Takmer všetky najnovšie modely chytrých telefónov obsahujú v sebe aj komunikáciu cez NFC (Near field communication – Elektronická komunikácia na veľmi krátku vzdialenosť). Bezkontaktné platobné karty využívajú tiež túto technológiu na komunikáciu s bezkontaktnými platobnými terminálmi, ktoré cez NFC dokážu načítať potrebné údaje z karty, aby mohli vykonať a potvrdiť platbu. A nie len termináli to dokážu, ale aj chytré telefóny s NFC rozhraním.
Ukážeme si, aké všetky údaje sa dajú získať z debetnej alebo kreditnej karty, pokiaľ ste šťastným majiteľom chytrého telefónu s NFC.
Použijeme chytrý telefón s operačným systémom Android. Nainštalujeme doň appku Banking card reader NFC (EMV) z Google store. Obdobných appiek nájdete určite viac. V telefóne povolíme používanie NFC a spustíme appku. Už nám chýba len platobná kartu, ktorú k telefónu priložíme a appka nám ukáže nasledovné informácie o platobnej karte vo formáte EMV (Europay, Mastercard, Visa – medzinárodný štandard pre operácie čipovými kartami a platobnými terminálmi a bankomatmi):
Detaily karty:
- Číslo karty
- Dátum vypršania platnosti karty
- Druh karty – napríklad Master card, Visa card
- Typ aplikácie – napríklad Debetná Mastercard
- Počet možných pokusov na zadanie nesprávneho PINu
Detail karty
Posledných n transakcií kartou:
- Suma
- Dátum uskutočnenia transakcie
Posledných n transakcií kartou
Treba poznamenať, že každý vydavateľ karty má možnosť o niektorých údajoch rozhodnúť, či a ako sa budú na karte uchovávať. Typicky sa to týka posledných transakcií kartou (platby, výbery hotovosti). Vydavateľ sa napríklad môže rozhodnúť, že údaje o transakciách ukladať na kartu nebude. Ako tieto údaje vydavateľ karty využije, je len na ňom. Jeden z príkladov použitia kartových transakcií je riešenie pri reklamácii, ak nastal nejaký problém pri platbe alebo výbere hotovosti.
Bezpečnosť bezkontaktných kariet oproti kontaktným kartám
Pozrime sa najprv na to, ako používame bezkontaktné karty:
- Platba na platobnom termináli vyžaduje priloženie fyzickej plastovej bezkontaktnej karty a zadanie PINu. Do 500 českých korún, resp. do 20 EUR je platba možná bez PINu.
- Výber hotovosti z bankomatu vyžaduje vloženie fyzickej plastovej bezkontaktnej karty a zadanie PINu.
- Platba na internete vyžaduje číslo karty, dátum vypršania platnosti karty a CVV kód.
Porovnáme bezpečnosť kontaktnej a bezkontaktnej karty v dvoch vybraných situáciách.
V prvej situácii, pri ktorej sa útočník fyzicky zmocní bezkontaktnej karty, získa útočník výhodu oproti kontaktnej čipovej karte v tom, že platby do 500 korún resp. 20 EUR môže vykonávať bez PINu. Útočník tak vykonáva podlimitné platby, pokým nebude prinútený zadať PIN. Väčšina bánk má určený limit na počet transakcií kartou bez PINu, potom pri ďalšom použití je už PIN povinný, hoci pôjde o podlimitnú transakciu. Držiteľovi bezkontaktnej karty tak nezostáva nič iné, len kartu dať zablokovať. Inak je bezpečnosť rovnaká u oboch typov kariet pre všetky tri použitia. Bez znalosti PINu útočník nezaplatí, ani nevyberie peniaze z bankomatu. Pri platbe na internete má všetky potrebné údaje, pretože sú vytlačené priamo na karte či už kontaktnej alebo bezkontaktnej.
V druhom prípade sa útočník fyzicky bezkontaktnej karty nezmocní, ale podarí sa mu ku karte priblížiť na veľmi krátku vzdialenosť (pár milimetrov až na dotyk) s NFC čítačkou – napríklad NFC mobilom. V tomto prípade získa číslo karty a dátum vypršania platnosti karty. Našťastie stále nemá CVV kód, takže platbu na internete neuskutoční. Peniaze z bankomatu nevyberie, ani nezaplatí na platobnom termináli, lebo nepozná PIN.
Ďalej sa útočník dostane k dodatočným informáciám, ako napríklad posledných pár transakcií kartou. Otázne však je, ako útočníkovi pomôže informácia, že majiteľ karty v konkrétnych časoch platil konkrétne sumy peňazí.
Na záver: kto je zvyknutý používať kontaktné platobné karty, nemusí sa báť používať bezkontaktné karty. Pri odcudzení karty je riziko straty peňazí do 500 korún resp. 20 EUR pri transakcii bez PINu, čo je relatívne malá suma. Ak sa niekto obáva o kopírovanie údajov z karty cez NFC rozhranie, môže využiť obal na kartu, ktorý funguje na princípe Faradayovej klietky a neprepustí elektromagnetický signál. Ak by údaje z karty aj tak niekto nascanoval, stále mu budú chýbať potrebné údaje ako PIN a/alebo CVV kód na využitie karty.