- Bezkontaktné karty sa stali štandardom takmer pre všetky debetné a kreditné karty v Británii
- Popularita bezkontaktných kariet však vedie k nepretržitému rozmachu bezkontaktných podvodov
- Niektoré telefóny fungujú zároveň ako čítačky kariet cez aplikáciu nazvanú „NFC čítačka kreditných kariet“ (credit card reader NFC)
- Táto technológia umožňuje načítavať bankové karty cez oblečenie a peňaženku
Harry Wallop pre Daily Mail
Bezkontaktné karty sa stali štandardom takmer pre všetky debetné a väčšinu kreditných kariet v Británii
Bethan Daviesová považuje samú seba za značne uvedomelú spotrebiteľku. Tridsaťsedemročná riaditeľka komunikácie kontroluje každý mesiac zostatok na svojom bankovom účte a kým si šetrí na kúpu nehnuteľnosti, každodenné transakcie na odľahčenie svojho rozpočtu uhrádza v hotovosti (spracovávanie hotovostných platieb v Británii je lacnejšie než platieb prostredníctvom debetných a kreditných kariet – pozn. prekl).
Vďaka nedávnemu incidentu však začala byť ešte ostražitejšia. Počas jedného večera s priateľmi v londýnskej oblasti West End jej zmizla bezkontaktná debetná karta.
„Buď som ju stratila alebo mi ju možno ukradli zo zadného vrecka,“ povedala. „Šli sme von na večeru a potom pokračovali ďalej do baru. Keďže používam bezkontaktnú kartu veľmi často, zvykla som si ju dávať do zadného vrecka – je to tak omnoho jednoduchšie.“ Bethan si uvedomila, že prišla o kartu až nasledujúce ráno. Ihneď zavolala do svojej banky, HSBC.
„Banka mi oznámila, že počas večera neprebehli na karte žiadne transakcie. Vravela som si v duchu – vďakabohu, vyriešila som to skôr než sa mohlo niečo stať.“ Jej karta bola zrušená a poslali jej novú. Neprišlo k žiadnej škode – aj keď Bethan si predsavzala, že si už nikdy nebude dávať kartu do zadného vrecka. Avšak potom sa udialo čosi veľmi čudné. Približne o týždeň neskôr si Bethan počas kontroly svojho bankového účtu cez internet všimla viacero malých nákupov.
„Bola som si ihneď istá, že ja som ich nerobila,“ uviedla. „Niektoré boli len v hodnote 2 či 3 libier a všetky za menej ako 20 libier na miestach ako Tesco či kurací fast food. To som nemohla kupovať ja, pomyslela som si – ani si nepamätám kedy som naposledy bola v kuracom fast foode. A ešte tam bola platba v salóne krásy pre psov. Ja mám psa – ale ten je nádherný kríženec a nie je to typ psa, ktorý by potreboval takúto starostlivosť.“
Všetky spomínané platby uskutočnil niekto iný a súhrnne vyšli na viac než 100 libier. Keďže však boli v hodnote neprevyšujúcej bezkontaktný limit 30 libier, každá z nich prešla bez problémov – i napriek tomu, že karta bola zrušená. Keď sa pani Daviesová obrátila na svoju banku, zistila že sa jedná o „zvláštnosť“ bezkontaktnej technológie. Aj keď je to prekvapujúce, v určitom veľmi malom množstve prípadov zrušená karta ešte nejaký čas funguje a nikto nevie presne prečo.
Popularita bezkontaktných kariet však vedie takisto k rozmachu bezkontaktných podvodov.
Aj keď banky spätne refundujú všetky straty, ku ktorým prišlo po zrušení karty, jej nepríjemná skúsenosť je len jedným alarmujúcim príkladom bezkontaktného podvodu – dnes najrýchlejšie sa rozvíjajúceho druhu podvodu s bankovými kartami v Spojenom kráľovstve.
Táto technológia činí spotrebiteľov zraniteľnými z viacerých hľadísk. Bezkontaktné technológie sa stali štandardom takmer pre všetky debetné karty a väčšinu kreditných kariet v Británii. V priebehu trochu rokov sa počet kariet zdvojnásobil, z 59 miliónov kariet v UK v roku 2015 až na 119 miliónov ku koncu roku 2017.
