Niedawno gruchnęła wieść: bezpieczne zbliżeniówki wcale nie są bezpieczne. Złodzieje okradają nas na odległość, a my nic o tym nie wiemy. W internecie pojawiły się już „cudowne” pokrowce, a także instrukcje, jak wydłubać antenkę i pozbawić kartę kłopotliwej bezstykowości. Co na to Visa i MasterCard?
Liczba kart bezstykowych na koniec czerwca według danych NBP wyniosła 5,9 mln sztuk. Oznacza to, że już co piąta karta wydana w naszym kraju umożliwia płacenie za zakupy do 50 zł bez podawania PIN-u. Niestety na razie ani właściciele kart, ani też nieliczni właściciele terminali do płatności bezstykowych nie mają wiedzy, czym jest i do czego służy wbudowana w nią miniantenka. Banki ani instytucje płatnicze niemal o tym nie informują. A jedyna większa kampania reklamowa zakończyła się kompromitującym błędem: spot telewizyjny sugerował, że zbliżeniówką zapłacić można rachunek opiewający na 70 zł, tymczasem wszystkie karty mają automatyczny limit transakcji do 50 zł (Visą zapłacić wyższego rachunku nie można, w Mastercard wymaga to akceptacji PIN-em).
Nic więc dziwnego, że w internecie pojawia się coraz więcej opinii straszących kradzieżą pieniędzy czy danych personalnych z kart bezstykowych. Większość z nich pokazuje, że wystarczy zbliżyć do karty czytnik (np. w autobusie czy na ulicy), a później kartę sklonować i taką podróbką płacić.
– Nie było w Polsce jeszcze żadnego przypadku kradzieży pieniędzy z kart bezstykowych. Hakerom nie udało się jeszcze tego systemu obejść – podkreśla Wojciech Bazyly z firmy e-Leash, która zajmuje się fizyczną ochroną kart bezstykowych. – Nie oznacza to jednak, że do tego nie może dojść. Sony też twierdziło, że ma bezpieczny system, a udało się hakerom wykraść miliony numerów kart kredytowych – dodaje.
Z kolei eksperci z firmy ID Block System twierdzą, że kartę łatwo sklonować i klonu używać z takim samym powodzeniem jak oryginału. Ta firma oraz e-Leash sprzedają w internecie specjalne nakładki na kartę, które uniemożliwiają sczytywanie danych blokując całkowicie wysyłanie sygnału przez kartę.
Organizacje płatnicze i banki, które bezstykówki wydają twierdzą, że takich nakładek nawet za parę złotych nie warto kupować. Zarówno Visa (technologia PayWave), jak i Mastercard (PayPass) twierdzą bowiem, że sczytanie karty i jej klonowanie jest technologicznie niemożliwe.
Nie da się jednak zaprzeczyć, że nawet średnio zaawansowany haker może „przytulając się” z czytnikiem do naszego plecaka czy torebki dowiedzieć paru interesujących o nas informacji.
– Karta poda nam informacje o jej numerze, o imieniu i nazwisku czy dacie ważności. Trzeba pamiętać, że w tej technologii są wykonywane też inne karty: dostępowe w biurowcach czy karty biblioteczne. Z nich też można sczytać informację o nas – mówi Wojciech Bazyl i dodaje, że na przykład Poznań wprowadza właśnie bezstykową kartę miejską. Jego zdaniem najprawdopodobniej będzie można wyczytać z niej, gdzie parkowaliśmy, a nawet jakimi autobusami jeździmy.
Bankowi eksperci twierdzą jednak, że nie ma się czego bać.
– Aby doszło do kradzieży danych, czytnik musi być zbliżony na naprawdę bliską odległość. To musi być klika centymetrów. To nie jest takie proste, jak się mogłoby wydawać – tłumaczy prof. Remigiusz Kaszubski, ekspert od bankowości elektronicznej w Związku Banków Polskich.
– Informacje o rzekomym złamaniu zabezpieczeń kart zbliżeniowych i o kradzieży pieniędzy przy ich użyciu najczęściej dotyczą prób podejmowanych w warunkach sztucznych, na przykład akademickich. Nie są nam znane przypadki faktycznego wykorzystania danych z karty zbliżeniowej do skutecznych transakcji oszukańczych dokonanych w świecie rzeczywistym – mówi Jakub Kiwior, dyrektor Visa Europe w Polsce.
Jego zdaniem nawet jeśli nieuczciwy sprzedawca dwukrotnie ściągnie z nas pieniądze, to ktoś, kto zauważy taką kradzież, szybko tę drobną kwotę odzyska, a sklepikarz będzie miał zarzuty kradzieży.
– Trzeba pamiętać, że przecież wszystkie czytniki muszą być podłączone do systemu rozliczeniowego, a transakcje muszą być zaksięgowane w systemie bankowym, co tworzyłoby udokumentowany i czytelny „ślad” – mówi Jakub Kiwior.
Visa przyznaje, że z karty rzeczywiście można sczytać pewne dane personalne, ale nie mogą być one wykorzystane do nielegalnego kupna przy pomocy karty kredytowej na przykład przez internet. Do tego wymagany jest trzy cyfrowy kod CVC2, a on jest jedynie fizycznie zapisany na karcie i żaden czytnik nie jest w stanie go ściągnąć.
– Gdyby nawet doszło do sczytania pewnych danych, to nie będzie wśród nich imienia ani nazwiska, ani trzycyfrowego kodu CVV2, który jest potrzebny do płatności w Internecie, a jest tylko fizycznie nadrukowany na karcie i żaden czytnik nie jest w stanie go ściągnąć. Sklep internetowy ma obowiązek sprawdzić ten kod, a jeśli tego nie zrobi, to ponosi pełną odpowiedzialność za ewentualną oszukańczą transakcję – tłumaczy dyrektor Visy.
Jednak nawet te zapewnienia części osób nie uspokajają. Karty bezstykowe są dziś w wielu bankach wydawane z automatu: albo ją bierzemy, albo nie mamy żadnej. A technologii nie da się wyłączyć, choć na forach internetowych pojawiają się sugestie, aby w karcie pogrzebać… śrubokrętem i bezstykowość usunąć w sposób mechaniczny.
Wyjątkiem jest tu jedynie internetowy bank Inteligo, który wprawdzie bezstykowości nie wyłącza, ale umożliwia zmianę limitu transakcji z 50 zł do na przykład 0 zł. Bank jest jednak częścią PKO BP, w którym już takiej możliwości nie ma.
– Internet jest bardzo elastycznym medium, w związku z tym wychodzimy z założenia, że bank internetowy powinien dać swoim klientom jak najwięcej możliwości. Stwierdziliśmy, że jeśli u kogoś obniżenie limitu zwiększa poczucie bezpieczeństwa, to należy mu to umożliwić – tłumaczy Wojciech Bolanowski, dyrektor bankowości elektronicznej w PKO BP. – Z punktu widzenia PKO BP nie wprowadziliśmy już takiej możliwości, bo klientom akurat tego banku lepiej po prostu nie komplikować życia. Dziwię, się że jednak w wielu innych bankach internetowych czy aspirujących do tego miana nie ma takiej możliwości – dodaje.
Jego zdaniem polskie, a w zasadzie europejskie rozwiązania związane z bezpieczeństwem transakcji bez użycia numeru pin, stoją na dużo wyższym poziomie niż w USA. Na przykład jedna na kilkanaście transakcji bezstykowych realizowanych kartami Visa i tak wymaga potwierdzenia kodem. Tak na wszelki wypadek.