Zadání PINu při platbě kartou lze obejít – a nebude se vám líbit jak

Blokace platební karty

Už jsme si zvykli, že v případě vlastnictví bezkontaktní karty je třeba i přes jednoduchost celého procesu každou větší platbu ověřit zadáním PINu. A leckdy se nás bankovní terminál zeptá i v případě, že hrazená částka nepřekročí 500 Kč. Jde o prevenci a potvrzení toho, že vy jste opravdu vy.

Většina z nás považuje tento způsob zabezpečení transakcí za dostatečný. Ovšem nemusí být tak spolehlivý, jak se na první pohled zdá. Pokud si vás vyhlédne dostatečně technicky zdatný útočník, může vaší kartou bez autorizace PINem zaplatit libovolně velký nákup.

Bezpečnostní chybu mají třeba karty VISA

Na celý problém přišel tým akademiků ze Švýcarska. Stačí k tomu jen bezkontaktní karta a speciální aplikace v mobilu. Na první pohled je vše zcela nenápadné. Vypadá to, jakoby útočníci měli jen trochu menší potíže při platbě mobilem.

A jak to celé funguje? Aplikace v telefonu vlastně supluje funkci emulátoru platebních karet. Druhý telefon (ano, opravdu jsou potřeba dva a navíc vybaveny Androidem) pak zastává funkci emulátoru POS (Point-Of-Sale). Upravený emulátor tak sice zažádá o provedení platby, obratem však pošle na druhý telefon upravená data. Jednoduše mu řekne, že autorizace PINem není potřeba. A právě tímto telefonem podvodník celou transakci zaplatí stejným způsobem, jako by v ruce držel vaši platební kartu.

01_koruna

Zdroj obrázku: Pixabay.com

Nejčastěji se v této souvislosti mluví o kartách VISA. Chybu je nutné hledat ve standardu EMV a samozřejmě také v bezkontaktním protokolu. Jinými slovy, pokud útočníci pozmění jen detaily, vaše karta to nepozná. Ovšem nejde jen o VISU, ohroženy jsou všechny platební karty, používající tentýž protokol. Mluví se například také o kartách společnost MasterCard apod.

Co si počít, když chceme hrozbě zabránit?

A řešení? Musíme jen doufat, že bude chyba brzy opravena. Prozatím se totiž ověření každé transakce omezuje na jednoduché schéma, němž transakce nemusí být ověřována PIN kódem, protože držitel platební karty byl již předem ověřený prostřednictvím svého chytrého mobilního telefonu. A to je zkrátka a dobře trochu málo.

Trochu radikálnějším postupem je pak „zneškodnění“ NFC. Karty bez této funkce již nejsou dostupné a nepochodíte zpravidla ani s požadavkem na nutnosti autorizace každé platby. Zbývá tedy neoficiální cesta, jíž je jednoduše provrtání čipu na platební kartě. Upozorňujeme, že jde o postup nelegální, nicméně funkčnost karty (až na bezkontaktní platby) to nijak neomezí. A kontaktní terminály jsou zatím k dispozici všude. Řadě uživatelů to za ten pocit bezpečí zkrátka stojí. A jak jste na tom vy?

Zdroj náhledového obrázku: Pixabay.com

Mít peníze je hezké. Orientovat se v této oblasti ještě důležitější. Pokusím se vám svými články pomoci.