Archiwum kategorii finanse i bankowość

Postęp techniki – składowanie danych

Gdy dziś ogląda się reklamy takie jak na przykład dysków firmy XCOMP, wśród młodszych wiekiem specjalistów technicznych pojawia się zdziwienie. Dysk po pojemności 10MB przeznaczony do niewielkiego komputera kosztował prawie 4 tysiące USD za 10MB, co po uwzględnieniu inflacji odpowiada ponad 9000 dzisiejszych dolarów!

Dysk XCOMP, 10MB

Jeszcze ciekawiej wygląda porównanie samych komputerów – przykładowy system Cromemco Z-2 wyprodukowany w 1977 r. posiadał procesor Z80 firmy Zilog taktowany zegarem 4MHz. O ile sam system nie był nadzwyczajnie kosztowny (około 1000USD), wszystkie najważniejsze elementy, takie jak pamięć, oraz urządzenia wejścia/wyjścia były zamawiane osobno, a następnie instalowane jako karty rozszerzeń. Instalacja podobnego komputera z dyskiem twardym 14MB kosztowała prawie 14 tysięcy ówczesnych dolarów (co odpowiada prawie 30 tys USD dziś).

Komputery Cromemco_Z-2 przy obsłudze giełdy towarowej w Chicago

Komputery Cromemco_Z-2 przy obsłudze giełdy towarowej w Chicago, rok 1984.


Komputery Z-2 obsługiwały różne profesjonalne instalacje, w tym giełdę towarową Chicago Mercantile Exchange i zostały zastąpione przez IBM PS/2 dopiero w 1992r.

Ponad 600 takich komputerów używano do wspierania misji bojowych samolotów F-15, F-16 i F-111 w siłach powietrznych USA, w tym także w pierwszej wojnie w Zatoce Perskiej. Komputery te miały jednak inny procesor (Motorola 68020) i dysponowały wymiennym dyskiem twardym.


Cromemco Z-2H dla USAF, 1986

Cromemco Z-2 z wymiennym dyskiem, wersja dla US Air Force, 1986.


Postęp techniki, automatyzacja i masowa produkcja sprawiły, że koszt składowania tej samej porcji danych jest dziś miliardy razy niższy. Tworzymy ogromne ilości danych – użytkownicy samego Youtube’a publikują dane, które wymagają petabajta surowej pojemności dziennie. Nic dziwnego, że Google szuka alternatyw dla klasycznych dysków twardych.

Fałszywe faktury przynoszą … infekcje

Internetowi złodzieje sięgają po coraz nowsze sposoby, byśmy zajrzeli do wiadomości i pobrali kolejnego konia trojańskiego. W mojej skrzynce znalazły się fałszywe faktury (zadziwiająco dobrze przechodzą przez systemy antyspamowe), powiadomienia o rejestracji w różnych serwisach, w tym BIK, a od niedawna przychodzą sfałszowane informacje o rzekomej przesyłce DHL zwróconej do adresata.
Pierwsze takie wiadomości (05 czerwca) były częściowo w języku niemieckim:

dhl-starsze

Ale złodzieje się uczą – dziś otrzymałem już nieco lepszą:
Fałszywka

Na służbową skrzynkę spływały także wiadomości z błędnie enkodowanym załącznikiem w treści
Fałszywka z załącznikiem inline

Oczywiście wszystkie linki w wiadomości wiodą prosto do archiwum ZIP…
pobieranie fałszywej faktury
…które to archiwum zawiera plik wykonywalny. Szybka analiza na świetnej stronie virustotal udowadnia, że jest to dropper znanego konia trojańskiego Emotet.
Analiza za pomocą virustotal
Ku mojemu zdziwieniu zaledwie kilka antywirusów zna ten kod, mimo to, że według Microsoftu kampanie z użyciem Emoteta trwały co najmniej od listopada 2014r.
W archiwum microsoftowego Technetu można znaleźć opracowanie ataków, w których używano tego konia trojańskiego – oto link do wpisu ze stycznia 2015r. Początkowo atak kierowano na rynek niemiecki, obecnie na celowniku są użytkownicy komputerów domowych w naszym kraju.