Keďže ich používanie je nepochybne pohodlné – len priložíte kartu ku čítačke bez nutnosti zadávať PIN kód – obľúbili si ich aj banky aj obchodníci. Obchodníci ich majú radi, pretože jednoduchosť ich používania nabáda spotrebiteľov míňať viac peňazí. Banky ich majú radi, pretože čím viac ľudia používajú bezkontaktné technológie, používajú menej hotovosť a pracovať s bankovkami a mincami je pre banky ťažkopádnejšie a drahšie.
Avšak rozmach bezkontaktných kariet vedie ku kontinuálnemu rozmachu bezkontaktných podvodov. Zverejnené štatistiky z tohto mesiaca ukazujú, že straty – podobného typu aký zažila pani Daviesová – sa vyšplhali minulý rok na 14 miliónov libier, čo predstavuje prudký nárast zo 6,9 miliónov libier v predchádzajúcom roku a 2,8 miliónov libier v roku 2015, uvádza organizácia Financial Fraud Action UK.
Po prvýkrát v histórii tak bezkontaktné podvody zatienili i podvody so šekmi, ktoré si minulý rok vyžiadali súhrnne 9,8 miliónov libier. Organizácia UK Finance, ktorá zastupuje banky a vydavateľov kariet a takisto riadi organizáciu proti finančným podvodom Financial Fraud Action UK uviedla, že takéto štatistiky sa dali očakávať.
Čoraz menej ľudí totižto používa šeky, pričom bezkontaktná technológia sa teší veľkej obľube. Takisto dodala, že bezkontaktné podvody sú – v relatívnom vyjadrení – malým problémom. S tým však nesúhlasia ďalší finanční odborníci. Keďže na bezkontaktné karty sa minulý rok vynaložilo 52 miliárd libier, je tu predpoklad, že oficiálne prepočty strát v dôsledku bezkontaktných podvodov sú výrazne podhodnotené. A keď jedna z najvyššie postavených žien v Londýne vyhlásila, že nepoužíva bezkontaktné karty, možno je načase, aby sme všetci prehodnotili samozrejmosť, s akou používame túto technológiu.
Victoria Clelandová, hlavná pokladníčka Bank of England, ktorej podpis je na každej bankovke, minulý mesiac uviedla: „Počúvam o skúsenostiach mojich priateľov – toto je osobná anekdota a nie oficiálne stanovisko banky – ktorí prišli o svoje peniaze bezkontaktných spôsobom, keď prešli okolo niečoho čo nemali. A to je len do 30 libier. Preto používam aj tak pre menšie transakcie hotovosť a pri tých veľkých sa zase bezkontaktné platby (bez PIN kódu – pozn. prekl) uskutočniť nedajú.“
Môže toto byť naozaj pravda? Dokáže peniaze z vašej bezkontaktnej karty odcudziť „digitálny vreckár“, ktorý stojí za vami s čítačkou na karty?
Niektoré telefóny fungujú zároveň ako čítačky kariet cez aplikáciu nazvanú „NFC čítačka kreditných kariet“ (credit card reader NFC)
Minimálne teoreticky môže – a to dosť jednoducho. Aby sme ukázali ako, treba najprv pochopiť technológiu, na báze ktorej fungujú bezkontaktné karty. Keď kartu prikladáte k čítačke v obchode alebo pri nástupe do autobusu, údaje z vašej karty sa prenášajú na čítačku bezdrôtovo, prostredníctvom rádiovej vlny. Zástupcovia bankového priemyslu tvrdia, že útočník sa musí nachádzať vo vzdialenosti menšej než 5 centimetrov od čítačky, aby dokázal zrealizovať načítanie dát. Avšak výskum toto tvrdenie spochybňuje.
V štúdii publikovanej v odbornom časopise Journal of Engineering v roku 2013 vedci z univerzity v Surrey informovali, že „úspešne prijali bezkontaktný prenos dát zo vzdialeností od 45 do 78 centimetrov…“ Takže ktokoľvek s ručnou čítačkou kariet – ktorú používajú napr. čašníci, keď platíte svoj účet – môže aktivovať platby v sumách do 30 libier a odcudziť peniaze z vašej karty len tým, že stojí v dostatočnej blízkosti pri vás.
