Ako z chytrého telefónu urobiť čítačku bezkontaktných kariet

Andrej Probst, 9. júl 2015, Bankovníctvo, čítalo 8174 ľudí

Takmer všetky najnovšie modely chytrých telefónov obsahujú v sebe aj komunikáciu cez NFC (Near field communication – Elektronická komunikácia na veľmi krátku vzdialenosť). Bezkontaktné platobné karty využívajú tiež túto technológiu na komunikáciu s bezkontaktnými platobnými terminálmi, ktoré cez NFC dokážu načítať potrebné údaje z karty, aby mohli vykonať a potvrdiť platbu. A nie len termináli to dokážu, ale aj chytré telefóny s NFC rozhraním.

Ukážeme si, aké všetky údaje sa dajú získať z debetnej alebo kreditnej karty, pokiaľ ste šťastným majiteľom chytrého telefónu s NFC.

Použijeme chytrý telefón s operačným systémom Android. Nainštalujeme doň appku Banking card reader NFC (EMV) z Google store. Obdobných appiek nájdete určite viac. V telefóne povolíme používanie NFC a spustíme appku. Už nám chýba len platobná kartu, ktorú k telefónu priložíme a appka nám ukáže nasledovné informácie o platobnej karte vo formáte EMV (Europay, Mastercard, Visa – medzinárodný štandard pre operácie čipovými kartami a platobnými terminálmi a bankomatmi):

Detaily karty:

  • Číslo karty
  • Dátum vypršania platnosti karty
  • Druh karty – napríklad Master card, Visa card
  • Typ aplikácie – napríklad Debetná Mastercard
  • Počet možných pokusov na zadanie nesprávneho PINu
Detail karty
Detail karty

Posledných n transakcií kartou:

  • Suma
  • Dátum uskutočnenia transakcie
Posledných n transakcií kartou
Posledných n transakcií kartou

Treba poznamenať, že každý vydavateľ karty má možnosť o niektorých údajoch rozhodnúť, či a ako sa budú na karte uchovávať. Typicky sa to týka posledných transakcií kartou (platby, výbery hotovosti). Vydavateľ sa napríklad môže rozhodnúť, že údaje o transakciách ukladať na kartu nebude. Ako tieto údaje vydavateľ karty využije, je len na ňom. Jeden z príkladov použitia kartových transakcií je riešenie pri reklamácii, ak nastal nejaký problém pri platbe alebo výbere hotovosti.

Bezpečnosť bezkontaktných kariet oproti kontaktným kartám

Pozrime sa najprv na to, ako používame bezkontaktné karty:

  • Platba na platobnom termináli vyžaduje priloženie fyzickej plastovej bezkontaktnej karty a zadanie PINu. Do 500 českých korún, resp. do 20 EUR je platba možná bez PINu.
  • Výber hotovosti z bankomatu vyžaduje vloženie fyzickej plastovej bezkontaktnej karty a zadanie PINu.
  • Platba na internete vyžaduje číslo karty, dátum vypršania platnosti karty a CVV kód.

Porovnáme bezpečnosť kontaktnej a bezkontaktnej karty v dvoch vybraných situáciách.

V prvej situácii, pri ktorej sa útočník fyzicky zmocní bezkontaktnej karty, získa útočník výhodu oproti kontaktnej čipovej karte v tom, že platby do 500 korún resp. 20 EUR môže vykonávať bez PINu. Útočník tak vykonáva podlimitné platby, pokým nebude prinútený zadať PIN. Väčšina bánk má určený limit na počet transakcií kartou bez PINu, potom pri ďalšom použití je už PIN povinný, hoci pôjde o podlimitnú transakciu. Držiteľovi bezkontaktnej karty tak nezostáva nič iné, len kartu dať zablokovať. Inak je bezpečnosť rovnaká u oboch typov kariet pre všetky tri použitia. Bez znalosti PINu útočník nezaplatí, ani nevyberie peniaze z bankomatu. Pri platbe na internete má všetky potrebné údaje, pretože sú vytlačené priamo na karte či už kontaktnej alebo bezkontaktnej.

V druhom prípade sa útočník fyzicky bezkontaktnej karty nezmocní, ale podarí sa mu ku karte priblížiť na veľmi krátku vzdialenosť (pár milimetrov až na dotyk) s NFC čítačkou – napríklad NFC mobilom. V tomto prípade získa číslo karty a dátum vypršania platnosti karty. Našťastie stále nemá CVV kód, takže platbu na internete neuskutoční. Peniaze z bankomatu nevyberie, ani nezaplatí na platobnom termináli, lebo nepozná PIN.

