Jeśli chcecie mnie wesprzeć to zapraszam do kupna mojego poradnika "Jakim jesteś Makiem?".

NFC i Paypass – (nie)bezpieczene zakupy

· Wojtek Pietrusiewicz · 37 komentarzy

Wyborcza.biz dzisiaj opublikowała artykuł Macieja Bednarka na temat płatności zbliżeniowych w Polsce.

Nie byłoby to możliwe, gdyby nie pojawienie się w bankowości technologii zbliżeniowej, w skrócie NFC (ang. Near Field Communication), w której do kontaktu między kartą bankową a czytnikiem wykorzystuje się fale radiowe. Dosłownie – karta ma wbudowaną miniantenę. Wcale nie musi to być karta bankowa. Z NFC korzystają codziennie miliony pracowników na całym świecie – karty wstępu do biur i fabryk działają w oparciu o technologię bezstykową.

Jak tylko usłyszałem o PayPass to zainteresowałem się, jak prawdziwy geek, tematem. W końcu to szybsze i wygodniejsze …

Czy to bezpieczne? Spece od nowej technologii przekonują, że tak. Jeśli ktoś zaufał kartom zbliżeniowym, nie ma powodów, by nie ufać karcie w telefonie – zabezpieczenia są praktycznie te same.

No właśnie … Sławek Durasiewicz napisał na ten temat świetny felieton pt. „Wynalazki, które doprowadzają do grobu” w iMagazine 11/2011 – możecie pobrać sobie numer archiwalny i go przeczytać. Pisze w nim:

Bo, oto drodzy czytelnicy, najpierw pojawiła się informacja Visy czy Master Card, nie pamiętam, że operacje płatnicze wykonywane kartami zbliżeniowymi są bezpieczne. Zastanowiło mnie to troszeczkę. Jeżeli taka informacja pojawia się ni z tego ni z owego może to oznaczać, że coś jest na rzeczy. Kilka dni później okazało się, że owe operacje wcale bezpieczne nie są, a operatorzy kart zbliżeniowych wypowiedziami o bezpieczeństwie tworzą tylko obiegową opinię, a nie opierają się na faktach. Bowiem obiegowa opinia łatwiej wchodzi do głowy przeciętnego zjadacza chleba i użytkownika karty płatniczej tak jak szeroko znane legendy miejskie, których autentyczności się nie podważa, ale jak im się przyjrzeć z bliska to… szkoda gadać.

Jednak poza granicami naszego kraju, co ciekawe u nas to nie ma miejsca, proceder sczytywania kart płatniczych zbliżeniowych trwa w najlepsze. A dzieje się to tak. Osobnik ze schowanym w kieszeni skanerem przedziera się przez zatłoczone metro autobus czy inny tramwaj i „łowi karty”. Połów wymaga około dziesięciu centymetrów odległości od łowionego obiektu, więc tłok połowom sprzyja. Następnie klonuje kartę i posługuje się nią w drobnych zakupach. Takie tam pięćdziesiąt złotych czy jego odpowiednik nie zawsze będzie mogło być zauważone. Ba, w przypadku zarzutów prokuratorskich sprawa na pewno zostanie umorzona. Całe lata można chociażby codziennie stołować się na czyjś rachunek nie będąc zauważonym. Fajnie, co?

Zainteresowałem się tym tematem na tyle, że udałem się do swojego banku zapytać o procedury bezpieczeństwa oraz ewentualne reklamowanie płatności zbliżeniowych, które nie były potwierdzone kodem PIN1 i nie były wykonane przez nas – czyli w przypadku skopiowania karty. Okazuje się, że praktycznie nie ma żadnej możliwości pozytywnego rozpatrzenia takiej reklamacji.

W ogóle za całym PayPassem kryje się niezła zadyma – obejrzyjcie po prostu poniższy film. Jeśli wciśniecie „CC” to pojawią się też polskie napisy.

  1. Do 50 PLN przeważnie.

Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.

  • sq2frd

    Karty paypass w metalowe etui na karty i po problemie. Można też „po chamsku” zawinąć folią aluminiową ;-)

  • w temacie o czytaniu danych z rfid :)

    http://www.youtube.com/watch?feature=player_embedded&v=lLAFhTjsQHw

    a na alibabie już się pojawiają czytniki :D
    http://www.alibaba.com/showroom/remote-rfid-reader.html

  • czyli zamiast portfeli skórkowych przesiadamy się na ołowiane :D

  • A telefon? :)

  • Co ciekawe (i dla mnie niezrozumiałe), część banków nie wydaje już „normalnych” kart płatniczych. Nie wiem czy nie da się przypadkiem zablokować transakcji bez PINu na poziomie systemu transakcyjnego, ale tak czy inaczej wolałbym mieć wybór pomiędzy kartą z i bez PayPass/payWave.

