Komisja Nadzoru Finansowego przyjrzała się z bliska kartom zbliżeniowym, a spostrzeżenia zawarła w raporcie "Analiza bezpieczeństwa kart zbliżeniowych". Co trzecia karta w naszych portfelach (13 mln sztuk) to tzw. karta zbliżeniowa, czyli umożliwiająca dokonywanie transakcji o wartości do 50 zł bez podawania PIN-kodu. Karta w Polsce świetnie się przyjęła w bankach i cieszą się też rosnącą popularnością wśród akceptantów. Coraz częściej sprzedawcy w sklepach pytają czy płatność będzie zbliżeniowa. Nic dziwnego, bo jest ona znacznie szybsza niż transakcja opłacona zwykłą kartą lub gotówką.
3W Polsce karty cieszą się sporym wzięciem i zaufaniem, czego nie można powiedzieć np. o Amerykanach, czy Brytyjczykach, którzy pomimo wielkich nakładów na promocję ze strony Visy i Mastercarda zbliżeniowo płacić nie chcą. I kropka. Opór wynika główne z obaw o bezpieczeństwo takich transakcji.
W Polsce niedawno również przetoczyła się przez rynek dyskusja czy zbliżeniówki są bezpieczne. Zdarzyły się wypadki, że złodziej ukradł kartę po czym zrobił szereg transakcji o wartości mniejszej niż 50 zł, żeby nie musieć podawać PIN-u i wyczyścił konto poszkodowanego. Inni skarżyli się, że ponieważ część transakcji odbywa się off-line, czyli karta „nie komunikuje” się z rachunkiem, do którego jest przypisana, to w sytuacji gdy na koncie brakuje pieniędzy, powstaje na nim debet. Jeśli jest to karta kredytowa może dojść do przekroczenia limitu. I w jednym i drugim przypadku bank nałoży na klienta opłaty za „przeciążenie” rachunku.
Oprócz tych zrozumiałych i występujących rzeczywiście zagrożeń, pojawiły się również różne, czasem dość fantastyczne opowieści o złodziejach sczytujących dane z karty w autobusach i tramwajach, przechwytujących dane z karty znajdującej się np. blisko telefonu, żeby on-line, łącząc się z innym urządzeniem zrobić transakcję w sklepie. Mastercard i Visa zaklinali się, że takie ataki możliwe są tylko w teorii, ale ludzie i tak wiedzieli swoje.
Dobrze się stało, że sprawą kart zbliżeniowych zajęła się Komisja Nadzoru Finansowego, która dzisiaj opublikowała raport w tej sprawie, rozprawiając się z mitami, ale też zwracając uwagę na realne zagrożenia.
Realne jest zagrożenie kradzieży karty, która może posłużyć do wykonania szeregu nieautoryzowanych PIN-em transakcji. Tylko jeden bank na 14 sprawdzonych przez KNF zadeklarował, że 99 proc. transakcji zbliżeniowych odbywa się on-line co pozwala wychwycić nadmierną aktywność użytkownika karty. W innych bankach bywa z tym różnie. Teoretycznie można zabezpieczyć kartę przed złodziejem w ten sposób, że nawet kiedy działa ona off-line, mikroprocesor w karcie rejestruje liczbę transakcji lub też sumuje płatności i po konkretnej liczbie operacji, lub przekroczeniu określonej kwoty wymaga podania PIN-u. Z tymi zabezpieczeniami też bywa różnie.
Innymi zagrożeniami można straszyć natomiast dzieci. KNF rozkłada na czynniki pierwsze kilka takich scenariuszy. Pierwszy: nieuprawiony odczyt danych polega na tym, że „przestępca może odczytać zdalnie dane dostępne za pośrednictwem interfejsu zbliżeniowego karty płatniczej, a następnie wykorzystać je m.in. w celu dokonania płatności bez fizycznej np. w Internecie”.
Taki atak tylko teoretycznie jest możliwy do przeprowadzenia, ponieważ z karty można tylko sczytać numer karty i termin ważności, a to nie wystarczy do przeprowadzenia transakcji. Inna sprawa, że jak zauważa KNF, do przechwycenia danych karty z większej niż kilka centymetrów odległości „niezbędne jest prawdopodobnie wykorzystanie urządzeń odbiorczych o znacznych rozmiarach”.
