeprowadzenia procesu weryfikacji danych. W mailu zawarty jest link, który przenosi Cię na stronę wyglądającą podobnie jak formularz konkretnej aplikacji. Jeżeli wpiszesz tam dane konta użytkownika i wyślesz je, złodzieje uzyskają do nich dostęp. W ten sposób będą mogli na Twój rachunek korzystać z karty flotowej.

Jak zapobiegać phishingowi?

By nie dać się nabrać na phishing należy być przede wszystkim ostrożnym. Jeżeli otrzymujesz maila lub SMS od operatora sieci, nie klikaj w załączony w nim link. Jeżeli chcesz zweryfikować czy wiadomość jest prawdziwa, zaloguj się bezpośrednio do aplikacji. Jeśli na ekranie lub w zakładce powiadomień, nie pojawił się komunikat analogiczny do wcześniejszej treści, była to próba oszustwa.

Przed skutkami oszustwa można się także uchronić, włączając dwuetapową weryfikację podczas logowania. Podanie swoich danych będzie niewystarczające do korzystania z aplikacji, a tym samym dokonania kradzieży za pomocą karty.

Skimming karty flotowej – co to jest?

Skimming, podobnie jak phishing, jest dobrze znaną metodą wyłudzenia danych, stosowaną zarówno do kart płatniczych, jak i wersji magnetycznych. Strategia skimming działa jedynie na kartę fizyczną, ponieważ polega na skopiowaniu z niej danych, a następnie wykonaniu nielegalnego duplikatu. Bezpieczniejszym rozwiązaniem są karty z chipem, które ograniczają możliwość skanowania karty.

Oszuści instalują na czytnikach nakładki skanujące (skimmery), które kopiują informacje. Złodziej wykorzystuje te dane do stworzenia kopii karty, z której może korzystać niemal tak jak z oryginału. W przypadku kart flotowych dużych sieci, takich jak Shell, skimming jest mało prawdopodobny, ze względu na wysoki poziom zabezpieczeń.

Kolejna, bardziej niebezpieczna strategia – skimming przez pracownika stacji. Może on dopuścić się manipulacji w celu uzyskać dostępu do Twojej karty, aby umieścić ją w skimmerze i w ten sposób przesłać dane do innego złodzieja. Dlatego lepiej korzystać z markowych sieci stacji, które zatrudniają godnych zaufania pracowników.

Jak nie dać się złapać na skimming?

Skimming jest mniej skuteczny od phishingu, ponieważ wymaga odczytania danych z fizycznej karty. Łatwo jest mu zapobiegać. Nigdy nie dawaj jej osobom nieznajomym, które mogą wsunąć ją do urządzenia skanującego. Jeżeli masz wątpliwości co do zachowania pracownika, powiadom kierownika stacji i w celu dokonania zapłaty skorzystaj z aplikacji mobilnej lub gotówki.

Kradzież kieszonkowa karty flotowej

Kolejnym sposobem na wyłudzenie z karty flotowej jest jej bezpośrednia kradzież. Złodziej uzyskuje do niej dostęp wraz z portfelem kierowcy, np. nieopatrznie zostawionym w samochodzie czy nieupilnowanym podczas innych czynności. W takiej sytuacji, należy niezwłocznie zablokować kartę z poziomu aplikacji. Niebezpieczne w tym wypadku jest też przechowywaniu numeru PIN do karty w jej pobliżu.

Kradzież paliwa przez pracownika

Niestety, nie zawsze nieuczciwą stroną jest zewnętrzny oszust, który nielegalnie uzyskał dostęp do Twoich danych. Zdarza się, że kradzieży dokonuje pracownik, korzystając z karty flotowej dla własnych korzyści. 

Zwykle w takich przypadkach wykorzystywany jest jeden z dwóch schematów postępowania:

● korzystanie z karty do celów prywatnych;

● kradzież samego paliwa.

