Hlavní navigace

Platební karta není trezor, PIN vás vždy neochrání

25. 2. 2010
Doba čtení: 6 minut

Sdílet

Se ztrátou peněženky přijdete o hotovost, s kartou zloděj získá pouze kousek plastu. Omyl. Britští inženýři umějí karty „zblbnout“, akceptují pak jakýkoli PIN. Podívejte se na video.

Minulý týden se konal již druhý ročník konference Trendy v internetové bezpečnosti, kterou pořádají společně čtyři servery společnosti Internet Info: Lupa.cz, Měšec.cz, Podnikatel.cz a Root.cz. Jejím hlavním smyslem bylo přinést nejnovější informace o aktuálních trendech v oblasti internetové bezpečnosti, zabezpečení elektronického bankovnictví a dalších kritických služeb.

My se dnes zaměříme na problematiku bezpečnosti platebních karet, která se na výše zmíněné konferenci také probírala. Nečekejte však tentokrát hloubkovou analýzu. Účelem dnešního textu je upozornit na to, že i v dnešní době čipových platebních karet, které banky a vydavatelé karet prezentují jako maximálně bezpečnou službu, existují reálná rizika zneužití.

Informovanost pomáhá v prevenci. Dnes budete naočkováni proti neopatrnému zacházení s vlastní platební kartou.

Kde to vře: Za platbu kartou mohou obchodníci nově požadovat poplatek

S ukradenou kartou hurá na eshopy

Nejbezprostřednější nebezpečí zneužití karty číhá při její ztrátě či krádeži. V takovém případě je nejlepším možným řešením okamžitá blokace karty. Připomeňme, že od listopadu platí s novým zákonem o platebním styku nová pravidla, která přikazují bankám provést blokaci karty zdarma. S blokací opravdu nečekejte, nespoléhejte se na to, že ji časem najdete někde zastrčenou. Dáte tím čas případnému zloději.

Můžete si říct: Proč mám kartu blokovat a následně žádat o novou za poplatek za vystavení, když se může stát, že za týden kartu najdu. Stejně je čipová, takže se zloděj bez PIN k mým penězům nedostane. Taková myšlenka je velmi hazardní. Možností zneužití má zloděj i tak několik.

Spousta platebních karet dnes zároveň plní funkci internetových karet. Při placení přes internet nesmí být PIN vyžadován. K potvrzení transakce stačí číslo karty, její expirační datum a CVC, CVV či CID kód, tedy všechno údaje, které jsou na platební kartě k přečtení. Neautorizované transakce kartou jsou sice ze zákona pojištěny, ale až od částky přesahující 150 EUR.

Druhá možnost zneužití se nabízí přes magnetický proužek, který je stále ve výbavě drtivé většiny karet s čipem. Při jeho použití není při platbě vždy vyžadován PIN, ale k ověření transakce přes podpis (zkuste si udělat malý průzkum, kolik prodavaček a prodavačů jej skutečně kontroluje). V Česku je tato možnost u některých obchodníků blokována, protože platba kartou je vždy prováděna nejdříve přes čip. To umožňuje nadstandardní vybavenost českých obchodníků EMV POS terminály (tedy těmi, které umějí s čipy pracovat). Statistika společnosti Visa Europe uvádí, že za minulý rok proběhlo v Česku 88 % transakcí kartami Visa právě přes tyto terminály. V zahraničí jsou tato procenta většinou nižší. Česko získalo díky pozdnímu zavádění systému platebních karet výhodu v modernějších čipových technologií, riziko tu ale stále je.

Laptop, pár drátů a zadávat můžete libovolný PIN

Na to, že ani samotný systém EMV založený na ověřování transakcí pomocí PIN není bezchybný, upozornil nedávno tým inženýrů z University of Cambridge. Objevili trhlinu v komunikačním protokolu, který střeží bezpečnost plateb přes čipové karty. Domnívám se, že je to jedna z nejzávažnějších chyb v platebních systémech, která kdy byla objevena. A to se touto problematikou zabývám již pětadvacet let, říká k tomu v pořadu britské televize BBC profesor Ross Anderson.