Avšak z praktického pohľadu sa takmer všetci experti zhodujú na tom, že takýto druh „digitálneho vreckárstva“ je vysoko nepravdepodobný. To neznamená, že nie je možný – ale šanca prichytiť takéhoto zlodeja je vysoká.
Zariadenie na čítanie kariet. Po prvýkrát v histórii bezkontaktné podvody zatienili i podvody so šekmi, ktoré si minulý rok vyžiadali súhrnne 9,8 miliónov libier.
Katy Worobecová, výkonná riaditeľka UK Finance pre ekonomickú kriminalitu, vysvetľuje, že na to, aby niekto získal „obchodnícky platobný terminál“ – typ čítačky, ktorý používajú obchodníci na stiahnutie peňazí z vašej karty – by sa musel zaregistrovať ako maloobchodník a podstúpiť bezpečnostnú kontrolu.
A každý, kto by použil takéto zariadenie na krádež peňazí, by bol ľahko vystopovateľný.
„Ešte sme nikdy nezaregistrovali nahlásenie incidentu, pri ktorom by niekto prišiel o peniaze takýmto spôsobom,“ informovala. Avšak krádež peňazí z niečej karty bezkontaktným spôsobom nepredstavuje jediný problém. Najväčšou hrozbou pre spotrebiteľov je, že im niekto „načíta“ údaje z ich bezkontaktnej karty – útočník v tomto prípade nekradne peniaze, ale priamo údaje karty – na čo mu stačí jednoduchá výbava, aká sa dá legálne zakúpiť za 20 libier cez eBay.
Alebo ešte jednoduchšie – útočník si môže stiahnuť aplikáciu do mobilného telefónu a použiť ako čítačku kariet svoj telefón. Ten tak neprijíma peniaze, ale načítava údaje kariet. „Je to môj obľúbený párty trik,“ vraví Nigel Swabey, majiteľ firmy Scotts of Stow, ktorý sa zaujíma o podvody s kartami.
„Priložíte telefón k vrecku hosťa a poviete: „Aa, vidím, že máte Amex. Číslo je toto a toto, dátum vypršania platnosti tento. Od strachu sa zosypú.“ Funguje to nasledovne. Najnovšie smartfóny majú v sebe zabudovanú bezkontaktnú technológiu, takže môžu byť použité aj namiesto bezkontaktnej karty – čiže pri platbách k čítačke namiesto karty prikladáme mobil.
Táto technológia však znamená, že samotný mobil sa dá zároveň použiť aj ako čítačka kariet, vďaka aplikácii nazvanej „čítačka kreditných kariet NFC“ (credit card reader NFC).
Aplikácia je absolútne legálna a dostupná zadarmo.
Najväčšou hrozbou pre spotrebiteľov je, že niekto „načíta“ údaje z ich bezkontaktnej karty – útočník v tomto prípade nekradne peniaze, ale priamo údaje karty – na čo mu stačí jednoduchá výbava, aká sa dá legálne zakúpiť za 20 libier cez eBay.
Pán Swabey sa domnieva, že bezkontaktné karty sa ilegálne načítavajú bežne – a ich údaje predávajú ďalej do rúk zločincom, ktorí si na ich základe buď vyrobia klon karty alebo uskutočnia podvodné nákupy. Na jednu stranu mal silné obavy, avšak na druhú stranu vnímal príležitosť na trhu, a tak si kúpil európske práva na peňaženku pôvodom z Austrálie nazvanú Skim Guard, v ktorej je všitý čip. Ten vie zistiť, či sa akékoľvek zariadenie snaží pripojiť na bezkontaktnú kartu vnútri peňaženky a signál zablokovať.
Dostupné sú i mnohé ďalšie (väčšinou jednoduchšie) peňaženky so zabudovanou ochranou a škótska polícia ich rozdávala na festivale v Edinburghu, zatiaľ čo rôzne zastupiteľstvá, vrátane mestského zastupiteľstva v St. Albans, ich prideľovali miestnym občanom. Napriek tomu banky stále podobné obavy odmietajú a tvrdia, že výrobcovia peňaženiek a obchodníci iba šíria konšpiračné teórie.
