Bzdury, mity i kłamstwa na temat płatności zbliżeniowych

dodał 9 lutego 2018 o 07:09 w kategorii Info  z tagami:
Bzdury, mity i kłamstwa na temat płatności zbliżeniowych

Masz w kieszeni kartę z funkcją płatności zbliżeniowych? Chcesz wiedzieć, co naprawdę z taką kartą da się zrobić i czy można z niej ukraść Twoje pieniądze? Przeczytaj artykuł, bo w internet zalewają fale bzdur na ten temat.

Jak każda nowa technologia, od kotła parowego począwszy, także płatności zbliżeniowe obrastają mitami i przesądami, a niestety wielu internautów napędza atmosferę strachu i zagrożenia, nie zastawiając się nad tym, jak to wszystko tak naprawdę działa. Nie będziemy głęboko wnikać w technologię, ale odpowiemy na kilka bardzo ważnych pytań.

Do napisania tego artykułu najbardziej zmotywował nas film pana Janusza Limanowskiego, który ma ponad 300 tysięcy odsłon na Facebooku i 7000 udostępnień. Autor informuje, że przestępcy okradają karty zbliżeniowe z dystansu 10 metrów (antenę mają pod ubraniem), a podczas Wszystkich Świętych na jednym z cmentarzy doszło do kradzieży łącznie na kwotę 230 000 PLN. Boże.

Czy z karty zbliżeniowej można ukraść pieniądze

Tak.

Czy kradzieże z kart zbliżeniowych zdarzają się w rzeczywistości

Nie. Z wyjątkiem kart skradzionych lub zgubionych.

Dlaczego???

To wymaga trochę dłuższej odpowiedzi niż jedno słowo – ale bądźcie z nami.

Przy płatności kartą zbliżeniową nie trzeba jej wyciągać z kieszeni i nie trzeba – najogólniej rzecz ujmując do kwoty 50 PLN – podawać kodu PIN. Czy to znaczy, że mając wzmacniacz sygnału (bo wiemy, że sygnały można wzmacniać mając wzmacniacz) i antenę (bo wiemy, że sygnał idzie dalej jak mamy antenę) oraz przenośny terminal możemy okraść cały autobus (lub cmentarz)? Nie.

Pomińmy fizykę, bo zawsze można użyć większego wzmacniacza (i anteny). Załóżmy, że da się przeprowadzić transakcję zbliżeniową z dystansu 10 metrów. Dlaczego przestępcy nie kradną tak na potęgę w metrze, autobusach i w kolejkach po karpia? Problem leży gdzie indziej – mianowicie w systemie rozliczeniowym i bankowym oraz w opłacalności tego przedsięwzięcia. Aby okraść ludzi, przestępca musi (w tej kolejności):

  • zarejestrować firmę / działalność gospodarczą,
  • przejść proces weryfikacji i podpisać umowę z firmą pośredniczącą w płatnościach,
  • fizycznie znaleźć się w okolicy swoich ofiar (akceptując ryzyko utrwalenia na kamerze),
  • przeprowadzić atak przyjmując płatności,
  • poczekać kilka – kilkanaście dni aż płatności spłyną na jego konto,
  • licząc na to, że żadna z ofiar nie zauważyła ataku i nie zgłosiła reklamacji,
  • i to wszystko dla 50 PLN / ofiara (minus prowizja pośrednika).

Żaden rozsądnie myślący przestępca nie bierze się za ten biznes. Dlaczego? Bo to się zwyczajnie nie opłaca. Niewielkie zyski, duże ryzyko identyfikacji oraz duże ryzyko że zysków nie będzie wcale, bo po fali reklamacji pośrednik może zablokować konto. Im więcej osób okradzionych, tym większa szansa, że ktoś zgłosi reklamację. Można liczyć na to, że 1 czy 2 osoby nie zauważą, ze zniknęło im 50 PLN z karty. Ale wtedy zysk wynosi 50 lub 100 PLN, podczas kiedy same koszty operacji (potrzebne wzmacniacze i anteny) może iść w tysiące.