Pierwsze ataki z użyciem Emoteta, styczeń 2015, źródło: Microsoft, Technet

Rozkład ataków z użyciem Emoteta, styczeń 2015, źródło: Microsoft, Technet

Zachęcam wszystkich Czytelników do zachowania szczególnej ostrożności. W taki link nie wolno klikać, gdyż każdy z nich jest na swój sposób unikalny i złodzieje będą mogli wyśledzić adres e-mail i ocenić skuteczność kampanii phishingowej. Jednocześnie zbierają informacje na temat podatnych systemów – a takie informacje stanowią cenny kąsek.

Jaki będzie skutek działania złodziei?
Ukradzione hasła, kradzież danych, a przede wszystkim pieniędzy z kont bankowości elektronicznej.

Nie klikaj – nie daj się złowić.

Oszustwo zawsze w cenie

Gdy pisałem tekst o bezpieczeństwie transakcji elektronicznych (ukazał się niecały miesiąc temu), w jednym ze śródtytułów nawiązałem do faktu, że złodzieje posłużą się dowolnym środkiem, który prowadzi do celu. Jedną z metod jest pospolite oszustwo – złodzieje wysyłają podrobiony dokument informujący o zmianie numeru konta bankowego. W ten sposób oszukano warszawskie metro, szpitale we Wrocławiu i Bolesławcu oraz prawdopodobnie wiele innych organizacji.
Życie do tego tekstu dopisało niespodziewany epilog. Podlaski Zarząd Dróg Wojewódzkich przelał na rachunek złodziei blisko 4 miliony złotych, które miały trafić do wykonawcy robót drogowych w ramach jednej z transzy zapłaty za wykonane prace.
To jest duża inwestycja, zrealizowana w większej części ze środków unijnych. Mechanizm oszustwa był taki sam, jak w przypadku warszawskiego metra czy obu wspomnianych szpitali: złodzieje założyli rachunek bankowy na podstawioną osobę, wysłali podrobioną wiadomość z informacją o rzekomej zmianie rachunku i podjęli pieniądze natychmiast po realizacji przelewu. Zdarzenie potwierdziła rzecznik marszałka województwa podlaskiego, sprawę prowadzi właściwa miejscowo komenda wojewódzka policji na zlecenie Prokuratury Apelacyjnej w Białymstoku.

Jak można się zabezpieczyć przeciw podobnym zdarzeniom?
Czasami pomaga zdrowy rozsądek:

  • Wdrożyć i ścisłe przestrzegać procedury sprawdzania informacji dotyczących płatności firmowych.
  • Dyspozycja zmiany rachunku powinna się odbywać tylko razem z fakturą.
  • Numer konta należy sprawdzić i porównać z oficjalnie publikowanym rachunkiem, choćby na stronie firmy (wiele przedsiębiorstw podaje taką informację publicznie). Wątpliwości można wyjaśnić przez telefon.
  • Każdą zmianę należy potwierdzić – np. zadzwonić do działu księgowości pod numer telefonu podany w oficjalnym spisie.

Pułapka i myszy

Podstawowym problemem związanym z płatnościami bezgotówkowymi przy pomocy kart kredytowych są nadużycia, czyli fraudy. Organizacje związane z obsługą kart i wystawcy znają to ryzyko i zarządzają nim, utrzymując nieoficjalnie wskaźnik na poziomie 10bps (czyli straty 10 centów na każde 100USD transakcji). Utrzymują straty na akceptowalnym poziomie. Przypomnę, że w tak wielkim kraju, jak USA, nadal używa się prostych kart z magnetycznym paskiem i akceptuje się transakcje bez obecności karty (MOTO – mail order / telephone order) potwierdzanych jedynie numerem karty oraz datą ważności. Zabezpieczenie takich transakcji jest wręcz prymitywne w porównaniu do znanych w Polsce systemów, które wykorzystują mikroprocesory oraz kod PIN dodatkowo weryfikowany online. Tym bardziej dziwi wysoki poziom nadużyć przy płatnościach Apple Pay, w których korzysta się z protokołu szyfrowanej komunikacji bezprzewodowej, wykorzystuje się tokenizację, w urządzeniach przenośnych tej firmy jest czytnik linii papilarnych, a sam moduł zawierający informacje na przykład biometryczne jest chroniony. Tymczasem poziom nadużyć przy transakcjach via Apple Pay jest bardzo wysoki, w przypadku jednego z wystawców przekracza 600bps – sześć procent ogólnej kwoty transakcji to fraudy. Stoi to w sprzeczności z początkowymi analizami, które zakładały poziom nadużyć rzędu 2-3 bps. Analizy te uwzględniały zastosowane zabezpieczenia i wykorzystywały doświadczenia wystawców kart w innych krajach, takich jak Polska (jesteśmy przecież liderem w bezstykowych płatnościach przy stosunkowo niskim poziomie fraudów). Problem dotyczy jednak nie samego systemu Apple Pay i jego zabezpieczeń technicznych, ale tego, w jaki sposób został on wprowadzony.
Więcej »