Nespochybniteľným faktom však zostáva, že na prečítanie čísla karty a dátumu vypršania platnosti z akejkoľvek bezkontaktnej karty stačí aj veľmi jednoduché zariadenie, pokiaľ sa nachádza v dostatočnej vzdialenosti niekoľko centimetrov. Banky priznávajú existenciu tohto potenciálneho rizika, avšak tvrdia že získanie len samotného čísla karty a dátumu vypršania platnosti je pre zločincov viac menej zbytočné.
„Aj keď je možné skopírovať tieto informácie z karty, nič tým nezískate,“ tvrdí pani Worobecová z UK Finance. „Okolnosti za akých sa takéto údaje dajú využiť sú veľmi obmedzené. Väčšina obchodníkov požaduje aj bezpečnostné číslo, známe aj ako CVV, zo zadnej strany karty“.
Áno, väčšina online obchodov vyžaduje aj zadanie CVV kódu – trojčíselného digitálneho bezpečnostného kódu nachádzajúceho sa na zadnej strane karty, ktorý sa nedá bezkontaktne načítať. Ale nevyžadujú ho pri platbách všetci – k takýmto obchodom patrí i piaty najväčší predajca v UK, Amazon. Môžete použiť akékoľvek meno a adresu, zadať k nemu číslo karty a dátum jej vypršania a zakúpiť si tovar v ľubovoľnej hodnote – aj vysoko nad 30 libier.
Obchod nemusí nevyhnutne priraďovať číslo karty k akejkoľvek fakturačnej adrese. Takisto mnohé webové stránky mimo Spojeného kráľovstva nevyžadujú CVV. V rámci svojho prieskumu v roku 2015 spotrebiteľská organizácia Which? úspešne získala údaje z desiatich kariet prostredníctvom jednoduchého zariadenia na čítanie kariet.
V Afrike, Ázii a Amerike bezpečnostná politika kariet nie je tak striktná ako v Európe a na uskutočnenie väčšiny nákupov stačí len číslo karty a dátum vypršania platnosti.
Aj bez mien držiteľov kariet a kódov CVV dokázal tím Which? uskutočniť dva nákupy, v rámci jedného z nich dokonca kúpil cez internet televíziu v hodnote 3-tisíc libier.Odborníci sa domnievajú, že zločinci zneužívajú bezkontaktné technológie na krádež desiatok tisícov kartových údajov, ktoré predávajú ďalej na výrobu „klonov“ kariet v zámorí.
V Afrike, Ázii a Amerike bezpečnostná politika kariet nie je taká striktná ako v Európe a na uskutočnenie väčšiny nákupov stačí len číslo karty a dátum vypršania platnosti. Aggie Leightonová, 36, zo západného Londýna, sa domnieva že tento problém postihol aj ju.
IT manažérka, ktorá takisto prevádzkuje webstránku Savvycomper ponúkajúcu rady ako ušetriť peniaze, dostala SMSku od svojej banky, Barclays, ktorá ju upozornila že prekročila limit čerpania na svojom účte. „Nemohla som na to prísť. Takmer 800 libier mi odišlo z účtu v priebehu pár hodín, kým som spala,“ uviedla.
Keď si skontrolovala svoj účet cez internet, zistila že sa z neho uskutočnilo osem transakcií – v Chicagu. „Prvá bola v malej sume na benzínovej pumpe, ale potom podvodník šiel do obchodu a reštaurácie. Vyzeralo to, že sa rozhodol utrácať naozaj vo veľkom.“ Pani Leightonová nikdy nebola v USA a už vôbec nie v Chicagu.
Je presvedčená, že jej kartu naklonoval zločinec, ktorý získal údaje jej karty cez elektronickú čítačku. „Nemôžem si byť stopercentne istá,“ povedala. „Ale stalo sa to v období, keď som začala používať moju bezkontaktnú kartu v londýnskom metre, takže som tú kartu mala vonku veľakrát.“
Nakoniec jej celú sumu refundovali, avšak vyžiadalo si to niekoľko telefonátov a návštev v banke. Podstatné je, že prípad pani Leightonovej – obete podvodu, ktorej kartu naklonovali a použili v zámorí – sa neeviduje v rámci štatistík týkajúcich sa bezkontaktných kariet.