  • grafmarr

    Ciekawe, czy ktoś przeprowadzał testy z jakiej faktycznie odległości można poprawnie odczytać dane z karty? Może to przecież być w określonych okolicznościach znacznie więcej niż 10 cm, co znakomicie ułatwi ten proceder. Technika kradzieży natychmiast się wyposaża w najnowsze zdobycze technologii w tym zakresie i to co kilka miesięcy temu było aktualne w kwestii zabezpieczeń, dzisiaj może być zupełnie nieskuteczne, czyli biorąc taką kartę np. na 2 lata nie możemy mieć żadnej pewności co do tego o czym zapewnia nas bank w momencie podpisywania umowy. W zasadzie podpisujemy cyrograf na siebie, bo bank umywa od wszystkiego ręce.

  • też do metalowego etui, dodatkowy plus – odcięcie się od tych wszystkich natrętnych marketerów ;)

  • zawsze pozostaje przecięcie anteny – czyli tzw downgrade do karty bez paypassa

  • Haha!

  • PawelGrabowski

    Na pewno jest możliwość „deaktywowania” płatności paypass/paywave. Banki nie mówią o tym otwarcie i nie proponują tego, jednak jeżeli będziesz wystarczająco zdeterminowany to Ci się uda.

  • PawelGrabowski

    Największy problem z Paypass/paywave jest przy kartach kredytowych (przy części transakcji nie jest nawiązywane połączenie z bankiem) w takim wypadku nie ważne jakie są ustalone limity pojedynczych płatności, bądź dziennej sumy, można dokonywać płatności zgodnie ze standardowymi ustawieniami (pojedyncza płatność do 50 zł, bez limitu dziennego)

  • Czytniki RFID nie są niczym nowym – korzysta się z nich np. do odczytywania cen towarów, kontroli dostępu w biurowcach, znakowania zwierząt i do całej masy innych rzeczy.

  • W PKO BP nie da się.

  • No właśnie – dla mnie niezrozumiałe jest tak intensywne promowanie tej technologii przez banki. Rozumiem wprowadzanie nowych rzeczy, ale jako dodatkowe, a nie jedyne dostępne opcje.

  • PawelGrabowski

    W citi i mbank można (na tej podstawie pisałem)

  • Silne lobby ze strony Visa/Mastercard itp.

  • Możesz rozwinąć myśl i podać więcej szczegółów? Mój bank na szczęście oferuje jeszcze normalne karty, ale PKO BP ma już tylko PayPassy.

  • PawelGrabowski

    W citi na wyraźną prośbę klienta mogą wyłączyć możliwość dokonywania płatności bezstykowych przy pomocy karty, pomimo iż dana karta jest wyposażona z moduł NFC. Dzieje się to po stronie banku – nie mam pewności na ile jest to skuteczne w przypadku kart kredytowych (ze względu na możliwość dokonywania transakcji offline – bez komunikacji z bankiem). W przypadku mbanku można ustalić limit 0 zł na płatności paypass, czyli sytuacja bardzo podobna. O ile w przypadku konta osobistego nie mam powodu aby nie wierzyć w deaktywację (AFAIK wszystkie płatności z konta są transakcjami online, czyli terminal musi połączyć się z bankiem w celu autoryzacji płatności), o tyle sytuacja z kartami kredytowymi jest dużo trudniejsza (z uwagi na płatności offline). Przy kredytówkach praktycznie nie można ustanowić limitów (np dziennych) i dlatego mam duże wątpliwości jeśli chodzi o skuteczność takiej deaktywacji.

  • JanuszBossy

    Ja osobiście sprawdzałem jak to dokładnie działa. Czytniki NFC, które można nabyć w sklepach działają z odległości 5-15cm i nie udało mi się znaleźć żadnego, który miałby większy zasięg. Jednak nie to jest problemem, a cały mechanizm NFC (który nie został zaprojektowany do płatności) – odległość z jakiej można odczytać dane zależy tylko i wyłącznie od czytnika – im mocniejsza antena tym większy będzie miała zasięg. Widziałem w internecie filmy, gdzie ludzie montowali anteny w drzwi obrotowe w centrach handlowych i czytali wszystkie karty, które przez nie przechodziły.

