Karty zbliżeniowe stały się standardem promowanym przez banki, które nie tylko wymieniają je na nowe, gdy upływa okres ważności naszych starych kart, ale proponują je swoim klientom w każdej chwili bez specjalnego powodu. Powód jednak jest. Zamiana transakcji gotówkowych na elektroniczne oznacza dla banków obniżenie kosztów zabezpieczania i logistyki pieniędzy papierowych oraz zyski z opłat za korzystanie z transakcji elektronicznych. Jednak gdy nasz dostęp do pieniędzy staje się łatwiejszy, ich kradzież staje się również prostsza.

Jak dochodzi do kradzieży?

Do kradzieży dochodzi najczęściej w autobusie. Złodziejom wystarczą dwa nowoczesne telefony z systemem NFC oraz specjalne oprogramowanie, niestety dostępne w sieci. Nie ma potrzeby zakupu drogiego terminala, czy też fizycznej kradzieży karty. Złodzieje nie będą grzebać nam w torebce, ani w portfelu. Wystarczy, że stoją obok nas przez dłuższą chwilę. Jak wynika z badań i testów przeprowadzonych przez naukowców z Uniwersytetu Cambridge, sygnał przechwycony może być z odległości jednego metra. Jak dochodzi do przechwycenia danych karty? Jedna z dwóch osób kradnących robi zakupy i płaci za nie zbliżeniowo. Sygnał do terminala płatniczego w kasie wysyłany jest jednak nie z karty, a z telefonu, który otrzymuję kopie sygnału karty w autobusie. Cyfrowy obraz sygnału stanowi dokładną kopię, a więc kasjer nie zauważy żadnych anomalii. Cały proces trwa zaledwie kilka chwil i nie pozostawia po sobie fizycznych śladów użytkowania karty, tzn. nikt jej nie wyciąga z naszego portfela. Jeżeli nie sprawdzimy stanu konta i nie zorientujemy się, że zapłaciliśmy za czyjeś zakupy, o sprawie nikt się nie dowie.

Brak autoryzacji transakcji zbliżeniowych jest dużym udogodnieniem zarówno dla kupujących, jak i dla sprzedawców, ponieważ efektywnie skraca i upraszcza proces płatności bezgotówkowych. Nie jest jednak bez wad. Pozwala na korzystanie z karty bez znajomości PINu, a przy procederze kopiowania sygnału, również bez fizycznej kradzieży karty.

Pocieszenie może stanowić fakt, że  w Polsce realizowane są wyłącznie do kwoty 50 złotych, czyli potencjalne straty z tytułu kradzieży będą niewielkie. Z drugiej jednak strony liczba tych transakcji, teoretycznie ograniczona do 5 dziennie, może spowodować wyczyszczenie naszego konta. W jaki sposób? Znany jest przypadek 78 transakcji wykonanych kartą zbliżeniową jednego dnia, ponieważ tego typu płatności wykonywane są w trybie off-line i nie są rejestrowane w czasie rzeczywistym.

Banki otrzymują coraz więcej reklamacji związanych z nieprawnym użyciem kart zbliżeniowych przez osoby postronne. Z racji tego, że autoryzacja transakcji przy użyciu takiej karty odbywa się poprzez jej posiadanie w portfelu, kieszeni, nie pozostają inne ślady jej użycia, takie jak podpis, czy PIN. Ubezpieczenia kart często pokrywają straty w wyniku takich transakcji od kwoty 200 PLN, a więc jeśli straciliśmy 50, 100, lub 150 złotych, ubezpieczenie nas nie dotyczy. Warto zwrócić na to uwagę przy podpisywaniu umowy w banku.

Czy można bezpiecznie korzystać z kart zbliżeniowych?