Czy zawsze AJAX jest dobry?

Aplikacje webowe wykorzystujące technologię AJAX mogą zaoferować całkiem ciekawe możliwości swoim użytkownikom. Mogą być wyposażone w dynamiczne formularze, aktywne obiekty, ciekawe elementy graficzne i tekstowe, mogą działać interaktywnie. Niestety zapewnienie spójnego odbioru pracy takiej aplikacji wcale nie jest proste. Wystarczy drobny problem z komunikacją, opóźnienie lub zatrzymanie ładowania jednego ze składników, błąd w jednym z wielu skryptów albo nieprzewidziane przez autorów działania użytkownika, by w stronie mogły pojawiać się błędy. Pół biedy, gdy dotyczy to stron informacyjnych. Niestety ten sam problem dotyczy także niektórych stron transakcyjnych, przykładem może być nowy serwis mBanku.
Więcej »

Error 404 w serwisie transakcyjnym

Specjaliści od bezpieczeństwa aplikacji webowych potwierdzali w wywiadach, że audyt aplikacji wykorzystujących technologię AJAX (asynchroniczny JavaScript oraz XML) jest bardzo trudny. Dziś ta prawda okazała się w całej rozciągłości. Nowy serwis transakcyjny mBanku przy konkretnej operacji pokazał mi błąd 404. Taki błąd w internetowym serwisie transakcyjnym banku jest to coś, co nie powinno się w ogóle zdarzyć! Oznacza to, że produkt nie został dostatecznie przetestowany. W odróżnieniu od niektórych błędów funkcjonalnych, każde wyświetlenie 404 pozostawia ślady w logach serwera WWW. Dlaczego jest to niebezpieczne? Bo może zostać wykorzystane do wstrzyknięcia kodu do aplikacji webowej.
Chciałem zgłosić ten problem przez czat, ale niestety mBank nawet do czatu (!) wymaga Silverlighta. Ja tej wtyczki nie mam i nie będę mieć.
Mój poziom zaufania do serwisu internetowego tego banku (i tak niski po wymuszonej migracji ze starego systemu) spadł jeszcze bardziej. W poprzedniej wersji serwisu transakcyjnego, przez ponad 10 lat, widywałem różne błędy, ale 404 – nigdy.

edit
Zdecydowałem się umieścić dowód, że na użytkowników nowego serwisu transakcyjnego mBanku czekają jeszcze inne niespodzianki. Oto przykład.

Testy czy instancja produkcyjna?

Gdy rozmawiam z ludźmi IT, specjaliści z sektora finansowego zawsze wspominają o konieczności dokładnego przetestowania aplikacji w osobnej instancji. Nie rozumiem zatem dlaczego klientom jednego z banków pojawia się wiadomość w serwisie transakcyjnym o treści TEST i tytule TEST?.
mbank-wiadomosc-test
Zatem albo to są testy przeprowadzane na produkcyjnej instancji (wstyd!), albo jest to ślad sprawdzenia podatności przez jakiegoś włamywacza.
Dysponuję kompletnym zrzutem wykonanym dziś, o godzinie 20:07.

