Názory k článku Mýty a fakta o bezkontaktním placení

Dobrý den,
vzhledem k tomu, že se článek tváří jako kompletní rozbor situace, mohl by se autor článku (nebo jeho odborný poradce, od nějž čerpal informace) vyjádřit i k těmto bodům:

1. Uvádíte, že "Vzhledem k tomu, že všechny bezkontaktní transakce v Česku jsou ověřované online" - odkud tento údaj čerpáte? Standard pro bezkontaktní platby offline platby umožňuje a minimálně ze začátku některé české banky offline platby používaly. Opravdu jsou nyní všechny bezkontaktní platební transakce (např. u mBank) online?

2. V článku je málo rozebráno zneužití kradené karty, kdy banky často nenastavují žádný kumulativní limit pro podlimitní platby, tedy do blokace je možné ukradenou kartou platit ve více malých platbách bez zadávání PIN. Jedinou ochranou by tak měl být limit 150 EUR vyplývající z legislativy.

3. Mezi další "akademické" problémy patří vyčtení základních údajů o kartě - držitel, platnost, číslo karty (mimo CVV/CVC kódu) mobilním telefonem s podporou NFC, což by mohlo stačit v některých případech pro platbu přes Internet, kde není vyžadováno CVV/CVC (ale to už je jednodušší si tu kartu vyfotit). Zmíněn není ani "centimetrový" Man-in-the-Middle útok s dvojicí mobilů a tunelováním dat jinou technologií. První z problémů je obdobou toho, co bylo popsáno v anglickém videu, v textu článku je ale tento problém zlehčován. Takže, opravdu nelze z českých karet vyčíst číslo karty, platnost a jméno držitele, nebo jen nezaplatíte díky absenci znalosti o CVC/CVV kódu?

Ad 2: Více znamená maximálně čtyři, bezkontaktní karty musí vyžadovat PIN při každé páté podlimitní transakci. Z toho pak zjistíte, že kumulativní limit existuje, a je v nejhorším případě 2000.

To platí bohužel jen u konkrétní banky, že by to tak bylo všeobecně je rozšířený omyl. Některé banky pro karty limit počtu plateb bez PIN ani maximální částku opravdu nastaveny nemají, jiné dovolí na některých kartách zaplatit jen 500 Kč bezkontaktně za den (pak karta další platbu odmítne) zatímco a u jiného typy karty to takto neomezují, apod. Zajímavé je, že se tak většinou chovají ty banky, které přenášejí odpovědnost na držitele karty.

Dobrý den,
ad 1) Minimálně kombinace FIO MC PayPass a terminálů ČS,a.s. prováděla původně transakce offline. Nicméně po cca 2 měsících od zavedení těchto karet u došlo ke změně a transakce jsou online, možná v souvislosti s touto politikou. Ale i tak bych byl s generalizací opatrný, týká se to jen acquirera (tedy banky, provozující platební terminál, tedy v zahraničí je možné platit offline) nebo i issuera (tedy soft offline limit nastaven na 0)? Je skutečně online transakce vynucována, nebo je preferována? Pokud jde o issuera, platí tato pravidla i pro organizační složky zahraničních bank, které nechávají karty vyrábět v zahraničí (mBank), atd.?

ad 2) Tuto stránku znám, ale co tam uvedeno není je fakt, že některé banky nastavují minimálně soft online limit na "nekonečno", resp. limity neaplikují (mimochodem, když už tu stránka tady vyplavala tak by bylo vhodné opravit si tam překlep "omline").

Zkušenost ze čtvrtka 27.6.2013 - FIO MC PayPass a terminál ČS u Dr. Max ..... platba není do tohoto okamžiku v IB jakkoli zaznamenána.

Náš rekod, který sme dosahovali v Raifce, byl při čtení karty cca 1m. Ano je to 1 000mm. Všechno to závisí na konstrukci čtecího zařízení, výkonu a směrovosti antény.

Vím, že se banky snaží tvrdit, že to není možné číst na vzdálenost větší než několik desítek milimetrů, ale to je pravda jen pro standardní snímače.

