Slováci používajú čoraz častejšie bezkontaktné platobné karty. Hlavným dôvodom je úspora času, keďže odpadá zadávanie PIN. Naša pohodlnosť však môže mať vysokú cenu, ukázali testy bezpečnostnej firmy Nethemba. Pri testoch sa u väčšiny bezhotovostných kariet slovenských bánk podarilo získať citlivé údaje o transakciách klienta.
Bezpečnostná firma testovala bezkontaktné platobné karty VISA a Mastercard klientov Tatra banky, VÚB banky, Slovenskej sporiteľne, ZUNO banky, mBank, Unicredit a Sberbank. „Zistili sme, že je možné anonymne na diaľku, pri vzdialenosti asi dvadsať centimetrov, zneužiť karty a získať napríklad zoznam všetkých realizovaných platieb či výberov z bankomatov,“ uvádza bezpečnostný analytik firmy Nethemba Pavol Lupták.
Na čo sa dajú informácie z karty zneužiť
Tieto citlivé dáta môže podľa Luptáka načítať ľubovoľný predajca svojím terminálom, cudzia banka svojím bankomatom či náhodný útočník, ktorý je v blízkosti zraniteľnej karty. Údaje potom môžu zneužiť napríklad tak, že získajú nakupovací profil vlastníka karty, zistia krajiny, ktoré vlastník karty navštívil, odhadnú jeho solventnosť, a na základe toho pripravia cielený marketing.
Analytici pri teste použili bežné smartfóny a cenné bankové údaje získali pomocou aplikácie, ktorá sa dá stiahnuť z internetového obchodu Google Play pre androidy. Bez externej antény telefón načítal údaje zo vzdialenosti do štyroch centimetrov. Po použití externej antény sa môže útočník vzdialiť až na dvadsať centimetrov.
Množstvo kariet nepotrebuje na svoje fungovanie citlivé informácie. Karty obsahovali informácie o platobných operáciach, ale i počet zostávajúcich pokusov PIN. I keď karty až na jednu výnimku neobsahovali meno vlastníka, stále sa u väčšiny z nich dala plne anonymne načítať celá transakčná história. Tiež sa dalo z čipu prečítať číslo karty a dátum expirácie i tzv. CVV kód. „Informácia ako CVC/CVV kód nie je na karte uložená a nemala by sa ukladať,“ hovorí Lupták.
Ktoré karty sú problémové
U klientov Slovenskej sporiteľne sa podarilo načítať údaje len pri starších kartách. Novšie karty s dobou expirácie po októbri 2017 už citlivé informácie neukladajú. Menšie banky mBank, Zuno, Unicredit a Sberbank v teste neobstáli a podarilo sa u nich získať zoznam vykonaných platieb z každej testovanej karty. VÚB banka nemala žiadne citlivé údaje na kartách svojich klientov.
Zvláštny prípad nastal pri teste kariet Tatra banky, keď staršie karty transakčnú históriu neobsahovali, zatiaľ čo nové áno. Firma Nethemba priznáva, že množstvo analyzovaných platobných kariet ešte nie je dostačujúci na to, aby mohli vytvoriť jednoznačný záver o úplnom bezpečnostnom stave bezhotovostných kariet.
Banky zneužitie nepovažujú za jednoduché
Tatra banka pre Aktuálne.sk nevedela posúdiť relevantnosť testu, pretože nebol oficiálnym testom banky vydávajúcej platobné karty ani kartovej spoločnosti. Aby bolo možné načítať citlivé údaje, musí byť podľa banky karta dlhšiu dobu v blízkosti zariadenia, čo nepovažuje za jednoduché. Načítanie údajov pri bezdotykovom styku prirovnáva hovorkyňa Tatra banky Marína Masárová k odfoteniu karty, ak je voľne položená.
„Tatra banka vidí budúcnosť v bezkontaktnom platení a vynakladá veľkú snahu, aby sa platenie stalo čo najviac komfortným pre klienta. Nezabúdame však, že bezpečnosť nových foriem platenia je absolútne nevyhnutná,“ uviedla Marína Masárová.
I Zuno Banka do technológie platobných kariet a ich vývoja smeruje výrazný objem investícií, vrátane zlepšovania bezpečnostných prvkov. „Sme presvedčení, že bezkontaktné karty majú budúcnosť, čo potvrdzuje aj narastajúci trend ich používania klientmi bánk,“ uviedol hovorca Zuno banky Vladimír Michna. Rovnaký názor na ich bezpečnosť má i mBank. „Slováci si na používane bezkontaktných platieb rýchlo zvykli a očakávame, že ich obľúbenosť bude naďalej rásť,“ povedal hovorca mBank Tomáš Palovský.
Pre UniCredit banku, nie je zneužitie dát klientov v žiadnom prípade relevantné. „UniCredit Bank na Slovensku využíva bezkontaktnú čipovú technológiu podľa štandardov asociacií VISA a MasterCard,“ vyjadrila sa Unicredit banka pre Aktuálne.sk
Zdroj: https://aktualne.centrum.sk/pohodlnost-moze-mat-vysoku-cenu-ako-sa-daju-zneuzit-slovenske-bezkontaktne-karty/ekonomika/financie/