Ďalej sa útočník dostane k dodatočným informáciám, ako napríklad posledných pár transakcií kartou. Otázne však je, ako útočníkovi pomôže informácia, že majiteľ karty v konkrétnych časoch platil konkrétne sumy peňazí.

Na záver: kto je zvyknutý používať kontaktné platobné karty, nemusí sa báť používať bezkontaktné karty. Pri odcudzení karty je riziko straty peňazí do 500 korún resp. 20 EUR pri transakcii bez PINu, čo je relatívne malá suma. Ak sa niekto obáva o kopírovanie údajov z karty cez NFC rozhranie, môže využiť obal na kartu, ktorý funguje na princípe Faradayovej klietky a neprepustí elektromagnetický signál. Ak by údaje z karty aj tak niekto nascanoval, stále mu budú chýbať potrebné údaje ako PIN a/alebo CVV kód na využitie karty.

Aké údaje necháva vaša banka na vašich platobných kartách?

Čo Ty na to?





Čo na to ostatní?

Pepa, 14. júl 2015 08:07:17

Vidím určitě jednu možnost jak zneužít bezkontaktní kartu oproti kontaktní. Někteří obchodníci nedisponují bezkontaktní čtečkou a tak svou kartu dáváte ze své ruky do ruky obchodníka a ten ji zasouvá do terminálu a vám předá nějakou krabičku na kterou vyťukáte pin. Pokud Vaší bezkontaktní kartu na chvíli přiblíží k nějaké čtečce, má číslo karty, má její platnost a zapamatovat si třímístné číslo již zvládne skoro každý. Podobně se dá zneužít a již je znám případ tohoto zneužití, i kontaktní karta, ale zapamatovat si šestnáctimístné číslo, datum platnosti a třímístné číslo, to už zvládne málokdo.

Obejít se bez čtečky a zneužít oba typy karet se dá pomocí malé skryté videokamery vhodně umístěné a ve vhodnou dobu přetočením karty aby byla zabraná z obou stran nebo dvě minikamery, u embasované stačí jen jedna strana. To jsou jen některé způsoby co mě teď v rychlosti napadly a určitě jich je více. Například umístit čtečku do bezkontaktní krabičky plus minikamera, upravit si krabičku plus minikamera a další...

Musíme se jen zeptat, zda se útočníkovi vyplatí obejít bezpečnostní opatření, zda bude ziskový a to v mnou popsaných případech určitě bude...

Pavol, 9. júl 2015 09:23:01

a ozaj, mna tak v minulosti okradli. pri embosovanej karte sa pin nemusi zadavat. rovnako napr v slovinsku ci rakusku pin neriesili ani pri electron kartach. len zosnimali a peniaze odrazali bez zadania pin. plus na kazdej uctenke boli vsetky udaje okrem cvv.

Andrej Probst, 9. júl 2015 14:45:33

V rôznych krajinách sú rôzne právne zvyklosti. PIN nemusí byť povinný údaj, v tomto prípade však riziko preberá na seba akceptátor karty. Ak by sa držiteľ karty sťažoval, že kartovú transakciu neautorizoval on, musí akceptátor dokázať, že to bol naozaj držiteľ karty.

Príklad z leta, kto cestujete do Chorvátska, na diaľnici je dobré platiť kartou, je tam kratší rad. Pri platení kartou nezadávate žiaden PIN. Poplatok za diaľnicu je vám ztrhnutý. Chorvátske diaľnice v prípade sporu musia dokázať, že na danej mýtnice ste naozaj platili vy. Ak to nedokážu, musia vrátiť peniaze.

Pavol, 9. júl 2015 09:21:47

ked chcu ta okradnu. cvv zistia lahko ak si ta vytypuju. inak zaujimavy clanok. ja to riesim tak ze si sam nastavim platby na internete na nulu alebo malinku dennu hodnotu. to iste bankomat a pos. ak idem platit viac tak si mobilom docadne tuto hranicu zvysim. na tuto operaciu potrebujem dodatocnu verifikaciu ktoru trochu tazsie ukradnu. co sa tyka sumy ake si platil. moze im to pomoct v tom kolko ti ukradnut alebo ako si solventny ci sa oplati ta sledovat ??

Andrej Probst, 9. júl 2015 14:54:31

To je dobrý postreh. Áno, pre niektorých zlodejov môže byť zaujímavá informácia o výške transakcií na karte a z toho odôvodniť, na koľko je daná osoba = obeť solventná a zaujímavá na ďalšie okradnutie.