Nebojte, nikdo v MHD bezkontaktní platební karty z kapes nekopíruje: A nebo ano?
Ačkoliv samotná fotografie nic konkrétního neukazuje, pojďme se podívat, zda je něco podobného vůbec možné.
Fotografie sdílená na sociální síti Facebook způsobila rozruch a lidé po celém světě začali (už zase) ve velkém obalovat své karty do alobalu a speciálních odstíněných krytů. Jak ale zmiňuje třeba britská organizace UK Cards Association, zatím nebyl v celé Británii nahlášen jediný incident tohoto typu a to samé se podle všeho týká i ČR.
Mnoho povyku pro... málo
Věc se má tak, že útočník by naskenování potřeboval nejen přenosný platební terminál s podporou bezkontaktních plateb, ale i propojení k bankovnímu účtu některé z bank. Už z tohoto důvodu je podobné jednání vystopovatelné.
"Účty zákazníků i provozovatelů jsou monitorovány pro podezřelou aktivitu. Každá platba kartou je vystopovatelná až k cílovému bankovnímu účtu," zmiňuje zástupce asociace. Je tedy teoreticky možné, že by někdo obcházel lidi s podobným zařízením, ale s největší pravděpodobností by mu to dlouho nevycházelo.
Pravděpodobnější je využití modifikovaného terminálu či mobilního telefonu. Na hackerských konferencích bylo podobné napadení několikrát demonstrováno. Dobrou zprávou přinejmenším je, že z karty nelze bez zadání pinu vybrat větší částku. V ČR se tato suma pohybuje kolem 500 Kč za platbu a jejich počet navíc bývá omezený.
Kartu si můžete přečíst vlastním mobilem s NFC i vy, jenže...
Pokud byste si chtěli ověřit, jaké informace ze své platební karty skrze NFC dokážete přečíst a netrpíte paranoiou, zkuste třeba aplikaci pro Android nazvanou Credit Card Reader. Podmínkou je zařízení s NFC a platební karta s bezkontaktním čipem. Poté už jen stačí zapnout aplikaci a kartu přiložit. A co aplikace načte?
Ze získaných informací, které karta při takovém čtení poskytne, jsou to údaje následující:
- Hlavní číslo karty (16místné)
- Datum expirace
- Typ a vydavatele karty
- Zbývající počet pinů
- Zajímavý a trošku děsivý se zdá být výpis posledních plateb kartou, tedy historie včetně částek. Sama o sobě útočníkovi poslouží maximálně při sociálním inženýrství...
Co chybí:
- CVV (trojice čísel ze zadní strany karty, kterou potřebujete pro úspěšné platby na internetu)
- PIN
Netřeba panikařit, opatrnost je však na místě
Technologických překážek před podobným čtením je více. Za prvé je nezbytný opravdu silný signál čtecího zařízení, protože, jak můžete vyzkoušet, většinou se platba neuskuteční pokud je vzdálenost větší, než několik cm. Tuto překážku pro zdatnějšího kutila nebude složité upravením zařízení překonat. Dalším faktem je, že samotné čtení bez propojení s platebním systémem je k ničemu, proces je trošku složitější.
Právě proto jsou většinou na konferencích ukazovány útoky, které vypadají třeba následovně: Útočník dostane do mobilního zařízení napadeného infikovanou aplikaci, která umí číst a pracovat s NFC. Následně se na dalším telefonu k napadenému zařízení připojí a vychází z předpokladu, že má napadený mobilní telefon poblíž karty, ideálně třeba v jedné kapse. Mobilním zařízením v rukou útočníka pak šlo provádět platby bezkontaktně, jako kdyby držel kartu v ruce.
Přestože podobnou hrozbu tedy v praxi nikdo nepotvrdil, možná teoreticky je. Bát se však veskrze nemusíte. Riziko je minimální a větší hrozbou je třeba levná kamerka nainstalovaná poblíž platebního terminálu či bankomatu... Kdo by se však přeci jen chtěl chránit, může sáhnout po stínících pouzdrech či speciálních peněženkách.