Finparáda Vám pomůže vybrat ten nejvhodnější finanční produkt
Bankovní účtySpořenípenzePůjčkyPojištěníInvesticeSpočtěte sibanky ...

Jsou bezkontaktní karty bezpečné?

6.8.2013  |  Miroslav Čermák
  


Jsou bezkontaktní karty bezpečné?Přinášíme Vám ve spolupráci se serverem cleverandsmart.cz úvahu k bezpečnosti bezkontaktních karet. Sice lze z bezkontaktních karet získat citlivé údaje a těchto údajů pak zneužít například k platbám přes internet, ale postup zločince není nijak jednoduchý, jak popisuje následující text.


Náklady na smartzločin nejsou vysoké



Útočník vybavený smartphonem s nainstalovanou aplikací pro komunikaci s bezkontaktní platební kartou s NFC čipem je schopen z ní bez vědomí jejího držitele získat citlivé údaje, které jsou na ní uvedeny.

S vybavením za pár tisíc korun je pak údajně možné přečíst informace z bezkontaktní karty i na vzdálenost větší než jen proklamovaných pár centimetrů, a se silnější anténou je možné s kartou komunikovat dokonce i na vzdálenost několika metrů. V takovém případě by se útočník mohl pohybovat v davu a poměrně snadno sbírat informace z karet, které se nacházejí v jeho nejbližším okolí.

Karta s pasivním NFC čipem komunikuje s každým terminálem



Takový útok je velice snadno realizovatelný, protože bezkontaktní karta, která je vybavena pasivním NFC čipem, přijme v podstatě požadavek od kohokoliv a ve své odpovědi odešle mimo jiné i jméno a příjmení držitele, číslo karty, datum platnosti a jednorázový/dynamický CVV kód. To není chyba, ale požadovaná vlastnost, protože vzhledem k tomu, že neexistuje žádný centrální registr terminálů, je nutné, aby karta komunikovala s každým terminálem.

Vydavatelé karet sponzorují standardy, které pak nedodržují



Samozřejmě, že by se dalo navrhnout mnohem bezpečnější řešení a je s podivem, že byť jsou požadavky na autentizaci a šifrování vyžadovány standardem PCI DSS, který je sponzorován karetními asociacemi, tak jimi vydávané karty tento standard vůbec nedodržují.

Případy zneužití bezkontaktní karty zatím nejsou známy



Přestože je tento útok možný a je možné ho poměrně snadno realizovat, nejsou k dispozici žádné informace o tom, že by k němu již někde ve světě docházelo. Nejspíš proto, že pro provedení bezkontaktní platby je nutný dynamický CVV kód, který je platný jen pro jednu platbu.

Jak by mohl útočník postupovat?



Útočník by musel na nějakém frekventovaném místě, sbírat karetní data včetně jednorázových CVV kódů pokojně se pohybujících spoluobčanů a pak je někde jinde zase použít nebo je on-line přeposílat svému komplici. Což by měl, protože pokud oprávněný držitel kartu mezitím použije k bezkontaktní platbě, tak jsou útočníkovi takto získané jednorázové CVV kódy k ničemu, neboť už nebudou platné (musí být vždy použity ve správném pořadí, tak jak byly generovány).

Nutná fyzická přítomnost útočníka zvyšuje riziko jeho odhalení



Lze předpokládat, že útočník by se z výše uvedeného důvodu nejspíš pokusil sbírat citlivé karetní údaje včetně dynamických CVV kódů od většího množství držitelů karet a pak je někde poměrně rychle použít. To by možná nebyl až takový problém, ovšem nutná fyzická přítomnost při sbírání těchto údajů a především pak při placení zvyšuje riziko odhalení, které útočník, vzhledem k tomu co může získat, nejspíš nebude podstupovat.

Získané údaje by útočník použil k drahým nákupům přes internet



Pokud už by se útočník přesto rozhodl sbírat tyto citlivé karetní údaje tímto způsobem, rozhodně by je nepoužil k provedení nějaké mizerné bezkontaktní platby za pár korun, ale co je mnohem pravděpodobnější, k opakovanému nákupu zboží nebo služeb přes internet za tisíce nebo desítky tisíc.

Některé e-shopy nevyžadují třímístný kód, což nahrává útočníkům



Jde o to, že v okamžiku, kdy útočník získá číslo karty, jméno a příjmení držitele a datum platnosti, tak se znalostí těchto údajů již může platit v e-shopech, které nevyžadují zadání 3místného čísla uvedeného v podpisovém proužku tzv. CVV nebo CVC kód. A tam kde je tento kód vyžadován, tak ho může útočník hrubou silou prolomit, neboť se jedná jen o 1 000 možností.

