CDR.cz - Vybráno z IT

Nebojte, nikdo v MHD bezkontaktní platební karty z kapes nekopíruje: A nebo ano?

nepřehlédněte
Karty Nfc 3
Internetem koluje fotografie, kde muž s bezdrátovým platebním terminálem údajně okrádá lidi ve veřejné dopravě. Má stačit, aby měli v kapse či peněžence platební kartu s tzv. bezkontaktním čipem, byli blízko terminálu a peníze "naskakují"... Kde je pravda?

Ačkoliv samotná fotografie nic konkrétního neukazuje, pojďme se podívat, zda je něco podobného vůbec možné.

Fotografie sdílená na sociální síti Facebook způsobila rozruch a lidé po celém světě začali (už zase) ve velkém obalovat své karty do alobalu a speciálních odstíněných krytů. Jak ale zmiňuje třeba britská organizace UK Cards Association, zatím nebyl v celé Británii nahlášen jediný incident tohoto typu a to samé se podle všeho týká i ČR.

Karty Nfc 2

Mnoho povyku pro... málo

Věc se má tak, že útočník by naskenování potřeboval nejen přenosný platební terminál s podporou bezkontaktních plateb, ale i propojení k bankovnímu účtu některé z bank. Už z tohoto důvodu je podobné jednání vystopovatelné.

"Účty zákazníků i provozovatelů jsou monitorovány pro podezřelou aktivitu. Každá platba kartou je vystopovatelná až k cílovému bankovnímu účtu," zmiňuje zástupce asociace. Je tedy teoreticky možné, že by někdo obcházel lidi s podobným zařízením, ale s největší pravděpodobností by mu to dlouho nevycházelo.

Money, peníze

Pravděpodobnější je využití modifikovaného terminálu či mobilního telefonu. Na hackerských konferencích bylo podobné napadení několikrát demonstrováno. Dobrou zprávou přinejmenším je, že z karty nelze bez zadání pinu vybrat větší částku. V ČR se tato suma pohybuje kolem 500 Kč za platbu a jejich počet navíc bývá omezený.

Kartu si můžete přečíst vlastním mobilem s NFC i vy, jenže...

Pokud byste si chtěli ověřit, jaké informace ze své platební karty skrze NFC dokážete přečíst a netrpíte paranoiou, zkuste třeba aplikaci pro Android nazvanou Credit Card Reader. Podmínkou je zařízení s NFC a platební karta s bezkontaktním čipem. Poté už jen stačí zapnout aplikaci a kartu přiložit. A co aplikace načte?

Karty Nfc 4Karty Nfc 5

Ze získaných informací, které karta při takovém čtení poskytne, jsou to údaje následující:

  • Hlavní číslo karty (16místné)
  • Datum expirace
  • Typ a vydavatele karty
  • Zbývající počet pinů
  • Zajímavý a trošku děsivý se zdá být výpis posledních plateb kartou, tedy historie včetně částek. Sama o sobě útočníkovi poslouží maximálně při sociálním inženýrství...

Co chybí:

  • CVV (trojice čísel ze zadní strany karty, kterou potřebujete pro úspěšné platby na internetu)
  • PIN

Netřeba panikařit, opatrnost je však na místě

Technologických překážek před podobným čtením je více. Za prvé je nezbytný opravdu silný signál čtecího zařízení, protože, jak můžete vyzkoušet, většinou se platba neuskuteční pokud je vzdálenost větší, než několik cm. Tuto překážku pro zdatnějšího kutila nebude složité upravením zařízení překonat. Dalším faktem je, že samotné čtení bez propojení s platebním systémem je k ničemu, proces je trošku složitější.

Karty Nfc

Právě proto jsou většinou na konferencích ukazovány útoky, které vypadají třeba následovně: Útočník dostane do mobilního zařízení napadeného infikovanou aplikaci, která umí číst a pracovat s NFC. Následně se na dalším telefonu k napadenému zařízení připojí a vychází z předpokladu, že má napadený mobilní telefon poblíž karty, ideálně třeba v jedné kapse. Mobilním zařízením v rukou útočníka pak šlo provádět platby bezkontaktně, jako kdyby držel kartu v ruce.

Přestože podobnou hrozbu tedy v praxi nikdo nepotvrdil, možná teoreticky je. Bát se však veskrze nemusíte. Riziko je minimální a větší hrozbou je třeba levná kamerka nainstalovaná poblíž platebního terminálu či bankomatu... Kdo by se však přeci jen chtěl chránit, může sáhnout po stínících pouzdrech či speciálních peněženkách.

Rfidcreditcardsleeve X

Lukáš Voříšek (Google+)

Šéfredaktor nového technologického magazínu inSmart.cz. Autor je fanouškem revolučních technologií a projektů, jako je fotoaparát Lytro a minipočítač Raspberry Pi. Dříve přispíval do magazínů PCTuning a Stahuj. S nadějí čeká na den, kdy nebude muset sedět u klávesnice a vše obstará čip v hlavě...

více článků, blogů a informací o autorovi

Diskuse ke článku Nebojte, nikdo v MHD bezkontaktní platební karty z kapes nekopíruje: A nebo ano?

Sobota, 19 Březen 2016 - 19:31 | Pepa Zdepa | A co takové Apple Watch? http://chytrehodinky.net...
Pondělí, 29 Únor 2016 - 19:19 | HKMaly | A proc si kartu nezabalite do alobalu?
Středa, 24 Únor 2016 - 09:55 | ren | Zajimave, ja mam opacnou zkusenost. Uz dve...
Úterý, 23 Únor 2016 - 17:16 | Stream Line | Tzn. jeden z 1000 pokusů bude úspěšný, je to tak...
Úterý, 23 Únor 2016 - 06:44 | Patrik Chrz | Ono je to ještě horší. Dokonce je možné zaplatit...
Pondělí, 22 Únor 2016 - 16:18 | SeReB | Posviťte si LED baterkou skrz kartu a v pravém...
Pondělí, 22 Únor 2016 - 07:32 | Tomas A | "Proč si prostě nenastavíte limit "...
Pondělí, 22 Únor 2016 - 07:16 | Nnet | Nesouhlasím... mám v peněžence spousta karet i...
Neděle, 21 Únor 2016 - 21:12 | Vecernik | Maly detail - CVV na platby neni treba. Napriklad...
Neděle, 21 Únor 2016 - 02:26 | Patrik Chrz | Nezkoušel jsem, ale mělo by stačit vyvrtat malou...

Zobrazit diskusi