Prymitywne oszustwo

Aby internetowe oszustwo rozpowszechniane pocztą elektroniczną się udało, wiadomość musi być napisana na tyle dobrze, by ludzie, którzy to przeczytają, nie wyśmiali nadawcy. Nie zawsze cyberprzestępcom się to udaje.
Do przepastnej skrzynki na redakcyjnym serwerze wpadła poniższa wiadomość:
zrzut_ekranu-Re: Z biurka: Pan Ezekiel O. Aadland

Sa to informacje, które musialy byc potwierdzone przez Ciebie.
1. pelne dane konta bankowego
2. Twój Bezposredni komórkowy lub o ffice telefon do Ciebie
3. Twój adres lokalizacji
4. Twoje imie i nazwisko

Wreszcie, sa zobowiazane do potwierdzenia bezposrednio do mnie powyzsze informacje pozwalaja mi uzywac go do przetwarzania rachunek platnosci.

Twoja szybka reakcja jest najbardziej cenione; wszystkie Twoje odpowiedzi powinny byc kierowane za posrednictwem naszego alternatywnego adresu e-mail do natychmiastowej pomocy dzialu kontroli kredytowej.

Dziekujemy za wzajemnej wspólpracy.
Pan. Ezekiel O. Aadland
Vice Chairman, Director, Credit /Telex Department.

Tym razem oszustwo się raczej nie uda. Język polski jest nadal zbyt trudny dla automatycznych tłumaczy.

Niebezpieczne karty zbliżeniowe – ciąg dalszy

Zaintrygowany dalszym rozwojem dyskusji na temat bezpieczeństwa zbliżeniowych kart płatniczych, postanowiłem przyjrzeć się dokładniej temu, co można znaleźć w Internecie na temat tych kart. Cały ubiegły tydzień byłem na targach CeBIT, skąd z Piotrem Waszczukiem pisaliśmy reportaż w formie bloga. Teraz mogę wrócić do tematu bezpieczeństwa naszych portfeli elektronicznych. Wyniki są zatrważające. Przedstawię je w punktach:

  1. Konstrukcja zabezpieczeń zbliżeniowych rozliczeń karty Visa jest słabsza niż początkowo sądziłem. Ponieważ standard nie przewiduje autoryzacji każdej transakcji online, można jedynie liczyć na to, że w końcu bank zdecyduje się na wniosek klientów na wyłączenie obsługi modułu zbliżeniowego do transakcji. Jedynym wyjątkiem jest standard MasterCard, gdzie bank może (ale nie musi) włączyć obowiązek autoryzacji online. Niektóre banki to potrafią (HSBC), inne nie, jeszcze inne nie widzą w ogóle problemu (Pekao S.A.). Z kolei mBank twierdzi, że może wymusić autoryzację online zarówno na Visach, jak i Mastercardach, ale jak dotąd mu się to na mojej karcie nie udało.
  2. Dla mikroprocesora na karcie moduł NFC jest jednym z interfejsów, a zatem wystarczy zmiana w aplikacji Java (wszystkie polskie karty są kartami Java, jak widać Gemalto i Oberthur mają bardzo silne lobby), by wyłączyć obsługę albo parametryzować ją. Zmiana kodu na karcie wymaga recertyfikacji karty, a zatem kolejnych opłat (źródło – materiały firmy Hitachi ID, rozmowa z p. Tadeuszem Woszczyńskim). Zmiany na karcie muszą być wgrane przez bankomat albo terminal kart płatniczych w stykowej transakcji.
  3. Niestety zmiany, o których mowa, mogą być wprowadzone tylko w niektórych urządzeniach i nigdy nie wiadomo w których. Obowiązuje zatem taka procedura:
    1. klient dzwoni do centrum obsługi klienta, gdzie najpierw mówią, że nie da się wyłączyć paywave’a
    2. ponieważ klient – w tym przypadku ja – doskonale wie, że ten wynalazek da się wyłączyć, proponują wymuszenie wszystkich transakcji jako autoryzowanych online. To tylko obejście problemu, ale powiedzmy, że w dostateczny sposób zmniejsza ryzyko. Pozostaje problem płatności w sklepach sieci Rossman, które mają terminale ustawione na autoryzację offline.
    3. bank mówi, że wprowadzi odpowiednie zmiany następnego dnia i prosi o wykonanie jednej transakcji stykowej,
    4. klient idzie do bankomatu Euronet (bezpłatna sieć dla użytkowników mBanku),
    5. okazuje się, że ustawienie nie zostało wgrane na kartę, bo „bankomat tego nie potrafił”,
    6. kolejne transakcje w czterech różnych urządzeniach w różnych miastach przynoszą identyczny skutek. Kolejne transakcje w innych krajach – efekt ten sam.
    7. bank oczywiście nie informuje o tym, że wyłączenie transakcji bezstykowych jest tak skomplikowane, bo nawet nie wie który bankomat potrafi wgrać zmiany na kartę.
    8. w razie kradzieży karty, złodziej dokonuje mnóstwa transakcji offline, obciążenie schodzi na konto bez żadnego ostrzeżenia i blokady, powodując niedozwolony debet, od którego bank natychmiast pobiera karne odsetki i opłaty. Psuje się przy okazji historia kredytowa klienta. Zastrzeżenie karty nie powoduje zablokowania takich transakcji, jedynie ułatwia odzyskanie zabranych przez bank i złodzieja pieniędzy. Ale kary i opłaty nadal zostają. Przykłady można znaleźć, blog pana Samcika jest bardzo dobrym drogowskazem.