Což o to, teorie se objevují, ale do praxe mívají často daleko. Vědci však nezaháleli a své domněnky dokázali převést v praxi. Sestrojili (podle jejich vyjádření) poměrně jednoduchý mechanismus, kterým za použití čtečky, laptopu, ztracené karty, falešné karty, pár drátů a speciálního software umějí oklamat platební terminál tak, že je úplně jedno jaký PIN zadáte. Podrobnosti můžete shlédnout v reportáži BBC. Ta je sice v anglickém jazyce, ale i ze samotného videa si uděláte dobrý obrázek o sestrojeném mechanismu.

Je zřejmé, že běžný smrtelník si podobný aparát sám nesestrojí (pokud nemá zrovna Edisonův talent), ale jak upozorňují samotní vědci, zloději karet mají mnohem lepší vybavení než oni. Není pro ně tedy problém podobný mechanismus sestrojit. Navíc tak, aby nebyl tak těžkopádný jako ten, který vzniknul v Cambridgi. To ale předpokládá, že zločinci o tomto způsobu ví, což není jisté. Vědci samozřejmě neuvolnili celé své know how.

Nikdy nedávejte kartu z ruky

Na výše zmíněné konferenci Trendy v internetové bezpečnosti vystoupil také Rastislav Turek. IT odborník, který se primárně zabývá bezpečností webových aplikací. Velký přehled má také o platebních kartách a celém systému jejich fungování. Na serveru Digit.cz s ním minulý týden vyšel velmi zajímavý videorozhovor právě na naše dnešní téma.

Člověk běžně používající platební karty má po přehrání  půlhodinového záznamu chuť zlikvidovat své plastové pomocníky. Turek referuje mimo jiné o přístupu bank a vydavatelů karet ke známým problémům. Jejich řešením není skutečné vypořádání se s problémy, ale uvalování informačních embarg na chyby, na které odborníci na bezpečnost platebních karet upozorňují.

Uživatelům platebních karet radí jednu zásadní věc. Při placení kartou jí nespouštějte z očí. Zařízení na získání identifikačních údajů z karty, tzv. skimmery, vykonají svou funkci velmi rychle a bezdotykově. Člověk operující s vaší kartou ji jen musí dostat do pole působnosti tohoto zařízení. Proto buďte obezřetní a při podezřelé manipulaci s vaší kartou se ozvěte. Získané informace jsou okamžitě distribuovány přes velice sofistikovanou síť prodeje takovýchto údajů. Na podobné praktiky narazíte především v zahraničí. Nejobezřetnější buďte ve Spojených státech a v Moskvě. Dát v Moskvě kartu z ruky je adrenalin, říká Turek.

Cena údajů o platebních kartách získaná přes skimmery na černém trhu (v USD)
Původ platební kartyTyp platební kartyCena (% ze známého dispozičního limitu)Základní cena (když není znám dispoziční limit)
USAkreditní3 - 1025 - 500
USAdebetní3 - 1025 - 200
Britániekreditní3 -1550 - 500
Britániedebetní3 - 1525 - 250
Ostatní státy EUkreditní3 - 1550 - 500
Ostatní státy EUdebetní3 - 1525 - 250

Zdroj: prezentace Rastislava Turka

Turek dále doporučuje mít k bankovním účtům nastavenou službu, která v reálném čase informuje o transakcích, které na něm probíhají. V případě provedení podezřelé transakce se o ní dozvíte okamžitě a můžete ihned reagovat, což zvyšuje vaše šance na úspěšnou reklamaci.

Také se pozastavuje nad tím, že v případě plateb, které jsou autorizovány přes PIN, leží důkazní břemeno při reklamacích na zákazníkovi banky. Ve Spojených státech a v Británii už legislativa přesunula dokazovací povinnost na stranu bank.

skoleni_15_4

Závěrem podotkněme, že podle údajů společnosti Visa Europe činí v Česku poměr zneužití/prodej 0,007 %. Znamená to tedy, že na 1000 utracených Kč přes platební karty připadá 7 haléřů, které vzejdou z operací se zneužitými kartami. Krádeže v řádech promilí potvrzuje i Rastislav Turek a Karel Kadlčák, předseda Bezpečnostního výboru Sdružení pro bankovní karty. Nejsme tedy na divokém západě, kde se člověk musel obávat o každý svůj dolar. Je však dobré myslet na to, že platební karta není trezor.

Tip: Video, po kterém budete chtít přestřihnout vaši platební kartu.

Byla vaše platební karta někdy zneužita?

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).