31

Uważaj na to co nosisz w kieszeni – karty zbliżeniowe

Niedawno zmieniłem swój bank.  Cały zestaw formalności załatwiłem oczywiście bezproblemowo przez Internet. Po kilku dniach zgodnie z umową przysłana została do mnie karta kredytowa z opcją PayPass, której zastosowania nie omieszkałem jak najszybciej sprawdzić. Transakcja zapłaty za kilka zakupionych towarów przebiegła jak po maśle i to właśnie wygoda jest największym atutem kart zbliżeniowych. Skoro jednak […]

Niedawno zmieniłem swój bank.  Cały zestaw formalności załatwiłem oczywiście bezproblemowo przez Internet. Po kilku dniach zgodnie z umową przysłana została do mnie karta kredytowa z opcją PayPass, której zastosowania nie omieszkałem jak najszybciej sprawdzić. Transakcja zapłaty za kilka zakupionych towarów przebiegła jak po maśle i to właśnie wygoda jest największym atutem kart zbliżeniowych. Skoro jednak nie wymagają one od nas praktycznie żadnego aktywnego potwierdzania tożsamości, to otwierają również szerokie pole do popisu dla elektronicznych złodziei. Skąd mam niby wiedzieć czy człowiek stojący za mną w kolejce do kasy nie kopiuje sobie właśnie mojej „bezstykówki”?

Karty płatnicze stanowią główny środek płatniczy wielu milionów Polaków. Jak pokazują statystyki NBP, na koniec ubiegłego roku na polskim rynku znajdowało się ponad 33 miliony takich kart, a liczba ta w miarę upływu czasu ciągle rośnie. Dokonujemy nimi  coraz większej liczby transakcji, co wpływa również na wzrost wartości sumy transakcji bezgotówkowych. Spada jednak liczba znajdujących się w użytku kart, tylko z paskiem magnetycznym – obecnie jest ich ponad 3 razy mniej niż było jeszcze dwa lata temu. Za to mamy coraz więcej kart z wbudowanym mikroprocesorem, choć i tu dynamika wzrostu zauważalnie maleje. Jaka więc kategoria ciągnie do góry liczbę wydawanych kart?

Są to oczywiście karty zbliżeniowe, dostępne na rynku już od jakiegoś czasu jednak dopiero teraz zdobywające prawdziwą popularność, dzięki masowemu i często obowiązkowemu dodawaniu ich przez banki do nowozakładanych rachunków. Wg szacunków, prawie połowa kart znajdujących się w obiegu wyposażona jest miniaturową antenkę i układ scalony, umożliwiające płacenie za zakupy bez podawania PINu, jedynie przez zbliżenie karty do czytnika. Jak właściwie taka karta działa?

Komunikacja odbywa się bezprzewodowo dzięki zastosowaniu zjawiska indukcji magnetycznej i pobudzania cewki znajdującej się w karcie. Dzięki temu karta może funkcjonować bez żadnego własnego zasilania, odpowiednio modulowany sygnał generowany przez kartę jest interpretowany przez czytnik. Brak baterii powoduje jednak, że karty zbliżeniowe znajdujące się w portfelach wielu z nas działają jedynie na odległość kilkunastu centymetrów.

501037cf03635_o

Karty zbliżeniowe MasterCard korzystają z chipu RFID (standard: NFC), co pozwala na bezprzewodowe udostępnianie takich informacji jak numer karty i jej data ważności. Jednak aby zabezpieczyć transakcję za każdym razem generowane są jednorazowe kody CVV (card verification value), które mają za zadanie jednoznaczną autoryzację i ustrzeżenie prywatności zakupu przed niepowołaną ingerencją.

W teorii wygląda to na dość bezpieczne i za takie jest przyjmowane przez VISĘ czy MasterCard, trudno jednak się spodziewać, aby główni popularyzatorzy tego standardu go krytykowali. W oświadczeniu MC sprzed roku możemy przeczytać, że „technologia zbliżeniowa jest bezpieczna i nie naraża klientów płacących plastikowym pieniądzem na ryzyko”. Coś jednak musi być na rzeczy skoro problemowi kart zbliżeniowych przyjrzeć się bliższej ma Narodowy Bank Polski.

W tym wypadku bardziej jednak niż o kradzież danych chodzi o omijanie przez karty limitów nałożonych na kontach, przez to, że transakcje zatwierdzane są zwykle w trybie offline, co może doprowadzić do  sytuacji, kiedy sprawdzając stan swojego konta zobaczymy debet, mimo, że sami o wejściu na jego poziom nawet nie wiedzieliśmy. Jeśli więc przytrafi nam się sytuacja, że ktoś ukradnie nam kartę, może za jej pośrednictwem dokonać dużej ilości zakupów, a w przypadku kosztu poniżej 50 złotych, nawet bez znajomości PINu!

Sprawy w swoje ręce postanowił także wziąć Generalny Inspektor Danych Osobowych, który zwraca uwagę na nie do końca szczelne zabezpieczenia „zbliżeniówek”. Jeden z przykładów wykorzystania luk bezpieczeństwa został zaprezentowany przez Kristin Paget  w czasie trwania konferencji Shmoocon, która empirycznie udowodniła, że za pomocą urządzeń wartych 350 dolarów (czytnik RFID i programator elektromagnetyczny) można bez problemów dokonać transakcji wykorzystując kartę ofiary. Kristin odczytała z karty wszystkie potrzebne dane łącznie z kodem CVV, co stoi w sprzeczności ze stanowiskiem MasterCard: „Nie można przechwycić: imienia i nazwiska zapisanego na karcie. Jedyne co można przechwycić to datę ważności i numer karty”. Czyżby firma starała się za wszelka ceną chronić swoja dobrą opinię nawet w sytuacji kiedy ich słowa stają w sprzeczności z faktami?