    Natomiast są dwa bardzo proste sposoby zabezpieczenia się przed kradzieżą danych z karty:
    1. Kupić specjalny pokrowiec na kartę, który zablokuje sygnał do niej dochodzacy (koszt około 5-10zł)
    2. Mieć przynajmniej 2 karty i trzymać je w portfelu jak najbliżej siebie (najlepiej w jednej przegródce) – osobiście sprawdzałem i czytniki mają ogromne problemy z odczytaniem karty jeśli druga jest w pobliżu. Nie wiem czy znajdzie się ktoś mądry, kto obejdzie ten problem, ale ja wymiękłem próbując sczytać 2 karty na raz. Szum w eterze jest tak duży, że nie da się dojść do tego, ile jest kart, ani która informacja przyszła z której karty.

  • JanuszBossy

    Płacenie telefonem (_TELEFONEM_, nie naklejką na telefonie) to najlepsze rozwiązanie, bo wtedy sami decydujemy, kiedy NFC jest włączone i nikt nam go nie sczyta bez naszej wiedzy.

  • JanuszBossy

    Nie ma takiej opcji. Płatności zbliżeniowe poniżej kwoty 50PLN nie wymagają połączenia terminala z bankiem – wszystko dzieje się offline, więc nie ma możliwości ustawienia limitów.

  • Z tego co widziałem włączanie/wyłączanie NFC jest ukryte głęboko w ustawieniach. Trochę niewygodne rozwiązanie.

  • JanuszBossy

    To wszystko zależy od telefonu – na Androidzie nie ma szans na bezpieczeństwo – możesz hackować telefony prostymi tagami NFC, które otwierają strony z Malwarem dla Androida, a użytkownik nic nie wie.

    Mi chodzi o proste rozwiązanie, które powinno też być w kartach: kiedy chcę zapłacić zbliżeniowo muszę aktywnie dać znać, że NFC ma zacząć działać (lub potwierdzić akcję). Przykład:
    1. Płatność telefonem – wyciągam telefon, odpalam aplikację PayPass/PayWave, która aktywuje chip NFC, przykładam telefon, wyłączam aplikację, co dezaktywuje chip NFC.
    2. Płatność kartą – tutaj jest trochę trudniej, ale do wykonania. Układ anteny zostawiamy otwarty i obie końcówki wykładamy na powierzchnię karty, dopiero spięcie końcówek (złapanie karty w danym miejscu) powoduje zamknięcie układu i antena zaczyna działać. Nie wiem czy jest to wykonalne biorąc pod uwagę mikroskopijną naturę prądów, ale powinno dać się to zrobić.

  • PawelGrabowski

    Na pewno nie wszystkie są offline. Jakiś czas temu przy próbie płatności via paypass otrzymałem odmowę (brak środków na rachunku) :). Jeżeli się przyjrzysz co jest wyświetlane na terminalu to zobaczysz, że jeden z etapów to „autoryzacja”, dodatkowo gdyby płatności były realizowane offline to paragon drukowałby się natychmiastowo, a nie po jakimś czasie. / – tak mi się wydaje, w tej kwestii są to moje domysły, nie potwierdzone u źródła. Jeżeli masz jakieś inne informacje na ten temat to chętnie też poczytam :)

  • JanuszBossy

    Ogólnie to wszystko trzyma się na taśmę klejącą i zarówno Visa jak i MasterCard pozwalają na wszystko. Przy płaceniu kartą kredytową przez internet musisz podawać numer karty, kod CVV2, datę ważności karty, imię, nazwisko, adres i cholera wie co jeszcze, ale Visa jak i MC przetworzą poprawnie płatność mając tylko numer karty i CVV2 lub datę wygaśnięcia. Wszystkie dodatkowe pola mogą być użyte i będą sprawdzone, ale nie muszą!

    Jeśli chodzi o płatności zbliżeniowe, to bajer jest ten sam – można autoryzować, ale nie jest to konieczne. Co lepsze sklepom wciskają terminale bez autoryzowania płatności, bo one „działają” zawsze nawet jak nie ma internetu czy telefonu w danym momencie.

    Ja nie wiem kto to wszystko wymyślił, ale to są sami geniusze!