Možná, ale když bych viděl například v tramvaji, že je kolem mě široké místo cca 1m, vedle obrovské antény, zesilovače, napájecí zdroje a podobné elektronické hračky a nikde jinak nikdo, asi bych byl značně nervózní. Je třeba si uvědomit, že v MHD je zpravidla dost narváno a navíc jsou zde i další parazitní pole, typicky v tramvaji nebo metru. Dále je třeba si uvědomit, že i běžný kufřík to dost významně ztlumí, nemluvě třeba o hliníkovém. Pak už vůbec nemluvím o tom, že i jiná těla jsou stíněním a i naše je do jisté míry stíněním. A ten metr bude velmi výjimečné. Čili, bezkontaktní kartu nejde v praxi zneužít bezkontaktním způsobem. Skutečně je pro zloděje mnohem pohodlnější ji člověku vytáhnout i s peněženkou. Obyčejný zloděj nemá ani technologie ani informace o hackování této technologie. A dejte už s tím pokoj.

pokud nejsou kolegove pohadkove bytosti, tak jiste cislo neprectou pres kuzi penezenky/kabelky nebo textil tehoz, ci odevu, narozdil od bezne dostupne NFC ctecky, s rozmery 11" tabletu a stejnou energetickou potrebou - ktera k tomu ovsem potrebuje vyrazne kratsi vzdalenost, okolo 50cm - tedy 500mm, nebo 1/2 metru pro predstavu. mimochodem, takove zarizeni v tramvaji vyvola asi takove podezreni, jako, jako, no napriklad jako 11" tablet. no a protoze karta nerozpozna ctecku seriozniho obchodnika od ctecky sniffera, tak je z tohoto hlediska znacne promiskuitni a da komukoliv sve cislo, jmeno drzitele a expiraci.

Ano, staci si precist vic nez rok stare PDFko
Renaud Lifchitz: Hacking the NFC credit cards for fun and debit ;)
kde je zmineno
* Active read up to 1.5m (50x better!) using a dedicated amplifier (2000€) and antenna (1000€). Everything fits into a backpack...
* Passive sniffing up to 15m (500x better!) using a radio receiver (e.g. USRP) with a standard telescopic antenna
A to ze jsou na karte nijak nesifrovana data o cisle, majiteli a transakcich rozhodne neni dobre...

Bezkontaktní kartu můžete efektivně chránit pomocí ochranného stínícího obalu. Výrobců a prodejců je více. Srovnávání jejich výrobků s běžným alobalem není přesné. Profesionální ochranné obaly mají atesty TUV pro útlum RFID frekvenčních rozsahů což běžná hliníková folie nesplňuje.

Myslím, že jako prevence je to velmi vhodné řešení.

Stačí např. v Google: bezpečnostní obal na bezkontaktní karty

Z tohoto hlediska by asi mělo stačit i mít 2 bezkontaktní karty připlácnuté na sobě. Odpověděly by souběžně a čtečka by z toho nic nevyčetla, podobně jako v obchodě, kde to vyzve k přiložení pouze jediné karty. Ale zase při krádeži by bylo dvojnásobné riziko zneužití.

V peněžence mám dvě bezkontaktní karty - po přiložení peněženky k čtečce nejde ani jedna - ruší se navzájem....

Stejně to fungovalo (tedy spíš nefungovalo), když jsem měl v pouzdře firemní kartu na docházku a Openkrad... Terminály v práci to prostě nepřečetly.

Tohle funguje jenom zdanlive. Popis ISO-14443 protokolu zahrnuje antikolizi, kde lze v pripade vicero karet v poli vylistovat vsechny a vybrat konkretni (funguje to velmi dobre, ze to kazda ctecka nepouziva, je vec druha).

Článek opomíjí nebezpečí zneužití bezkontaktní platební karty v případě, kdy neoprávněná osoba zcizenou platební kartu použije i na několik plateb do 500 Kč. Pokud je poté zcizená platební karta nepozorovaně majiteli vrácena, majitel karty pak nemá důvod ji blokovat a neoprávněného použití karty si nemusí brzy všimnout, když kartu nepoužívá k placení denně a pokud si např. denně nekontroluje pohyby na účtu - u kreditní karty (pokud nevyužívá internetové bankovnictví) to často zjistí až z měsíčního výpisu z účtu. Je řada situací, kdy člověk nemá svou platební kartu stále u sebe (např. na pracovišti, při sportovních aktivitách, ve škole apod.). Z tohoto hlediska považuji "kontaktní platební kartu" za relativně bezpečnější, neboť ji nelze po krádeži použít ani k platbě v obchodě do 500 Kč bez znalosti PIN.