Aktivace 3D secure bezpečné platby je falešnou útěchou



Banky argumentují tím, že si u své karty můžete pro platby na internetu aktivovat tzv. 3D secure bezpečnou platbu kartou, což je mezinárodní standard, kdy pro úspěšné dokončení transakce musíte ještě zadat heslo nebo opsat kód, který vám přijde v SMS na váš mobilní telefon. Problém je v tom, že útočník v takovém případě realizuje transakci u takového obchodníka, který 3D Secure nepodporuje, a že jich je. 3D secure tak vzbuzuje jen falešný pocit bezpečí, a požadovanou ochranu nepřináší.

Článek v originálním znění naleznete zde.


    


Související články:
Lidé si mezi sebou mohou poslat přes mobil až 10 tisíc korun. Nemusí znát číslo účtu v bance - stačí sms nebo Facebook

Otevíráte a startujete auto bez klíče? Ukradnou Vám ho za pár vteřin

Přichází nová generace bankovního malwaru

Jaké finty používají současní vykradači kont?

Je smartbanking bezpečnější než internetbanking?

Žebříček s nejlepšími hypotékami a spotřebitelskými úvěry podle odborníků - zde
Přehled celé nabídky úvěrů - zde

reklama

Equa běžný účet - 0 Kč za výběr ze všech bankomatů v ČRvíce
Hypotéka ČS - vysněné bydlení s hypotékou, kterou řídíte vyvíce
Běžný účet - vedení účtu a nejběžnější transakce zdarmavíce
Převeďte si k nám hypotéku. Možnost částečného splacení kdykoliv.více
RePůjčka pro konsolidaci sníží vaše splátky třeba o 50 %více




všechny články
Dále v rubrice

Lidé si mezi sebou mohou poslat přes mobil až 10 tisíc korun. Nemusí znát číslo účtu v bance - stačí sms nebo Facebook

Převod peněz přes mobilní telefon Česká spořitelna vylepšila aplikaci Friends 24, přes kterou mohou majitelé chytrých telefonů, kteří mají účet u České spořitelny, posílat částky svým známým (klientům i neklientům banky) rychle...

Starší byt nebo novostavbu? Po hlubší analýze získává navrch druhá varianta

Novostavba V otázce, zda být v nájmu nebo si pořídit vlastní bydlení, mají Češi jasno. Vlastní nemovitost k bydlení preferuje podle výzkumu Asociace stavebních spořitelen 78 % lidí. V odpovědi na dotaz, zda si pořídit...

Co ukázal první týden po zrušení roamingu v EU? Na co si dát pozor, jak to vše funguje?

Mobil Před týdnem, 15. června 2017, jsme přestali platit v zemích Evropské unie při telefonních hovorech sazby za roaming. Cena za hovor a další služby poskytnuté v cizí zemi EU se totiž musí rovnat ceně...

O hypotéky je stále obrovský zájem. Jedním z největších poskytovatelů je Česká spořitelna. Sazby u ní začínají na 1,99 %

Zájem o hypotéky podle analytiků neutuchá. Lidé se snaží hypotéku získat, protože se obávají, že v budoucnu budou úvěry na bydlení ještě méně dostupné, než je tomu dnes. Vypočtěte si, kolik byste spláceli u České spořitelny, která sazby nedávno snížila až na 1,99 % ročně...

všechny články v rubrice










   
 
Běžný účet Air Bank
Jediný běžný účet s úrokem 1,0 %
Air Bank


Půjčka Air Bank
Výhodná půjčka vás odmění za včasné splácení
Air Bank


Equa bank
Užijte si pohodlí běžného účtu se zlatou kartou
Equa bank


Studentské Konto G2.2
nyní s bonusem 350 Kč za platný ISIC
Komerční banka


Termínovaný vklad CREDITAS
Úroková sazba až 2,5 % ročně
Banka CREDITAS




Bankovní účtySpořeníPenzePůjčkyPojištěníInvesticeSpočtěte siBanky, pojišťovny, ...DomůO FinparáděTiskRedakceNapište nám  


Finparáda - finance na dlani   Všechna práva vyhrazena
Scott & Rose, s.r.o., U Chaloupek 410/5, 182 00 Praha 8, IČ: 26148374, DIČ: CZ26148374, Email: redakce@finparada.cz