    P.S. Taka ciekawostka, bo ostatnio sam to robiłem na zlecenie jednego klienta. Jeśli podaliście gdziekolwiek raz numer swojej karty kredytowej, to ten ktoś może ściągać kasę z Waszego konta nawet nie mając już Waszego numeru karty. Istnieje coś takiego jak Cross Reference Transaction, które pozwala na obciążanie karty na podstawie poprzedniej transakcji. W skrócie:
    1. Podajesz namiary na kartę.
    2. Wysyłamy je do operatora do autoryzacji i jeśli wszystko jest OK to dostajemy w wyniku Reference Number (identyfikator transakcji).
    3. W dowolnym momencie od tej chwili mogę, posługując się tym identyfikatorem, dodać nową transakcję powiązaną z tą pierwszą i obciążać kartę w kółko.

    Czaderskie, nie? :)

  • PawelGrabowski

    „trochę” to przerażające…

  • Morgh

    1) w PL transakcje zbliżeniowe powyżej 50 zł wymagają autoryzacji pinem lub podpisem. Ponadto banki mają własne limity ilościowe (liczba transakcji) lub kwotowe (wartość transakcji), po przekroczeniu których wymagana jest autoryzacja (nawet jeżeli wartość transakcji będzie poniżej 50 zł). Czyli nie można płacić bez PIN/podpisu w nieskończoność.

    2) jedyne dane, które można skopiować z karty to data ważności i numer karty, ale na ich podstawie nie można przeprowadzić transakcji ani stworzyć klonu karty.

    3) w USA do bodajże 25 dolców można płacić bez podpisywania się (PIN w Stanach to rzadkość) i nikt nie robi z tego problemu.

  • JanuszBossy

    ad. 1. Ciekawe jak to działa jak nie jest wymagane połączenie z bankiem?
    ad. 2. Można skopiować wszystko co karta ma w sobie, czyli można zrobić kopię karty.
    ad. 3. W USA ludzie mają problem z dodawaniem, a co dopiero z czymś tak „magicznym” :)

  • Morgh

    Ad 1. Limity są zaprogramowane na karcie, więc nie wymagają połączenia z bankiem
    Ad 2. Skopiować (sklonować) można kartę np. do biblioteki, parkingu, ale karta płatnicza jest zabezpieczona w bardziej zaawansowany sposób. http://samcik.blox.pl/2011/11/Wielkie-straszenie-kartami-zblizeniowymi-czyli.html

  • bartekchyba

    1) Gwoli ścisłości sczytanie karty nie pozwoli dokonywanie płatności duplikatem karty, bo w czasie dokonywanie płatności nawiązywane jest szyfrowane połączenie, a autoryzacja dokonywana jest poprzez wykonania pewnego działania na chipie karty i zwracany jest jego wynik.
    2) Co do umorzania postępowań – właśnie trafił do sądu akt oskarżenia przeciwko osobie, która próbowała skorzystać z moich „znalezionych” kart – próba płatności zbliżeniowej na 50 zł, na moje szczęście karty były już przyblokowane.

  • Fajnie, ale jak w takim razie kopiują karty i nimi płacą? :-)

  • Morgh

    Trudno mi się odnosić do zagranicznych filmów na YT, bo to trochę jak szukanie tam dowodów na istnienie UFO – jestem pewien że się znajdą ;-) Wiem natomiast z naszego podwórka, że skimming (skopiowanie zawartości paska magnetycznego) jest wciąż relatywnie częstym przestępstwem, ale nie ma dowodów, że komuś udało się skutecznie sklonować kartę zbliżeniową i następnie dokonać nią transakcji. Polecam artykuł na blogu Maćka Samcika – tam jeden z jego czytelników w jasny sposób wyjaśnia, dlaczego nie jest obecnie możliwe skopiowanie karty umożliwiające dokonanie jej klonem płatności. http://tinyurl.com/9f7m9gv

  • Ja to rozumiem i czytałem. Jednocześnie na zachodzie są już w tej tematyce przestępstwa i sprawy sądowe.

  • sq2frd

    Czemu? Moje etui jest skórzane, a wewnątrz metalowe – niby dla takich kart właśnie ;)

  • sq2frd

    No tu Wojtku jest większy problem hi ;)

  • ano nie są niczym nowym. Na dwóch pierwszych filmach ładnie jest pokazane jak czytać takie karty z rfid za pomocą ultrabooka i właśnie takich czytników o których piszesz :D

  • Pingback: Kradzież bezdotykowa – PayPass nie jest bezpieczny również w Polsce | Makowe ABC()