Kopiowanie danych kart zbliżeniowych zyskuje popularność

Data: 17 lipca 2012 | Autor: | Brak komentarzy »

W serwisie Google Play, oferującym aplikacje na urządzenia pracujące pod kontrolą system Android, dostępna była aplikacja pozwalająca na przechwytywanie informacji z kart płatniczych wykorzystujących technologię zbliżeniową. Po krótkim okresie została jednak usunięta.

Informację tę podał producent oprogramowania antywirusowego Symantec – w bazie tej firmy aplikacja została zarejestrowana jako Android.Ecardgrabber. Jej autorem ma być Niemiec zajmujący się zagadnieniami bezpieczeństwa.

Aplikacja pozwala na przechwycenie danych transmitowanych za pomocą protokołu komunikacyjnego NFC (Near Field Communication), umożliwiającego bezprzewodową wymianę informacji na niewielki odległości. Ostatnio nabiera on popularności w smartfonach, m.in. w Samsungu Galaxy III. Technologia ta wykorzystywana jest również w kartach płatniczych, pozwalających na dokonywanie płatności bezstykowych, m.in. w popularnych w naszym kraju standardach MasterCard PayPass oraz VISA PayWave. Same organizacje płatnicze pracują zresztą nad rozwojem aplikacji na telefony komórkowe (VISA taką aplikację ma już gotową), które pozwalać będą na regulowanie płatności za pośrednictwem telefonu wyposażonego w odpowiednią kartę SIM lub kartę pamięci.

Aplikacja pozwalać ma na przechwycenie podstawowych informacji o karcie: jej numeru, dat ważności (przystąpienia do organizacji oraz ważności karty) oraz numeru powiązanego konta bankowego. Nie przechwytuje zatem PIN czy kodu CVV/CCV, niezbędnych w razie chęci wykorzystywania karty do płatności na większe kwoty.

Sam autor aplikacji przyznał, że jego zamiarem było wbudowanie w aplikację funkcjonalności pozwalającej na przechwytywanie danych z 8 rodzajów kart (MasterCard, GeldKarte, Visa V Pay, Cirrus, Maestro, Visa Electron oraz Visa), ale jedynie w przypadku MasterCarda i GeldKarte potwierdzono skuteczność oprogramowania.

W Polsce coraz więcej banków zaopatruje swoich klientów w karty z technologiami zbliżeniowymi (czasem nawet w dość przymusowej formie, wymieniając jeszcze ważne karty na nowe), więc rodzi się pytanie, czy nasze pieniądze są bezpieczne? Wprawdzie płatności bezstykowe dotyczą jedynie niewielkich kwot i są obarczone okresowymi limitami, ale nie znaczy to, że klienci z obojętnością podeszliby do kradzieży środków.

Cóż, z pewnością jest jeszcze zbyt wcześnie na podnoszenie alarmu. Wprawdzie jednoznacznie należy stwierdzić, że protokół NFC wzbudza poważne wątpliwości co do jego bezpieczeństwa, ale masowego skanowania kart raczej można się nie obawiać. W zasadzie problem leży głównie w logistyce – NFC umożliwia przesyłanie danych na niewielkie odległości, zatem aby zeskanować taką kartę, telefon z aplikacją musiałby być zbliżony do karty na odległość ok. 4 cm. Oczywiście nie można wykluczyć, że co bardziej „przedsiębiorczy” oszuści mogliby próbować kopiowania na skalę masową np. poprzez instalację odpowiednich modułów na terminalach POS (aczkolwiek raczej za wiedzą i zgodą personelu punktu sprzedaży).

Co prawda media obiegła informacja o tej konkretnej aplikacji, ale wchodząc do sklepu Google’a można bez problemu znaleźć oprogramowanie oferujące identyczną funkcjonalność. Przykładem może być SquareLess, którego autor twierdzi, że pozwala na odczyt danych z kart wykorzystujących systemy PayPass (MasterCard), PayWave (VISA), Express Pay (American Express) oraz Zip (Discover). Inną tego typu aplikacją jest Electronic Pickpocket RFID, której autor z kolei twierdzi, że powstała w celach prewencyjnych, aby sprawdzić, czy posiadane przez nas karty są podatne na odczyt informacji przez protokół NFC. Nie podaje jednak, z jakimi systemami miałby być kompatybilny.

Co bardziej przedsiębiorczy biznesmeni poczuli już okazję do zarobku na tym mankamencie technologii NFC. Strasząc możliwością skopiowania kart płatniczych, oferują specjalnie przygotowane etui na karty, które mają zapobiegać ich skopiowaniu. Jeszcze dalej poszła firma oferująca urządzenie on nazwie GuardBunny, które nosi się w portfelu obok kart. Jest ono wyposażone we własny chip, który emituje rodzaj „białego szumu”, zagłuszającego sygnał generowany przez chipy kart płatniczych.



Skomentuj wpis

Musisz być zalogowany/a, żeby zamieszczać komentarze.