Banky zaznamenávajú tento typ zločinu v kategórii „stratená karta“ alebo „podvod s kartou na diaľku“ a nie ako „podvod s bezkontaktnou kartou“ – napriek tomu, že podvod s najväčšou pravdepodobnosťou umožnila práve bezkontaktná technológia.
Minulý rok v rámci týchto druhov podvodu ukradli 409 miliónov libier – číslo, ktoré výrazne zatieni oficiálne britské štatistiky bezkontaktných podvodov v hodnote 14 miliónov libier. Momentálne sa nedá určiť, aký podiel z tohto väčšieho čísla patrí zločincom, ktorí elektronicky načítajú údaje bezkontaktných kariet zákazníkov, cestujúcich a turistov tu v Británii a dáta potom predávajú na čiernom trhu.
Mnohí odborníci sa domnievajú, že bezpečnosť bezkontaktnej technológie je nutné posilniť – myslí si to aj Ross Anderson, bývalý bezpečnostný konzultant v bankovom priemysle a dnes profesor bezpečnostného inžinierstva v Computer Laboratory na univerzite v Cambridge.
„Problémom je, že banky registrujú ako podvod len to, čo ony samé uznajú ako podvod. Avšak aj v oficiálnych štatistikách sú práve bezkontaktné podvody najrýchlejšie sa rozrastajúcim typom podvodu v Británii,“ povedal „Ľudia by si na to mali dať pozor.“ Nielen preto, že obnosy peňazí, o ktoré prichádzajú spotrebitelia a banky, sa budú zvyšovať.
Limit pre platby bezkontaktnou kartou sa zvýšil z 10 libier, v období keď sa začala éra týchto kariet pred desiatimi rokmi, pomerne rýchlo na 20 libier a teraz 30 libier. Mnohé banky zvažujú zvýšiť ho na 40 či 50 libier.
Sarah Lewisová, šéfka stratégie pre ID a boja proti podvodom v agentúre Equifax UK vyhlásila: „Chápem, že ľudia chcú vybaviť veci rýchlejšie a je to skvelé pre mnohých spotrebiteľov, avšak sú tu riziká. Čím menej bariér postavíte pred podvodníkov, tým ľahšie sa im páchajú podvody.“ Bezkontaktné karty sú prínosné pre mnohých spotrebiteľov – avšak sú zlatou baňou aj pre zločincov a pokiaľ sa touto problematikou banky nebudú zaoberať serióznejšie, riziká sa nezmenšia.
Aká je bezpečnosť bezkontaktných kariet?
Väčšina bánk v UK dnes vydáva karty ako bezkontaktné, čo znamená že pri transakciách do 30 libier sa dajú použiť bez zadania PIN kódu či podpisu. Ďalšie metódy bezkontaktných platieb zahŕňajú platby cez smartfón prostredníctvom mobilných aplikácií či prostredníctvom príveskov na kľúče a prenosných zariadení vrátane hodiniek a náramkov.
Podľa združenia vydavateľov platobných kariet UK Cards Association je dnes každá štvrtá platba bezkontaktná – pričom celkový objem bezkontaktných platieb vychádza mesačne na viac než 3,3 miliardy libier. Bezkontaktné karty používajú ten istý bezpečnostný systém ako Chip & PIN a každá obsahuje viacero bezpečnostných prvkov na ochranu informácií a ochranu zákazníkov pred podvodom.
Zatiaľ neboli potvrdené žiadne prípady odcudzenia peňazí priamo z bezkontaktnej karty, pokiaľ sa karta nachádzala vo vlastníctva majiteľa, tvrdí združenie. Avšak v prípade, že sa zákazníci stali obeťami podvodu, svoje peniaze dostanú od banky späť.
Zdroj: http://www.dailymail.co.uk/news/article-5571407/The-rise-contactless-led-relentless-rise-contactless-fraud.html