Kilka dni temu o poważnym problemie dotyczącym płatności zbliżeniowych (NFC) pisał Maciej Samcik, dziś informacja o zagrożeniu płynących z technologii zbliżeniowych pisał Niebezpiecznik. Czy faktycznie technologia zbliżeniowa jest taka niebezpieczna i czy mamy się czego obawiać? Postanowiłem zapytać o to między innymi rzecznika prasowego BRE Banku.

Cały problem opiera się w zasadzie na dwóch filarach – braku autoryzacji transakcji kodem PIN dla kwot poniżej 50 zł oraz brak wymogu autoryzacji transakcji online przez terminal płatniczy. Wszystko to przekłada się oczywiście na bardzo krótki czas realizacji takiej płatności – niesie jednak za sobą spore ryzyko w przypadku zgubienia, kradzieży czy zeskanowania i sklonowania karty.

Mechanizm działania „złodzieja” wygląda w dużym uproszczeniu tak – złodziej kradnie, znajduje, klonuje naszą kartę. Wybiera sklep czy dowolne inne miejsce gdzie terminale płatnicze nie autoryzują transakcji online. Co ciekawe terminale offline występują nie tylko w małych sklepikach i np w systemach automatycznej sprzedaży (np w automatach do biletów) ale równie często nawet w dużych sieciach spożywczych ze sklepami na terenie galerii handlowych*

Złodziej dokonuje wielu transakcji zakupu starając się nie przekroczyć kwoty 50zł (powyżej tej kwoty większość banków wymaga potwierdzenia transakcji kodem PIN). Ponieważ terminal jest offline – nasze konto nie jest obciążane natychmiastowo, nie są sprawdzane limity na koncie ani dostępne środki. Wszystkie transakcje do 50 zł są więc realizowane w zasadzie bez ograniczeń.

Dopiero wieczorem lub następnego dnia terminal łączy się z naszym bankiem i obciąża konto.

Jak się więc zabezpieczyć?

Teoretycznie dostawcy kart dają możliwość włączenie flagi wymuszającej autoryzację karty online, ale w praktyce mało kto to stosuje. Na swoim blogu Marcin Marciniak (specjalista od bezpieczeństwa IT, z którym miałem okazję wielokrotnie rozmawiać między innymi nt bezpieczeństwa systemów bankowych) opisuje sposoby uszkadzania anteny w kartach zbliżeniowych tak, żeby fizycznie uniemożliwić dokonywanie takich płatności.

Brutalne rozwiązania mają jednak swoją wadę – teoretycznie używanie uszkodzonej karty jest niezgodne z regulaminem i nadgorliwy sprzedawca po zauważeniu takiego nacięcia czy wiercenia powinien kartę zatrzymać i zwrócić bankowi.

Ponieważ większość tradycyjnych zabezpieczeń nie działa, a niszczenie karty nie jest do końca zgodne z regulaminem bankowym postanowiłem zadać pytanie nt tego co zrobić w razie kradzieży / zgubienia karty zbliżeniowej Kindze Wojciechowskiej z BRE Banku. Oto co w odpowiedzi usłyszałem:

Co więc, jako klienci banku, możemy / powinniśmy zrobić w przypadku zgubienia karty?

Jeśli karta zostanie zagubiona lub ukradziona, to należy ją jak najszybciej zastrzec, informując o tym bank. Jeśli karta była ubezpieczona, należy też zgłosić fakt kradzieży na Policji. Jednak najważniejsze, o czym powinniśmy pamiętać, to zasady bezpieczeństwa związane z codziennym użytkowaniem karty. Ważne więc aby nie nosić kart płatniczych w portfelu wraz z pieniędzmi oraz dokumentami z danymi osobowymi, a wprowadzając dane karty w formularzu internetowym zawsze upewnić się, czy połączenie ze stroną jest szyfrowane, co symbolizuje zamknięta kłódka w oknie przeglądarki, a sam adres strony internetowej powinien zaczynać się od https:// (szyfrowanej wersji standardowego protokołu http://). Lepiej też nie przesyłać danych dotyczących karty płatniczej za pomocą poczty elektronicznej, gdzie dane najczęściej przesyłane są w sposób niezabezpieczony (i niejednokrotnie po wysłaniu nadal znajdują się w archiwum na serwerze poczty) Warto też nie nosić ze sobą wszystkich kart płatniczych w jednym miejscu i nie tracić karty z pola widzenia podczas autoryzowania transakcji. Najważniejsze aby nie udostępniać swojej karty innym osobom i zdecydowanie nie zapisywać kodu PIN do kart na samych kartach lub na kartkach noszonych przy karcie. Przy wypłacie pieniędzy nie korzystajmy z pomocy nieznanych osób, a PIN powinniśmy zawsze chronić, nawet wpisując go do bankomatu.

Czy wystarczy zgłoszenie jej zaginięcia? Co z transakcjami dokonanymi kartą od momentu faktycznej jej kradzieży do momentu zgłoszenia?