Pracownik może wykorzystać pierwszą opcję, np. do tankowania własnego samochodu. Tego typu oszustwa łatwo wyśledzić, ponieważ rejestr transakcji dostępny jest na żywo u managera floty, a wiele aut firmowych wyposaża się w systemy lokalizowania. Jeżeli pracownik nie jest w danej chwili w podróży służbowej, a auto flotowe nie znajduje się w obrębie stacji, może to oznaczać próbę oszustwa.

Metod bezpośredniej kradzieży paliwa jest wiele, przez co trudniej to udowodnić. Jeśli złodziej postanowi zatankować do kanistra, zakupiona ilość będzie o wiele wyższa niż normalnie.

Zwykle kierowcy kradną część paliwa z baku po tankowaniu. Najpopularniejszym sposobem, by tego dokonać, jest siphoning, czyli syfonowanie. Złodziej wprowadza do zbiornika rurkę i zasysa paliwo (zwykle za pomocą pompki w postaci gumowej gruszki), odlewa jego część do swojego pojemnika.

Druga metoda to spuszczanie paliwa przez powrót filtra. Dzięki temu złodziej wykorzystuje oryginalną pompkę zbiornikową i nie zapowietrza układu paliwowego, dlatego kradzież może być stosunkowo szybka.

Siphoning częściej stosuje się w autach ciężarowych i ciągnikach, gdzie wykorzystuje się zbiorniki, do których paliwo wlewane jest bezpośrednio. W samochodach osobowych i dostawczych kanał wlewu zwykle wyposażony jest w zabezpieczenie, które mocno utrudnia wprowadzenie rurki, dlatego częściej stosowane jest spuszczanie paliwa przez powrót.

Jak rozpoznać złodzieja?

Kradzież niewielkich ilości, np. 10-20 l w przypadku ciężarówki czy 5 l w aucie osobowym, może być trudna do zauważenia. Spalanie pojazdu zależy od warunków pogodowych, trasy i wielu innych czynników, dlatego większe zapotrzebowanie na paliwo nie powinno dziwić. Wskazówkę może stanowić wyższe spalanie aut obsługiwanych przez danego kierowcę, zwłaszcza gdy sytuacja się powtarza. Jednak, jeżeli będzie jeździł oszczędnie, różnica pomiędzy oszustem a uczciwym kierowcą może być niezauważalna.

Ważne mogą być dane z tachografu, rejestratorów jazdy i lokalizatorów GPS, jeżeli kierujący pojazdem często po opuszczeniu stacji zatrzymuje się na kilka minut. Może to oznaczać, że w tym czasie spuszcza paliwo. Sprytny złodziej może dokonać kradzieży po kilku godzinach podróży, tuż przed kolejnym tankowaniem czy na postoju.

Często trudno jest zidentyfikować oszustów, dlatego ważne jest dokonywanie odpowiedniej selekcji pracowników i ich kontrolowanie.

Kradzieże z karty flotowej – bądź ostrożny!

Phishingu, skimmingu i kradzieży karty można łatwo uniknąć. Wystarczy zachować ostrożność – nie klikać w linki w mailach i SMS-ach, nie udostępniać karty osobom trzecim oraz pilnować swojego portfela. Najczęściej to wystarczy, by zewnętrzny oszust nie był w stanie dokonać defraudacji środków. Kradzieże z karty zdarzają się na tyle często, że warto przeprowadzić w firmie wewnętrzne szkolenie z zakresu bezpieczeństwa.

Trudniejsze może być dla managera floty złapanie nieuczciwego pracownika. Nowoczesne technologie i coraz dokładniejsze systemy rejestracji danych pojazdu są w stanie zapisywać wartości spalania na tyle precyzyjnie, że różnica pomiędzy ilością zakupionej i zużytej benzyny będzie widoczna. Bez narzędzi technologicznych nie będziesz w stanie przyłapać nieuczciwego pracownika, dlatego poza zaufaniem ważne jest, by zainwestować w odpowiednie środki bezpieczeństwa.

Jak otrzymać kartę Shell Card