Pokud bych měl brát vážně přirovnání snadnosti hacknout kartu s ježděním za papírovou spotřebu auta, tak se asi od zítra dávám na hackování karet. Protože za výrobcem udávanou spotřebu jsem naprosto bez problémů dlouhodobě jezdil se všemi auty která jsem zatím vlastnil. Žádný problem :)

Tohleto vnucování bezkontaktních karet (dále BK) bankami mě už dost sejří. Teď aktuálně Fio ukončuje platné karty a doslova vnucuje klientům BK. Alternativu nenabízí a ochranná pouzdra na odrušení také ne. Dopadne to tak, že každý bude mít v peněžence několik BK a fungovat to nebude, protože se karty budou hádat mezi sebou. To je naprosto k ničemu.
Teď mám aktuálně jednu BK a funguje tak, že stačí přiložit peněženku k terminálu a je zaplaceno. Pokud mi nějaká banka vnutí další BK, tak se mi začnou v peněžence hádat a budu muset pro zaplacení zase některou kartu vytáhnout z peněženky a přiložit ke snímači samostatně.
Tím ovšem mizí výhoda BK, protože to už pak tu kartu můžu rovnou postaru zasunout do čtečky a vyklepat pin, těch 10 sekund už mě nezabije.
Dle mého názoru má BK smysl pouze tehdy, pokud má člověk jednu jedinou. Pokud jich bude víc, už je to k ničemu a budem je jako dementi omotávat alobalem? To snad ne, je rok 2013...

Nebo to snad chápu blbě a více BK v jedné peněžence nevadí a funguje to? Že by se třeba platba provedla kartou, která na výzvu terminálu odpoví nejrychleji?
Jak to vlastně funguje, pokud je víc karet pospolu?

Více karet v peněžence se "hádá" a transakce není provedena. Zkoušel jsem.

Při platbach bezkontaktni kartou od Fia se mi ještě nestalo při placení v Bille, ze by transakce byla ověřena online. Na účtu se blokace vůbec neobjevi, až po několika dnech se částka strhne.

Pokud těmto slovům nerozumíte, pokusím se o jiné přirovnání. Máte auto? A máte v technickém průkazu údaj o spotřebě? Podařilo se vám spotřebu změřenou výrobcem v laboratorních podmínkách udržet i při běžném provozu? Lze „hacknout“ bezkontaktní platbu (kartu, mobil)? Ano, lze v laboratorních podmínkách. V praxi je tato pravděpodobnost blízká nule.

Auto mám a jezdím s ním za výrobcem udanou spotřebu. A dál........?

Platit bezkontaktně není problém.
Problém je když ztratím kartu která je bezkontaktní, tak než ji zablokuji tak s ní někdo může v klidu platit (do 500Kč) a utíkají finance velice jednoduše. Jednodušeji než s případě se ztrátou čipovo/magnetické karty, kdy je vyžadován PIN či podpis nebo obojí. Banka vám ale nic zpět nevrátí.

Druhé je když si lidé zvyknou platit i jeden rohlík kartou, tak potom se zruší peníze a to bude také špatně. Vlády a kdokoli bude moci sledovat co nakupujete.

Pěkný propagační článek. Nebo reklama?
BTW. Platební karty jsou i vytunit. Lze smazat magnetický proužek, zničit anténu RFID, smazat CVV kód, atd.... . Lze tím zvýšit bezpečnost. :-)

Jak lze zničit anténu RFID? Bude to potřeba, bezkontaktek bude čím dál víc a začnou se nám hádat v peněženkách.

To ovšem usmaží i čip, takže spolehlivější bude pod silným světlem nalézt, kudy anténa vede a mechanicky ji přerušit.

Jj, pomoc je vcelku rychla a jednoducha :)
http://www.itsrainingelephants.com/blog-archives/2012/05/21/credit-card-rfid-downgrade/

http://www.youtube.com/watch?v=ZKpEY4lRz9A video mluvi za vse... Leda ze by to bylo nafingovane :-) Tak a ted at odbornik rekne , je to blbost...

Popravdě poté co mBank přešlo na bezkontaktní karty trochu jsme se vyděsila. Ať lze kartou platit na jakoukoliv vzdálenost, pokud Vám ji někdo ukradne může jí ihned použít bez žádného omezení a bez znalosti hesla. A buďme upřímní v době kdy máme spousty klasických karet si ztráty té bankovní nevšimneme hned. Právě to stačí danému zloději ke zneužití karty. V době kdy je výroba čipových a plastových karet téměř masová ( v ČR zařizuje mimo jiné http://www.perfectcards.cz/ ) by nám alespon mohli dát vybrat zda chceme klasickou či bezdotykovou.

skrytí tvůrci karet problémy s kartami milují, protože vůbec nejde o bezkontaktní karty, ty jen sehrají svou dočasnou úlohu jako jedny z nástrojů vedoucích k nucenému zavedení čipu do lidského těla a tam už se přece mezi sebou žádné karty hádat nebudou moci a bankovní transakce poběží hladce... o to tu jde