Pytania i odpowiedzi

Ale Janusz Limanowski mówi, że na cmentarzu ukradli 230 000 PLN, czyli się opłaca 

Policzmy. 230 000 / 50 = 4600 osób okradzionych jednego dnia (a zapewne jednego wieczoru) na cmentarzu. Jaka jest szansa, że w ciągu paru dni kilkaset osób nie zgłosi reklamacji swojemu bankowi, a ten operatorowi płatności i złodziej zobaczy chociaż grosz z tej akcji? Szansa jest podobna jak to, że z 4600 ofiar nikt nie opowiedział o tym zdarzeniu gazetom, kolegom i telewizji (bo tylko Janusz Limanowski o tym do tej pory słyszał).

Ale na konferencjach pokazują że atak się udaje

Tak. Na konferencjach się udaje. Technicznie jest do przeprowadzenia, w wariancie ze wzmacniaczem czy „przedłużaczem” sygnału przesyłanego inną drogą. Ale z powodów opisanych powyżej w świecie istniejącym poza salą konferencyjną jest nieopłacalny.

A co z klonowaniem kart zbliżeniowych?

Nie da się. Można je tylko na żywo „przedłużać” – ktoś z urządzeniem A stoi przy terminalu w sklepie, ktoś z urządzeniem B stoi przy Twojej kieszeni w autobusie, urządzenia A i B się komunikują i terminal w sklepie myśli, że to Twoja karta z nim rozmawia. Udaje się na konferencjach. Nie ma możliwości sklonowania karty zbliżeniowej w trakcie jej odczytywania. Nie da się z karty odczytać danych niezbędnych do jej sklonowania. No, może pod mikroskopem elektronowym w laboratorium. Ale na pewno nie czytnikiem zbliżeniowym.

Ale można przeczytać moje dane!

Tak, najczęściej z karty można odczytać takie dane jak nr karty, datę ważności oraz – czasem – historię transakcji (daty + kwoty ostatnich 10 transakcji) a w niektórych przypadkach podobno imię i nazwisko. To prawda. Trzeba tylko być kilka milimetrów (zwykłym sprzętem) lub centymetrów (lepszym sprzętem) od karty. Z takiej odległości da się te dane także przeczytać oczami lub aparatem fotograficznym. Co więcej, oczami można odczytać imię i nazwisko – a na testowanych kartach kilkunastu polskich banków nie natrafiliśmy na możliwość ich odczytu. Jeśli z tego powodu rezygnujecie z płatności zbliżeniowych lub trzymacie kartę zawiniętą w folię aluminiową, to nie zapomnijcie zakleić napisów umieszczonych na samej karcie.

Przy okazji warto zauważyć, że pan Limanowski, na filmie, na którym omawia zagrożenia dla kart zbliżeniowych, pokazuje swoją kartę do kamery w taki sposób, że widać jej numery.

Ale historia transakcji!

Proszę, tu historia transakcji karty autora artykułu odczytana przed chwilą z karty używanej codziennie. Nie musicie biegać za mną z czytnikiem.

Nie mam pojęcia dlaczego w historii nie było setek niedawnych transakcji, tylko te z obrazka. Historia nie wskazuje na miejsca zakupów – choć można wywnioskować kraj z waluty.

Ale numer i data!

No, w końcu dobre pytanie. Mając numer karty i datę ważności faktycznie można (przy odrobinie sprytu) narobić trochę problemów. Tu jednak wracamy do fizyki. Tak naprawdę jeśli nie chcecie wyglądać jak bohaterzy akcji Pogromców Duchów, to realny dystans, z którego odczytacie dane (zakładając, że po drodze jest tylko powietrze lub inne łatwo przenikalne elementy i macie naprawdę dobry czytnik) to ok. czterech centymetrów (karta nie ma nadajnika, energię do komunikacji dostarcza czytnik za pomocą pola elektromagnetycznego, zatem jeśli chcecie zwiększać dystans to przygotujcie ciężkie akumulatory). Sporo umiejętności kieszonkowca trzeba, by z takiej odległości czytać dane cudzych kart bez zwracania na siebie uwagi posiadacza. Co więcej, jeśli kart w portfelu jest więcej niż jedna, to na pytania czytnika reagują wszystkie, uniemożliwiając poprawny odczyt (choć jak donoszą Czytelnicy da się ten problem rozwiązać). Naprawdę prościej sprawdzić zdjęcia nowych kart na Instagramie. Mniej zachodu.