Okazuje się, że najlepiej zabezpieczeni przed przechwytywaniem danych z kart płatniczych są posiadacze telefonów z możliwością płatności zbliżeniowej takich jak T-Mobile My Wallet, czy Orange Cash. Najpierw wprowadzają dane karty lub kart do telefonu, a następnie korzystają z sygnału wysyłanego z komórki podczas płatności. Uruchomienie takiej płatności wymaga autoryzacji PIN w telefonie, a więc właściciele kart są świadomi każdej transakcji. Mogą również przy pomocy kilku kliknięć wyłączyć przekazywanie danych NFC. Posiadacze kart zbliżeniowych takiej możliwości nie mają.

Testowanie nowych technologii

Nowe technologie stawiają przed projektantami, deweloperami i informatykami nowe wyzwania komunikacyjne. Nie chodzi tylko o warstwę oprogramowania i sprzęt, ale także o „user experience”, czyli wrażenia użytkownika, a także jego poziom wiedzy i umiejętności do posługiwania się tą technologią. Jeżeli wrażenia są złe, a technologia trudna lub niebezpieczna w codziennym użytkowaniu, to może się nie przyjąć. Takimi prawami rządzą się finansowe aplikacje mobilne. W przypadku „płatności przez telefon” zagrożenia dla danych użytkownika  mogą powstawać dopiero w momencie fizycznego kontaktu atakującego z urządzeniem, na przykład kradzieży telefonu.  – Warto w procesie projektowym kłaść nacisk nie tylko na identyfikację kluczowych funkcjonalności, ale i głównych zagrożeń dla bezpieczeństwa danych – mówi Mateusz Biliński, mobility manager w Lizard Mobile. – Wspomaganie się tutaj ekspertyzą osób spoza projektu, które zadają właściwe pytania, skutecznie zwiększa szanse aplikacji na zaistnienie w świecie mobilnym – dodaje Mateusz Biliński.

Warto inwestować w najnowsze technologie oraz uczyć się jak korzystać z tych, które już na co dzień nosimy w portfelu.

Jak zabezpieczyć się przed nieautoryzowanym użyciem naszej karty radzi ekspert zabezpieczeń mobilnych i internetowych Piotr Konieczny z portalu Niebezpiecznik.pl:

• Kartę zbliżeniową wystarczy owinąć folią aluminiową – to sprawi, że wbudowana w nią antena nie będzie w stanie wzbudzić chipa NFC. O ile folia aluminiowa jest dość nieporęczna, to na rynku znajduje się całkiem sporo metalizowanych etui, które spełniają tę samą rolę – zamykają kartę w klatce Faradaya.

• Nie polecam nacinać karty celem przecięcia zwojów zatopionej w plastiku anteny – raz, że taka karta może zostać zatrzymana w sklepie jako “nieważna”, dwa że przecięcie zwojów anteny nie wyłącza funkcji NFC (nacięta antena de facto dalej istnieje, jest tylko mniej wydajna)

• Jeśli bank nie chce wymienić nam karty zbliżeniowej na wersję bez chipa NFC – to rozważmy zakodowanie karty w pamięci telefonu – płacenie telefonem z funkcją NFC ma dość znaczą przewagę nad kartami zbliżeniowymi — chip NFC nie jest aktywny do momentu, dopóki użytkownik świadomie nie aktywuje tej funkcji. Nie ma mowy o tym, że ktoś zczyta nam kartę z telefonu w autobusie – tak, jak może to zrobić ze standardową zbliżeniówką.

Badania Uniwersytetu Cambridge na temat odległości przechwytywania sygnału NFC kart zbliżeniowych: “An RFID Distance Bounding Protocol” Gerharda P. Hancke and Markusa G. Kuhn – http://www.rfidblog.org.uk/Hancke-Securecomm2005-pres.pdf

 PR

LA

Nasze telefony przegoniły ich telefony

Technologia płatności telefonem komórkowym jest nowatorska w skali Europy. Polska jest jednym z pierwszych krajów na Starym Kontynencie, w którym uruchamiane są takie płatności mobilne. Dla polskich spółek to powód do dumy, klientom pozwala to jednak stawiać pytania czy tak nowatorskie rozwiązanie gwarantuje bezpieczeństwo ich pieniędzy?