Dalej prelegentka używając czystej karty magnetycznej, tak ją zaprogramowała, aby z wykorzystaniem tego jednorazowego kodu możliwe było dokonanie transakcji. Oczywiście tak namagnesowana karta straciła później swoje zastosowanie, jednak nie zmienia to faktu, że mając nieograniczony dostęp do „zbliżeniówek” można podobne praktyki powtarzać w nieskończoność, a zainwestowane fundusze szybko się zwrócą.

nfc-mobile-payments

Istnieje jeszcze jedna, znacznie bardziej wyrafinowana opcja kradzieży, którą przeprowadzić można z zastosowaniem smartfonów, obsługujących wymagane aplikacje. Polega ona na tym, że telefon wyposażony w NFC (dla przypomnienia, jeden ze standardów RFID) i jednocześnie połączony z Internetem wykorzystujemy do zapłacenia za zakupy. Telefon ten łączy się z telefonem „współpracownika” osoby chcącej dokonać fałszywej transakcji, który to znajdować się powinien w przestrzeni wypełnionej ludźmi, co jednoznacznie zwiększy prawdopodobieństwo natrafienia na osobę, która akurat posiada kartę zbliżeniową, powiedzmy w plecaku czy kieszeni. Więź między telefonami wykorzystana jest jako most łączący kartę niczego niespodziewającej się ofiary, z której dane są skopiowane i przetransportowane do chipu NFC w sklepie.

Akcja dokonana w białych rękawiczkach, a potencjalnych poszkodowanych mamy przecież na pęczki, bo czy ktokolwiek z Was myśli o złodzieju, posługując się tradycyjnymi torami rozumowania, polegającymi na postrzeganiu jako bezpiecznych, miejsc takich jak kieszeń kurtki, w której cały czas możemy organoleptycznie wyczuć czy portfel znajduje się na swoim miejscu. Czy myślicie o tym, że jakiś człowiek przez czas podróży autobusem wpatrzony w świecący ekran smartfona może właśnie wyciągać pieniądze z waszego konta?

Czy więc karty zbliżeniowe to zło, które trzeba jak najszybciej odesłać skąd przybyło? Z pewnością nie, choć mają one swoje istotne wady to w znaczący sposób ułatwiają nam życie. Należy w tym wypadku zauważyć, że problem rynków finansowych od początku swego istnienia narażony był na nieuczciwe dążenia ludzi chcących wzbogacić się cudzym kosztem, a z każdą kolejną innowacją ciągnęła się długotrwała nieufność ludzi. Tak było przecież z giełdami, bankami i ich papierami wartościowymi. Przecież bankomaty, do których zasadności istnienia nikt nie ma chyba wątpliwości także nie są wolne od plagi działań niezgodnych z prawem.

1257455019_by_mocart_600

Niech no tylko wspomnę o tzw. skimmerach, czyli urządzeniach zdolnych do sczytywania zawartości pasków magnetycznych kart kredytowych, kamerach służących do nagrywania ruchów dłoni wprowadzającej kody PIN, a także specjalnych nakładkach na klawiatury, które mogą zapamiętywać wprowadzane ciągi znaków. Wszystkie zgromadzone informacje można wspomnianą wyżej metodą wgrać na „czystą” kartę, z które można dalej bez przeszkód korzystać. Warto także wspomnieć o dość pomysłowej pułapce „cash trap”, która mechanicznie zatrzymuje wypłacane banknoty i po oddaleniu się rozczarowanego klienta, może być zdjęta przez złodzieja, razem z wypłaconą w rzeczywistości walutą.

Jednak jeśli wprowadzane technologie mają służyć (że tak się górnolotnie wyrażę) budowaniu lepszego jutra to należy zadbać o to, aby z każdą kolejna generacją sprzętu zabezpieczenia były trudniejsze do złamania. Niektórzy – co przezorniejsi – radzą klientom zdegustowanym słabością zabezpieczeń płatności zbliżeniowych zastosowania klatki Faraday’a czyli owinięcie karty w metalową folię, albo nawet jej mechaniczne uszkodzenie poprzez przecięcie albo wystawienie na działanie mikrofal. Jednak w mojej opinii najbardziej komfortowym z punktu widzenia konsumentów rozwiązaniem byłoby po prostu umieszczenie na karcie wyłącznika jej zbliżeniowych funkcji. Ludzie mogliby wtedy zależnie od potrzeby we własnym zakresie decydować o chęci korzystania z bezstykowych rozwiązań.

Jednak jednoznacznie karygodnie wypada mi ocenić polityką banków, które często nie pytając klientów o zgodę dorzucają im w pakiecie karty zbliżeniowe. Klienci powinni mieć możliwość wyboru tego czy chcą podążyć za nowym trendem w branży, a nie być gonieni jak stado owiec, wśród, których czai się wilk. Tylko, że w realnym świecie wilk zamiast ostrych zębów i pazurów, ma smartfona i jest hakerem mogącym kilkoma dotknięciami palca do ekranu sprawić, że oszczędności życia topniały będą szybciej niż pokrywa lodowa na Antarktydzie.

Foto 1, 2, 3, 4