Co na to banki

Zanim opublikowaliśmy ten artykuł, zapytaliśmy spore grono ludzi z branży, czy słyszeli kiedykolwiek o wykorzystaniu kart zbliżeniowych do jakichkolwiek ataków na użytkowników. Pytaliśmy w bankach, pytaliśmy u regulatorów, pytaliśmy w organach ścigania i wszędzie odpowiedź była taka sama – jedyny realny scenariusz ataku to zgubiona karta, którą ktoś płaci w sklepie (i wpada w ręce policji następnego dnia, bo nagrał się na czterech kamerach po drodze) a bank oddaje wszystkie pieniądze.

Wysłaliśmy także proste pytanie do kilku największych banków o skalę strat związanych z płatnościami zbliżeniowymi. W ciągu 1 dnia zdążył odpowiedzieć tylko PKO Bank Polski, który poinformował między innymi, że

Zapewniamy, że płatności zbliżeniowe są bezpieczne. Karta „sama z siebie” nie wysyła żadnych informacji – aktywuje się tylko na sygnał czytnika zbliżeniowego, uruchamianego przez sprzedawcę w momencie płatności. Czytnik z kolei jest aktywny (czyli czeka na zbliżenie karty) tylko przez pewien czas. Nie ma zatem możliwości dokonania „przypadkowej” płatności zbliżeniowej.

Jeśli mBank, Millennium, Pekao oraz BZ WBK zaszczycą nas swoimi odpowiedziami, to dopiszemy do artykułu.

Aktualizacja 2018-02-09 15:30: dostaliśmy odpowiedzi mBanku i Millennium.

mBank:

Nie identyfikujemy zwiększonego ryzyka związanego z technologią zbliżeniową w stosunku do klasycznej technologii kart stykowych. Jeśli zaś mowa o liczbach – te zachowamy dla siebie.[/quote

Millennium:

Bank nie odnotowuje niebezpiecznych incydentów związanych z nieautoryzowanymi transakcjami zbliżeniowymi, jeżeli karta znajduje się w portfelu klienta. Zwykle reklamacje dotyczące tego typu transakcji związane są z sytuacjami, gdy klient nie pamięta szczegółów dokonania transakcji lub gdy karta fizycznie została skradziona. Po dodatkowych wyjaśnieniach (np. przekazaniu szczegółowych danych dotyczących usługodawcy), klienci nie kwestionują już dalej tych transakcji. 

Podsumowanie

Nie wierzcie we wszystko, co przeczytaliście i usłyszeliście w internecie

Albert Einstein

Wbrew temu, co opowiadają różnej maści „eksperci”, do kradzieży środków z kart zbliżeniowych bez ich zgubienia nie dochodzi. Ryzyko, że z karty stracicie pieniądze, jest praktycznie takie same dla karty zwykłej i zbliżeniowej. Po ulicach nie chodzą ludzie z mobilnymi terminalami by Was okraść. Nie da się Was tez okraść gdy używacie karty zbliżeniowej jako biletu autobusowego (pozdrawiamy Jaworzno, Łódź i Wrocław). Poza tym pamiętajcie, tylko gotówka albo Monero!

A jeśli chcecie nauczyć swoich pracowników (szczególnie tych obsługujących rachunki bankowe) jak wyglądają prawdziwe ataki na klientów banków, to w trakcie naszego szkolenia pokazujemy kilkanaście scenariuszy i omawiamy, jak je rozpoznać i zapobiec ich skutkom.