Płatność zbliżeniowa telefonem komórkowym wyposażonym w moduł NFC (Near Field Communication) to duża wygoda, ale równocześnie ryzyko nieautoryzowanych transakcji np. w wyniku kradzieży czy zgubienia telefonu. Nieuczciwy znalazca nie będzie potrzebował pin-u do wykonania transakcji poniżej kwoty 50 zł. Być może wkrótce w ramach budowania przewagi konkurencyjnej banki pójdą o krok dalej i zdecydują się na zwiększenie tego limitu, co sprawi, że obawy o bezpieczeństwo naszego elektronicznego portfela wzrosną. Trzeba bowiem pamiętać, iż zgodnie z ustawą z dnia 12 września 2002 r. o elektronicznych instrumentach płatniczych, za transakcje dokonane przed zastrzeżeniem środka płatniczego, do kwoty stanowiącej równowartość 150 euro odpowiada konsument, powyżej tej kwoty odpowiada wystawca karty. Zgodnie z raportem Konsumenci na rynku usług bankowych przeprowadzonym na zlecenie Urzędu Ochrony Konkurencji i Konsumentów tylko 1/5 ankietowanych jest świadoma tego faktu.

Polisa do teleportfela

W ślad za rozwojem telepłatności idą firmy ubezpieczeniowe przygotowując polisy, które chronią tego typu transakcje czyniąc takie rozwiązanie bezpiecznym i kompletnym.

Pierwszy jest Mondial Assistance. Ubezpieczenie dotyczy wszelkich nieuprawnionych transakcji zbliżeniowych (także PayPass/PayWave), wykonanych po kradzieży lub rabunku telefonu, w kwocie do równowartości 150 euro niezależnie od liczby transakcji, a zatem do kwoty, za którą do tej pory odpowiadał indywidualnie klient. Warunkiem jest zgłoszenie kradzieży na policję i zablokowanie u operatora utraconego aparatu. Ubezpieczenie mobilnych płatności zbliżeniowych w naturalny sposób łączy się z ubezpieczeniem telefonu komórkowego tworząc razem pakiet ubezpieczeniowy w pełni odpowiadający potrzebom współczesnego użytkownika zaawansowanego telefonu komórkowego.

W ramach ubezpieczenia telefonu – poza kradzieżą i rabunkiem aparatu – można otrzymać również ubezpieczenie od przypadkowego uszkodzenia oraz nieuprawnionego użycia. W przypadku tego ostatniego użytkownik otrzymuje zwrot kosztów połączeń wykonanych z jego telefonu przez osobę nieuprawnioną, po kradzieży lub rabunku telefonu.

– Produkt powstał w odpowiedzi na rosnącą popularność płatności zbliżeniowych oraz przejmowania przez telefony komórkowe roli elektronicznego portfela. Tego skórzanego, wychodząc z domu nie będziemy być może już potrzebowali, szczególnie mając gwarancję bezpieczeństwa naszych wirtualnych, choć ciężko zarobionych pieniędzy – mówi Agnieszka Walczak, Członek Zarządu Mondial Assistance.

W Polsce liczbę punktów akceptujących płatności zbliżeniowe (NFC) szacuje się na około 50 tysięcy, a więc 20% całej sieci. Liczba smartfon’ów wystarczająco zaawansowanych technologicznie aby wykorzystywać je do płatności to 6-7 mln. Eksperci oceniają, że ten rynek znajduje się w fazie dynamicznego wzrostu. Wartość wszystkich transakcji mobilnych w Europie Środkowo–Wschodniej w 2010 roku wyniosła 290 mln euro, a do końca 2017 roku ta kwota ma zwiększyć sie do 22,7 mld euro (wg raportu firmy analitycznej Frost & Sullivan).

PR