Scenariusz drugi: atak typu przekaźnikowego. Dwóch przestępców wykorzystuje np. smartfony z NFC do obciążenia karty ofiary. Jeden z nich jest np. w tramwaju, trzyma telefon blisko portfela z kartami innego pasażera, a drugie stoi z komórką przy terminalu w sklepie. Komisja stwierdza, że w takim przypadku terminal i karta faktycznie działają jakby komunikowały się ze sobą. Z tym, że: operacja jest niezwykle trudna do przeprowadzenia z logistycznego punktu widzenia, a nawet gdyby udało się ją przeprowadzić to prawdopodobnie czas transmisji na taką odległość byłby za długi, żeby przeprowadzić transakcję. Przykładowo w Mastercardzie musi ona zmieścić się w 500 milisekundach.
KNF przyznaje jednak, że gdyby taka transakcja została przeprowadzona klient miałby problem z udowodnieniem, że to nie obciążył rachunek karty.
Trzeci scenariusz: logiczne klonowanie karty. Przestępca zdalnie pozyskuje dane z karty a potem, korzystając z urządzenia działającego w technologii NFC, wykorzystuje do płacenia.
Nie wchodząc w szczegóły, operacja praktycznie niewykonalna, a nawet gdyby to posiadacz karty mógłby łatwo udowodnić, że to nie on płacił, bo transakcje byłyby rejestrowane w wirtualnej, stworzonej przez złodzieja karcie, a nie fizycznie istniejącej.
Czwarty scenariusz: fizyczne klonowanie karty. Złodziej pozyskuje dane z karty zbliżeniowej z paskiem magnetycznym i tworzy duplikat. Możliwe tylko teoretyczne. W Polsce nawet w teorii nie, ponieważ kardy zbliżeniowe są standardowo wyposażane w pasek elektroniczny, ale też elektroniczny czip.
Zobacz facebookową stronę bloga Obiektywnie o finansach
I ostatni, czysto teoretyczny przypadek: wykorzystanie szkodliwego oprogramowania mobilnego. Przestępca wykorzystuje wirusa, trojana w komórce do fizycznego sklonowania karty lub ataku typu przekaźnikowego. Jak na razie żaden taki przypadek nie został opisany, ale taki atak jest równie prawdopodobny jak opisane wyżej.
Dobrze, że KNF rozprawiła się z mitycznymi opowieściami o skanowaniu kart zbliżeniowych w autobusie i dobrze, że w ogóle zajęła się tym tematem. Jak się bowiem okazuje, banki chętni karty wydają, ale z troską o bezpieczeństwo jest znacznie gorzej. „Przyjęty sposób autoryzacji transakcji zbliżeniowych powoduje, iż w wielu przypadkach nie istnieją żadne zabezpieczenia uniemożliwiające postronnej osobie, która weszła w posiadanie karty zbliżeniowej dokonanie nisko kwotowej transakcji płatniczej”.
Co gorsza, jeśli ktoś nam kartę ukradnie to niełatwo jest udowodnić, że to złodziej wyczyścił konto. W bankach nie ma wypracowanych procedur jak takie reklamacje rozpatrywać. KNF zwraca uwagę, że niektóre z nich żądają kopii złożonego na policji zawiadomienia o kradzieży karty, podczas zgodnie z ustawą o elektronicznych instrumentach płatniczych „w żadnym przypadku dostawca nie może uzależniać uznania roszczenia w przypadku zgłoszonej przez klienta nieautoryzowanej transakcji od wymogu powiadomienia policji o podejrzeniu popełnienia przestępstwa, polegającego na kradzieży karty i dokonaniu oszukańczej transakcji”.
Na całe szczęście reklamacji od klientów nie jest dużo, choć różnie to bywa w różnych bankach. Większość z nich twierdzi, że liczba skarg nie przekracza 100. Jedynie w trzech bankach wynosi ona 1900-2500.
Problem jednak w tym, że tylko połowa z 14 przeanalizowanych przez KNF banków daje klientom możliwość wyboru, czy chcą kartę zbliżeniową czy klasyczną. Wiele banków wysyłając klientowi nową kartę po wygaśnięciu poprzedniej z automatu, bez pytania o zdanie, wysyła zbliżeniówkę. Tylko w 5 bankach można zablokować funkcję zbliżeniową karty lub wprowadzić dodatkowe limity transakcji.