Polacy pokochali karty zbliżeniowe. Już niemal połowa kart płatniczych w naszym kraju jest oparta na tej technologii. Badania pokazują też, że zbliżeniówki to najbardziej pożądana nowość w ofercie banków. Eksperci zwracają jednak uwagę na luki w ich zabezpieczeniach, o ostrożność apelowało też GIODO. Zbliżeniówkę mieć, czy nie mieć – oto jest pytanie. Sprawdzamy.
Portal Wirtualnemedia.pl niedawno opublikował wyniki badania, z którego wynika, że spośród nowości oferowanych przez banki najbardziej pożądanym przez klientów “bonusem” są właśnie karty zbliżeniowe. Chciałoby je mieć aż 55 proc. ankietowanych. Na marginesie trzeba przyznać, że tak naprawdę klienci nie mają wielkiego wyboru, bowiem banki nie proponują już prawie tradycyjnych kart płatniczych – zbliżeniówki powoli zastępują starszą technologię.
Wedle szacunków Open Finance w 2012 roku wydano w Polsce prawie 15 mln takich kart. W porównaniu z poprzednim rokiem to ogromny wzrost – w grudniu 2012 już 44 proc. “plastików” w portfelach Polaków działało w technologii zbliżeniowej. Powszechnemu entuzjazmowi dla nowego rozwiązania, które pozwala wygodnie płacić np. za zakupy do wartości 50 zł bez wpisywania PIN-u, towarzyszą jednak liczne doniesienia o tym, że zbliżeniówki są niebezpieczne.
Zeskanować nie jest trudno
Inż. Sławomir Matelski, informatyk zajmujący się bankowością elektroniczną, mówił w rozmowie z “Głosem Wielkopolskim”, że przejęcie danych z karty zbliżeniowej to kwestia ułamków sekundy. Jego zdaniem większość kart tego typu nie jest po prostu wystarczająco dobrze zabezpieczona. Pomysłowi przestępcy mogą bez większych trudności zeskanować dane z naszej karty i wykonywać z ich pomocą transakcje, a nawet “sklonować” naszą zbliżeniówkę. Jak to możliwe?
Jedna z prelegentek konferencji Shmoocon pokazała na żywo, jak za pomocą kupionego na eBayu czytnika kart zeskanowała “bezstykówkę” ochotnika spośród zgromadzonej publiczności, przechwytując numer karty, jej datę ważności oraz numer CVV (numer weryfikacyjny karty). Następnie zakodowała te informacje na czystej karcie, a chwilę później z jej pomocą na oczach widzów przelała na swoje konto piętnaście dolarów z rachunku stojącego obok ochotnika.
W internecie znaleźć można sporo “złodziejskich poradników” pokazujących inne, często bardzo wyrafinowane metody działania oszustów. Jedna z nich zwróciła nawet uwagę GIODO. Główny inspektor Wojciech Wiewiórowski pod koniec marca zwrócił się w tej sprawie do Komisji Nadzoru Finansowego, prosząc o wyjaśnienia. W specjalnym piśmie chciał, by sprawdzić potencjalne zagrożenie związane z integracją kart płatniczych z kartami SIM do telefonów komórkowych.
W sieci pojawiło się też wiele porad na temat tego, jak chronić się przed skanowaniem. Jednym z pomysłów jest owijanie kart w folię aluminiową, stosowanie metalowych płytek lub własnoręczne wykonywanie “koszulek Faradaya”, czyli kartonowych pokrowców wyklejonych folią. Na stronie wiki.hackerspace.pl przedstawiono nawet gotowy szablon.
Limity nie zawsze skuteczne
– Mam wrażenie, że media w sprawie skanowania zbliżeniówek nakręcają trochę spiralę strachu – ocenia jednak Wojciech Boczoń z redakcji Bankier.pl. Jego zdaniem jak dotychczas skutecznych “ataków” na karty zbliżeniowe było bardzo niewiele. – To minimalna część wszystkich przeprowadzonych transakcji – ocenia Boczoń. Ekspert zwraca jednak uwagę, że używanie kart bezstykowych wiąże się z innym zagrożeniem.
– Większość banków ustala dzienny limit transakcji wykonywanych bez użycia PIN-u na 250 zł, jednak czasem te wartości są wyższe, o czym przeciętny klient może nie wiedzieć. W przypadku kradzieży naszej karty złodziej w wielu przypadkach bez trudu “wyzeruje” więc nasze konto – ocenia Boczoń. Dlatego warto sprawdzić, jaki limit ustawił domyślnie nasz bank i ewentualnie go zmodyfikować.
Na inny problem zwrócił też uwagę na swoim blogu Maciej Samcik. Otóż nawet, jeśli nasza karta ma limit, to niektóre banki nie aktualizują informacji o płatnościach wykonanych bezstykówką w trybie online. Co to oznacza?
Niektóre banki starają się rozwiązać ten problem wprowadzając autoryzację online dla wszystkich transakcji, inne z kolei korzystają z możliwości zapisywania limitu transakcji na samej karcie, co sprawia, że łączenie z bankiem w celu weryfikacji limitów nie będzie konieczne.
Zawsze można wyłączyć
Pomimo wielu wątpliwości związanych z kartami zbliżeniowymi, Wojciech Boczoń uspokaja: – Nie wydaje mi się, że by niebezpieczeństwo było znacznie większe, niż w przypadku tradycyjnych kart – ocenia. Jest tak tym bardziej, że jak podkreśla Boczoń, wielu Polaków nosi w portfelu swój numer PIN, a nawet zapisuje go flamastrem na samej karcie: – W tej sytuacji nie ma znaczenia, jakiej karty używamy. W przypadku kradzieży tak czy inaczej jesteśmy na przegranej pozycji – ocenia.
Boczoń podkreśla również, że zagrożenie ze strony stosujących wyrafinowane metody złodziei-hakerów skanujących nasze karty jest wyolbrzymiane. – Bardziej prawdopodobne jest raczej, że złodziej wyrwie komuś na ulicy torebką czy ukradnie portfel – ocenia. Dodaje też, że po medialnym zamieszaniu wokół bezstykówek można oczekiwać, że kolejne banki pozwolą decydować klientom czy chcą korzystać z opcji zbliżeniowej. Na razie taką możliwość oferują dwa z nich.
Reklama.
List GIODO DO KNF
"Używając dwóch telefonów wyposażonych w technologię NFC z odpowiednimi aplikacjami, osoba A może wówczas zapłacić za swoje zakupy kartą zbliżeniową przypadkowej osoby w autobusie lub innym zatłoczonym miejscu." CZYTAJ WIĘCEJ
Maciej Samcik
dziennikarz ekonomiczny "GW"
Ktoś może wykonać nawet kilkadziesiąt transakcji i przekroczyć wszelkie limity, a bank nie będzie miał jak tego sprawdzić. Jak długo będzie ślepy i głuchy? O ile dobrze rozumiem technologię zbliżeniową, przy ustawieniu technologii w wariancie offline "wyczytanie" wszystkich transakcji następuje dopiero przy pierwszej transakcji zatwierdzanej tradycyjnie, czyli przez PIN, albo przy codziennym, wieczornym "zrzucie" wszystkich transakcji przez działający offline terminal do bazy danych. CZYTAJ WIĘCEJ