Bezpieczeństwo technologii PayPass i PayWave

Gdzieś w połowie stycznia, MasterCard wysłał do różnych mediów oświadczenie, w którym zapewnia o bezpieczeństwie technologii PayPass, która nie odbiega od standardów w przypadku zwyczajnych kart płatniczych. Pełną treść komunikatu znajdziecie np. tutaj. Wszelkie wątpliwości jakie mają konsumenci, skupiają się głównie na fakcie, że potwierdzenie transakcji odbywa się bez podania kodu PIN, a kartę wystarczy przyłożyć do specjalnego terminala. Teoretycznie, dopóki karta nie zostanie nam ukradziona, jesteśmy bezpieczni, ale czy aby na pewno?




Okazuje się, że nie do końca, bardzo ciekawy artykuł na ten temat opublikował serwis Niebezpiecznik, który opisuję metodę pozwalającą na dokonanie transakcji kartą bez wiedzy jej właściciela. Sprzęt potrzebny do oszustwa można kupić za około 350 USD, a składa się na niego terminal PayPass i urządzenie do programowania kart magnetycznych. Tym pierwszym Kristin Paget, która zaprezentowała tą metodę, odczytuje bezprzewodowo zawartość karty, jak przy każdej normalnej transakcji, czyli otrzymuje nr karty, datę jej ważności oraz jednorazowy kod CVV (Card Verification Value) pozwalający na autoryzację pojedynczej transakcji. Tak uzyskane dane można zapisać na pasku magnetycznym podrobionej karty i dokonać własnej płatności.

Trzeba jednak napisać, że metoda ta pozwala tylko na pojedynczą transakcję, którą dodatkowo musimy wykonać dosyć szybko, bo jak okradziona osoba wcześniej skorzysta ze swojej karty, to operator wykryje nieprawidłowości w kodzie CVV i zablokuje kartę. Operator może to zrobić, bo pojedynczy kod CVV jest unikalny dla każdej transakcji i jeśli powtórzy się w przypadku tej samej karty dwukrotnie, to z pewnością nie pozostanie to niezauważone. Druga kwestia to fakt, że płatności bezstykowe są zazwyczaj ograniczone kwotowo, więc zagrożenie jest mniejsze niż w przypadku skopiowania zwykłej karty i uzyskania do niej kodu PIN.

We wspomnianym artykule macie też kilka sposobów na to, jak unieszkodliwić nadajnik RFID w kartach PayPass/PayWave, tak aby niemożliwe było dokonanie bezstykowego transferu informacji o karcie. Można także zaopatrzyć się w portfel ze specjalną kieszonką wyłożoną folią aluminiową, albo samemu zrobić sobie z takiej foli pokrowiec. Ostatecznie większość banków pozwala na ustanowienie limitów dla tego typu transakcji, jeśli limit wyniesie 0 PLN, to nikt naszą skopiowaną kartą za nic nie zapłaci.

Osobiście nie podoba mi się ta moda na płatności bezstykowe, ale też nie dajmy się zwariować, wykradzenie informacji na temat karty i ich wykorzystanie może i nie należy do trudnych zadań, ale potencjalne zyski z takiego oszustwa nie są duże i trudno mi sobie wyobrazić, aby złodzieje zaczęli z takich metod masowo korzystać.
Udostępnij

Kamil Pieczonka

  • Image
  • Image
  • Image
  • Image
  • Image
    Komentarze
    Komentarze na Facebooku

6 komentarze:

  1. Mi przeszkadza podział na rodzaje czytników, nic tak nie denerwuje sklep który akceptuje tylko jeden rodzaj kart, lub taki który drugie czyta tylko czasem.

    Właśnie w ograniczeniu kwotowym jednorazowego zakupu widzę największą korzyść. Po prostu na dużą skalę nie warto się w to bawić, lepiej już zdobyć nasze dane i zrobić zakupy via internet. Wygoda zaś jest spora, brak drobnych, brak kodów(większe ryzyko od sczytania karty widzę we wzrokowym pozyskaniu pin'u).

    OdpowiedzUsuń
  2. Przedni pomysł :) Należy kupić sprzęt za 350 USD, by wykonać jedną transakcję na 50zł (o ile oczywiście prawowity posiadacz karty nie zrobi tego wcześniej).

    OdpowiedzUsuń
  3. @Anonimowy - tak tylko weż pod uwagę, że dane z karty możesz odczytać stojąc obok kogos, np. w sklepie, a dwa możesz to zrobic wielokrotnie, wartość sprzętu można odzyskać w 2-3h, a ofiara do kolejnej płatności nie będzie o niczym wiedziala.

    Był już wcześniej filmik, gdzie w ten sposob wykradano podobne dane z kart RFID i to wcale nie jest kosmos, czytnik jest w zasadzie potrzebny aby uzyskać kod CVV, aby karta myślala, że robi normalną transakcję.

    OdpowiedzUsuń
  4. Niestety w tej chwili nic nie jest bezpieczne. O czym sam się właśnie przekonałem ( http://swiadomiej.blogspot.com/2012/02/paypass-jest-niebezpieczne.html ). Jednak nie należy zapominać o bezpieczeństwie jakie daje bank na tego typu transakcje, a także o sprawdzaniu transakcji swoimi kartami, czy to zwykłymi czy też z paypassem. Jeśli ktoś chce nas okraść to mu się to uda, pytanie tylko w jaki sposób :)

    OdpowiedzUsuń
  5. Dokładnie, jak ktoś będzie chciał nas okraść to to zrobi, nie będzie miało znaczenia za bardzo w jaki sposób będziemy się chronić przed tym. Niestety zalety i wady technologi.

    OdpowiedzUsuń
  6. Z ciekawostek odnośnie kart zbliżeniowych http://gadzetomania.pl/2012/02/19/nowy-sposob-na-zlodziei-karty-zblizeniowe-z-wylacznikiem

    OdpowiedzUsuń