    skutek – klient zniechęca się do banku. Wcale mnie to nie dziwi. Bank dla mnie nigdy nie był instytucją zaufania, a raczej kontrahentem takim, jak sklep z fałszywym sprzedawcą, który musi zachować pozory ale w głębi duszy chce mnie orżnąć, najlepiej w białych rękawiczkach. To nie jest paranoja, to jest praktyka polskich banków i moje doświadczenie. Wystarczy poczytać na forach.

  4. Moduł NFC jest o wiele groźniejszy, gdyż umożliwia odczytanie z karty nie tylko jej numeru i daty ważności, ale także kodu CVV. Kto nie wierzy, niech obejrzy ten screen z programu NFCProxy podczas odczytu przedpłaconej karty (stąd nazwa VALUED CARDHOLDER, mam taką samą kartę, kupioną w Walgreensie w Vegas za 20 dolarów, by jak najmniej korzystać z mojej karty kredytowej za granicą).
  5. Nie wspominam o takich atakach, jak relay, czyli odczytanie cudzej karty i kupno np. biletu na cudzy koszt, bo wymaga to nieco więcej przygotowań, potrzebne są dwa telefony itp. Nie znaczy, że się nie da – pokaz transakcji odbył się na konferencji Defcon, a bardzo dobrą prezentację NFC Hacking można znaleźć tu. Dzięki Haya za link w komentarzu.
  6. Oto schemat ataku:

  7. Można kupić ubezpieczenie, ale nie obejmuje ono opłat ani innych obciążeń. Czyli w każdym przypadku okradziona osoba będzie stratna. Jest to gorsze niż gotówka, bo jeśli mam w portfelu 50zł, to złodziej nie ukradnie mi więcej. A notowaliśmy przykłady fraudów na kilka tysięcy złotych, wszystko za pomocą NFC.

Widzę zatem tylko dwa rozwiązania
– Albo bank przejmuje na siebie odpowiedzialność za wszystkie transakcje zbliżeniowe od momentu zastrzeżenia karty i zobowiązuje się do niepobierania żadnych opłat ani kar za ewentualne saldo debetowe spowodowane fraudami. Mówiąc krótko – takie transakcje od zgłoszenia nie będą obciążać konta klienta.
– Albo bank mówi klientowi w jasny sposób o ryzyku związanym z płatnościami zbliżeniowymi i ewentualnie daje możliwość WŁĄCZENIA opcji zbliżeniowej.

Polacy mają to do siebie, że dają sobie radę nawet z bardzo nieprzyjaznymi działaniami obcych korporacji. Zatem instrukcja „wyłączania” modułu zbliżeniowego przez przecięcie ścieżek jest nadal na miejscu.

Żeby nie być gołosłownym, zacytuję fragment wypowiedzi jednego z badaczy, który zajął się tematem kart zbliżeniowych:

Test, który przeprowadziłem wykonałem przy użyciu telefonu Samsung Nexus S z wbudowanym czipem NFC opartym na kontrolerze NXP PN544. Użyłem dosyć popularnej aplikacji androidowej „NFC TagInfo”, która oprócz sprawnej prezentacji różnych formatów informacji odczytywanej z karty potrafi zrobić „dumpa” (czyli zrzut – przyp.red.) pamięci kart Mifare Classic 1K, jeżeli posiada się oczywiście klucze szyfrujące.

Prawdopodobnie nie jest to dla Pana nowość, ale większość bankowych kart zbliżeniowych na rynku działa w trybie emulacji Mifare 1K, czyli zachowuje się jak karta RFID prezentująca zawartość pamięci o rozmiarze 1KB. Ujmę to kolokwialnie: „pół biedy” jeżeli taka karta jest zabezpieczona 48-bitowym kluczem Crypto1 (algorytm i tak został złamany jakiś czas temu), niestety w przypadku karty zbliżeniowej Alior Banku klucze te nie zostały ustawione i możliwe jest odczytanie wszystkich sektorów karty a co za tym idzie zrobienie kopii, która odpowiada terminalowi taką samą zawartością jak oryginalna karta, co w przypadku operacji offline’owych wiemy do czego może prowadzić.

W przypadku bardziej zaawansowanych kart, komunikacja nie sprowadza się tylko do prezentacji obrazu pamięci karty, ale ma miejsce podobnie jak w karcie SmartCard/Sim komunikacja z aplikacjami karty w standardzie ISO/IEC 1444-3 – ISO/IEC 7816-4. Przykładowe aplikacje to: PSE – Payment System Enviroment, PPSE – Proximity Payment System Enviroment.

Wykorzystanie rozszerzonych aplikacji leży jednak w gestii terminali dostępowych, a z tym może być różnie. Biorąc pod uwagę, że Polska jest teraz poligonem płatności zbliżeniowych nie zakładałbym, że obecnie stosowane terminale korzystają z w pełni bezpiecznych rozwiązań.

Dziękuję przy okazji anonimowej osobie, która przysłała mi na skrzynkę bardzo ważny materiał związany z bezpieczeństwem w zagranicznych instytucjach RP. Napiszemy o tym w poniedziałek po południu, jak tylko uzyskam odpowiedź odpowiedniego Rzecznika Prasowego.

Tagi: , , , , , , ,

Niebezpieczne karty zbliżeniowe

Dostaję pytania od ludzi zaniepokojonych przypadkami nieautoryzowanych transakcji przeprowadzanych skradzionymi kartami zbliżeniowymi. Nie ukrywam, że problem jest dość poważny, bo w przypadku kradzieży karty Visa z opcją zbliżeniową istniejąca technologia praktycznie nie chroni przed nadużyciami.
Mechanizm jest taki:

  1. złodziej kradnie kartę,
  2. złodziej lub paser znajduje terminal zbliżeniowy, najlepiej niepołączony z systemem (takimi terminalami są niektóre automaty sprzedaży biletów),
  3. złodziej realizuje wielokrotnie drobne transakcje, maksymalnie po 49zł każda,
  4. ponieważ transakcje nie są autoryzowane online, w praktyce nie ma możliwości zadziałania żadnego z ograniczeń, ani ilościowego, ani kwotowego (sprawdziłem osobiście),
  5. transakcje nie pojawiają się w blokadach, gdyż żadna blokada nie jest zakładana – transakcja jest księgowana w momencie spływu informacji z terminala płatniczego, co następuje najczęściej wieczorem. Klient w najlepszym wypadku widzi ją następnego dnia.
  6. odszkodowanie z banku jest bardzo, ale to bardzo trudne do uzyskania, pojawia się problem udziału własnego (zazwyczaj 150 Euro). W wielu bankach można kupić ubezpieczenie karty płatniczej, ale jest to jedynie obejście problemu kosztem klienta, a nie podwyższenie bezpieczeństwa samych transakcji,
  7. złodziej jest praktycznie bezkarny, gdyż nielegalne transakcje są realizowane na niewielką kwotę, a wykrywalność takich przestępstw jest niemalże zerowa. Niektórych ludzie nawet nie zgłaszają, gdyż nie wierzą w schwytanie złodzieja i odzyskanie pieniędzy.

Bardzo niewiele banków wydających karty MasterCard Paypass decyduje się na włączenie flagi wymuszającej za każdym razem uwierzytelnienie on-line, jeśli mnie pamięć nie myli, w kartach Visa Paywave w ogóle nie ma opcji wymuszenia uwierzytelnienia online.

Dlaczego jest to niebezpieczna opcja?

Bo nie działa żadne z popularnych zabezpieczeń, takich jak:

  1. kod PIN,
  2. kontrola online, porównanie z listą kart zastrzeżonych,
  3. limity ilościowe transakcji bezgotówkowych,
  4. limity kwotowe jednorazowe i dzienne,
  5. powiadomienie o nowych transakcjach na karcie płatniczej przez wiadomości SMS,
  6. wypłata tylko do wysokości salda (można nawet w ten sposób zrobić sobie niedozwolony debet, co skutkuje kosztownymi karami i automatycznie psuje historię kredytową klienta),
  7. detekcja nadużyć działająca na zasadzie geolokalizacji (jeśli ktoś realizuje transakcje z paskiem magnetycznym w Warszawie i 15 minut później bezstykową w Krakowie, to oznacza, że co najmniej jedna z nich jest fraudem),
  8. inne metody wykrywania fraudów stosowane czasami przez banki.

Po staremu

Jedynym sposobem na poprawę bezpieczeństwa własnych pieniędzy jest wybranie karty bez opcji zbliżeniowej (prawie niemożliwe, dziś banki forsują nowy standard) lub wyłączenie opcji bezstykowej. Niestety dla klienta „nie ma możliwości wyłączenia takiej opcji” przez bank (sprawdzałem w obsłudze klienta w mBanku), a zatem należy kartę w taki sposób uszkodzić, by mikroprocesor odpowiedzialny za transakcje kontaktowe działał normalnie, ale transakcje bezstykowe nie były realizowane. Należy zatem uszkodzić antenę, przecinając kartę w odpowiednio wybranym miejscu. Na poniższych zdjęciach przedstawiam dwie karty płatnicze razem z oznaczonym na czerwono miejscem delikatnego cięcia (skalpel, żyletka). Klik powiększa zdjęcie.


Anteną w karcie bezstykowej jest zwój z kilku linii z przewodzącego materiału. Aby zobaczyć jak ułożona jest antena w twojej karcie, użyj bardzo silnego światła. Ja skorzystałem z lampy metalohalogenkowej o mocy 150W (12,5 tysiąca lumenów) oraz kartonowej przesłony.

Zaufanie do banku? Wolne żarty!

Dopóki bank nie będzie obligatoryjnie zmuszony do tego, by bez żadnego dodatkowego ubezpieczenia brał na siebie odpowiedzialność za wszystkie transakcje zbliżeniowe od zgłoszenia kradzieży, nie przyjmuję żadnych argumentów związanych z rzekomym „wystarczającym” zabezpieczeniem zbliżeniowych kart płatniczych. Problem dałoby się bardzo prosto obejść przez kontrolę online każdej transakcji, nawet jeśli byłaby zrealizowana bezstykowo, bez kodu PIN. Transakcje odbywają się wtedy nieco wolniej, ale działają wszystkie wymienione wyżej zabezpieczenia poza pierwszym. Można także wymusić uwierzytelnienie kodem PIN w co drugiej transakcji, dzięki czemu złodziejowi udałoby się zrealizować tylko jedną „lewą” transakcję.

Nie przyjmuję również argumentów, że nie można wyłączyć opcji zbliżeniowej na życzenie klienta. Można, wystarczy zablokować tę aplikację w kartach Gemalto, technicznie jest to możliwe nawet w bankomacie, na życzenie klienta, tak samo, jak zmiana kodu PIN.
Z niecierpliwością oczekuję porządnie zrealizowanych kart na bezpiecznej platformie, takiej jak na przykład Multos.

Zagadnieniom bezpieczeństwa transakcji kartami płatniczymi poświęciliśmy niejeden artykuł, na temat kart Multos pisaliśmy w CW03/2010, wspominaliśmy je także przy okazji projektu nowego dowodu osobistego (CW22/2011). Szczegóły od strony konsumenta można przeczytać w blogu Macieja Samcika http://samcik.blox.pl/2013/02/Zblizeniowa-zalamka-78-zlodziejskich-transakcji.html.

Tagi: , , ,