Do momentu zastrzeżenia karty, jej właściciel odpowiada za transakcje do równowartości 150 euro. Za transakcje powyżej tej kwoty, odpowiada bank. Odpowiedzialność za transakcje wykonane po zastrzeżeniu karty, jest po stronie banku. W przypadku, gdy karta jest ubezpieczona, wartość transakcji do wysokości 150 euro zwracana jest przez Ubezpieczyciela zgodnie z warunkami ubezpieczenia kart.

Czy faktycznie stanowi to duży problem?

Liczba reklamacji jest marginalna, a każdą sprawę, jaka jest do nas zgłaszana rozpatrujemy indywidualnie.
Czy można w jakiś sposób wyłączyć opcję zbliżeniową w kartach płatniczych? (wiem, że taką możliwość dają jedynie karty MasterCard, ale banki nie korzystają z tej opcji).
Na wstępie zapewniam, że statystycznie karty zbliżeniowe są tak samo bezpieczne, jak standardowe plastiki, a liczba reklamacji dotycząca nieuprawnionego użycia karty zbliżeniowej jest marginalna, podobnie jak w przypadku tradycyjnych kart.
Na żądanie Klienta istnieje możliwość przyjęcia dyspozycji zablokowania funkcjonalności transakcji zbliżeniowych PayPass/payWave (tzw. contactless). W tym celu należy skontaktować się z mLinią oraz złożyć dyspozycję zablokowania funkcji płatności zbliżeniowych dla konkretnej posiadanej karty.
Blokada będzie dotyczyć wyłącznie konkretnej, wskazanej przez klienta karty. Dyspozycja rozpatrywana jest indywidualnie.

Marcin Marciniak z Computerworld Polska sugeruje, że można uszkodzić kartę przez nacięcie jej / nawiercenie w odpowiednim miejscu (w celu uszkodzenia anteny) – jak mają się takie praktyki do regulaminu korzystania z kart płatniczych? Czy uszkodzenie karty niesie za sobą jakieś konsekwencje?

Zdecydowanie odradzamy tego typu sposoby uszkadzania karty, głównie dlatego, że karta może zostać zniszczona trwale, co spowoduje konieczność zamówienia duplikatu i brak możliwości korzystania z karty. Dodatkowo, regulamin korzystania z kart płatniczych precyzuje, że wraz ze zniszczeniem karty wygasa prawo do jej używania oraz zniszczenie karty jest powodem, dla którego można zamówić duplikat.

Inne zagrożenia

Inny ciekawy sposób polega na tzw przedłużeniu terminala płatniczego. Dwie osoby mające telefony z technologią NFC z zainstalowanymi specjalnymi aplikacjami płacą kartami zbliżeniowymi na odległość. Jedna z osób znajduje się przy temrinalu płatniczym – płacąc telefonem za pośrednictwem specjalnie przygotowanej aplikacji. Druga znajduje się np w autobusie – skanując swoim telefonem karty współtowarzyszy. Trik polega na ty, że oba telefony synchronizują się za pośrednictwem internetu (np 3G) i faktyczna transakcja odbywa się na podstawie danych skanowanych przez złodzieja nr dwa.

Cały proceder opisał dziś Niebezpiecznik. Wydaje mi się jednak, że jest to raczej sztuka dla sztuki – z kilku powodów. Teoretycznie kartę można zeskanować z odległości nawet 1 metra – jednak zazwyczaj trzymamy je w grubym portfelu, pod kurtką etc co znacznie utrudnia odczytanie karty na odległość. Po drugie – jedynie dobrej klasy NFC jest w stanie odczytać kilka kart jednocześnie. Po trzecie – łatwo się przed tym zabezpieczyć kupując specjalny potrfel z „wbudowaną” klatką Faradaya lub samemu zrobić sobie etui na kartę z foli aluminiowej. I po ostatnie – naprawdę komuś opłacałoby się tak kombinować, synchronizować wszystko etc dla jednej transakcji z zyskiem do 50zł?

 

* – przeprowadziłem mały test na jednej z moich kart zbliżeniowych w Poznańskiej Malcie. Mając na koncie 55 zł zapłaciłem w tym samym sklepie dwa razy za zakupy – raz płacąc 47 zł, drugi raz 44 zł. Kupiłem za 21 zł kilka „słodkości” w cukierni leżącej zaraz obok sklepu (podłączona do tego samego systemu płatności), a na koniec kupiłem za 35zł kwiaty dla żony i wypłaciłem 50zł w pobliskim bankomacie. Dopiero bankomat autoryzował transakcję online blokując kwotę na koncie i uniemożliwiając dalsze tego typu zabawy.

Efektem tego było ujemne saldo na moim koncie, które pojawiło się następnego dnia – mimo, że teoretycznie debetu na koncie zrobić nie mogę.

Bibliografia: