NFC i Paypass – (nie)bezpieczene zakupy

Wyborcza.biz dzisiaj opublikowała artykuł Macieja Bednarka na temat płatności zbliżeniowych w Polsce.

Nie byłoby to możliwe, gdyby nie pojawienie się w bankowości technologii zbliżeniowej, w skrócie NFC (ang. Near Field Communication), w której do kontaktu między kartą bankową a czytnikiem wykorzystuje się fale radiowe. Dosłownie – karta ma wbudowaną miniantenę. Wcale nie musi to być karta bankowa. Z NFC korzystają codziennie miliony pracowników na całym świecie – karty wstępu do biur i fabryk działają w oparciu o technologię bezstykową.

Jak tylko usłyszałem o PayPass to zainteresowałem się, jak prawdziwy geek, tematem. W końcu to szybsze i wygodniejsze …

Czy to bezpieczne? Spece od nowej technologii przekonują, że tak. Jeśli ktoś zaufał kartom zbliżeniowym, nie ma powodów, by nie ufać karcie w telefonie – zabezpieczenia są praktycznie te same.

No właśnie … Sławek Durasiewicz napisał na ten temat świetny felieton pt. „Wynalazki, które doprowadzają do grobu” w iMagazine 11/2011 – możecie pobrać sobie numer archiwalny i go przeczytać. Pisze w nim:

Bo, oto drodzy czytelnicy, najpierw pojawiła się informacja Visy czy Master Card, nie pamiętam, że operacje płatnicze wykonywane kartami zbliżeniowymi są bezpieczne. Zastanowiło mnie to troszeczkę. Jeżeli taka informacja pojawia się ni z tego ni z owego może to oznaczać, że coś jest na rzeczy. Kilka dni później okazało się, że owe operacje wcale bezpieczne nie są, a operatorzy kart zbliżeniowych wypowiedziami o bezpieczeństwie tworzą tylko obiegową opinię, a nie opierają się na faktach. Bowiem obiegowa opinia łatwiej wchodzi do głowy przeciętnego zjadacza chleba i użytkownika karty płatniczej tak jak szeroko znane legendy miejskie, których autentyczności się nie podważa, ale jak im się przyjrzeć z bliska to… szkoda gadać.

Jednak poza granicami naszego kraju, co ciekawe u nas to nie ma miejsca, proceder sczytywania kart płatniczych zbliżeniowych trwa w najlepsze. A dzieje się to tak. Osobnik ze schowanym w kieszeni skanerem przedziera się przez zatłoczone metro autobus czy inny tramwaj i „łowi karty”. Połów wymaga około dziesięciu centymetrów odległości od łowionego obiektu, więc tłok połowom sprzyja. Następnie klonuje kartę i posługuje się nią w drobnych zakupach. Takie tam pięćdziesiąt złotych czy jego odpowiednik nie zawsze będzie mogło być zauważone. Ba, w przypadku zarzutów prokuratorskich sprawa na pewno zostanie umorzona. Całe lata można chociażby codziennie stołować się na czyjś rachunek nie będąc zauważonym. Fajnie, co?

Zainteresowałem się tym tematem na tyle, że udałem się do swojego banku zapytać o procedury bezpieczeństwa oraz ewentualne reklamowanie płatności zbliżeniowych, które nie były potwierdzone kodem PIN¹ i nie były wykonane przez nas – czyli w przypadku skopiowania karty. Okazuje się, że praktycznie nie ma żadnej możliwości pozytywnego rozpatrzenia takiej reklamacji.

W ogóle za całym PayPassem kryje się niezła zadyma – obejrzyjcie po prostu poniższy film. Jeśli wciśniecie „CC” to pojawią się też polskie napisy.