Jeśli chcecie mnie wesprzeć to zapraszam do kupna mojego poradnika "Jakim jesteś Makiem?".

Kradzież bezdotykowa – PayPass nie jest bezpieczny również w Polsce →

· Wojtek Pietrusiewicz · 25 komentarzy

Maciej Samcik:

Pani Marcie skradziono kartę we wrześniu 2012 r. – Już kilka minut po kradzieży złodziej zaczął zakupy. Zanim się zorientowałam, że nie mam karty, w 24 transakcjach z mojego konta zniknęło ponad 500 zł. Złodziej kupował w Auchan, Empiku, Coffee Heaven… – opowiada pani Marta, klientka mBanku. Bank poinformował, że “w świetle obowiązujących przepisów nie może uznać reklamacji”. Powód? “W momencie dokonywania transakcji karta znajdowała się fizycznie przy terminalu i otrzymała autoryzację”.

A nie mówiłem, że proceder dotrze również do Polski? W momencie, w którym mój bank przestanie mi oferować tradycyjne karty, to ja przestanę korzystać z ich usług.

Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.

  • maryś

    Jest bardzo łatwa metoda na zabezpieczenie kart PayPassowych i PayWaveovych w portfelu. Mieć je dwie. Zaraz obok siebie. Odczyt niemożliwy. I nie potrzeba żadnych dodatkowych wynalazków. FYI ;)

    p.s. co zrobisz, jak żaden bank nie będzie miał w ofercie “zwykłych” kart? bo tak będzie, wiesz o tym?

  • Wojtek, ale problem jest gdzie indziej niż Ty mówiłeś.

    Tu tutaj nikt nie złamał protokołów, zabezpieczeń karty itp. Po prostu ją ukradł, tak samo jak może ukraść Ci gotówkę. Wiesz coś w stylu Mitnicka – “Łamałem ludzi nie hasła”. Człowiek to najsłabsze ogniwo. Jeśli by Ta Pani nie miała karty dotykowej to pewnie by miała zapisany PIN do zwykłej w portfelu.

    Inna sprawa to kwestia regulacji prawa bankowego. To musi się zmienić, aby przystawało do kart zbliżeniowych.

    Jeszcze inna sprawa to złapanie takiego złodzieja, które będzie bardzo proste. Każda kasa w Empik, Auchan itp jest monitorowana kamerami. Wystarczy zestawić zapis z kamer z czasem płacenia kartą i już wiemy kto to płacił. Zwykła Policyjna robota. 2 tygodnie po zgłoszeniu ten osobnik będzie miał zarzuty. No chyba, że pokrzywdzona nie zgłosiła sprawy na Policję bo się jej nie chciało.

  • Skarpeta. ;-)

  • maryś

    Elektroniczna! ;D

  • A po wycofaniu gotówki? ;-P

    Tymczasem są już nawet zbliżeniowe bankomaty.

  • Funkcja płacenia zblizeniowego moze byc wyłączona dla danej karty.

    Oprócz dwóch kart w portfelu swietnie zabezpieczają inne karty: legitymacja studencka, karta do komunikacji miejskiej, karty wstępu itp.

    Ja mam kartę PayPass w jednej części portfela z dokumentami bez chipów itd, a w drugiej mam wszystkie inne. Pozwala mi to na niewyciaganie karty z portfela przy płaceniu (tylko go otwieram), a przy zamkniętym portfelu karty są bardzo blisko siebie.

  • Na marginesie – coraz częściej widzę, że operacje robione w sposób klasyczny (z podaniem PINu) nie powodują zablokowania środków na koncie. Nie ważne czy z karty wyposażonej w technologię zbliżeniową czy też z klasycznej. Dopiero po kilku dniach pojawia się na koncie/karcie księgowanie operacji. IMHO to jest gigantyczna upierdliwość – utrata kontroli nad stanem konta/poziomem zadłużenia.

  • Jesteś pewna co do takiego rozwiązania z dwoma kartami ? Kiedyś do pracy się nie mogłem dostać, bo miałem dwie karty zbliżeniowe (karty unique z tego co mi się wydaje – inna technologia/chip niż w przypadku PayPass) w portfelu obok siebie – kartę do pracy i kartę na siłownie.
    Czytnik kart musi być pewien, z której karty ma ściągnąć kasę więc takie “bronienie się” wydaje mi się skuteczne. Mam w portfelu dwa PayPassy ale na urlop chce zabrać tylko jeden. Teraz zaczynam się zastanawiać.

    Później próbowałem jeszcze czegoś innego. Do zewnętrznej przegrody portfela wpakowałem folię (sreberko) spożywczą. Czytnik dostepu do pracy odczytał kartę bez problemu. Nie czuję się pogromcą mitów ale wydaje mi się że ten sposób nie działa.

  • 24 transakcje w ciągu 24h. Ciekaw jestem jakie limity dzienne pani miała dla transakcji bezgotówkowych. Standardowo jest chyba 5 lub 10.

  • Nie ma to znaczenia. Nie są przeważnie brane pod uwagę, a transakcja jest offline.

  • W przypadku reklamacji pokazujemy, że konkretnego dnia mieliśmy 20 transakcji na koncie, a limit mamy 5. Klient nie musi wiedzieć czy transakcje są offline czy online. Ustawił limit po to by się zabezpieczyć, a rozwiązania banku mają działać w/g ustawień.

  • maryś

    “Y” :D
    Jestem pewny. Wszystkie te technologie działają w oparciu o ten sam chip. Aternatywą jest etui na kartę będące klatką faradaya. Na Allegro za 5 zł.

    Swoją drogą karty w podróży to osobny wielki temat…. Kiedyś bank anlował z automatu moje transakcje (i ich próby) z dolarowej karty bo była użyta w poł.-wsch. Azji… Ale nikt nie wpadł na pomysł, że to mogłem być ja, jej użytkownik… Wszak karta dolarowa jest do użytku w Polsce… Taki offtop..

  • tomban

    “Jeszcze inna sprawa to złapanie takiego złodzieja, które będzie bardzo
    proste. Każda kasa w Empik, Auchan itp jest monitorowana kamerami.”

    Jesteś zabawny. Policja nawet nie kiwnie palcem. “Znikoma szkodliwość”. Poza tym kamery miały sens w czasach VHS – wtedy coś było widać na materiale. Odkąd wprowadzono cyfrę, ludzie ustawiają najgorszą jakość zapisu – więcej wejdzie na dysk – mniejsze koszty.

    “Jeśli by Ta Pani nie miała karty dotykowej to pewnie by miała zapisany PIN do zwykłej w portfelu.”
    Dlaczego tak uważasz i obrażasz tę kobietę? Bank powinien bez mrugnięcia oddać kasę na konto.
    Tylko, że banki tego nie robią. Dlatego nigdy nie będę miał zbliżeniówki.

  • Dwie karty do jednego konta? Raczej mało wygodne i nie potrzebne. No chyba że masz kilka kont bankowych ale to chyba mija się z celem.

  • Co nie zmienia faktu że trzeba teraz dochodzić swoich praw i wyjaśniać co się stało, chodzić do oddziału banku, składać oświadczenia i inne papiery wypełniać. Lepszym zabezpieczeniem jest PIN i kilkanaście sekund oczekiwania na potwierdzenie transakcji prze bank. Na prawdę czy tak ciężko jest postać 60 s przy kasie czekając na realizację transakcji?

  • adrian

    “Pani Marcie skradziono kartę…” – wszystko na temat – sam posiadasz karty kredytowe, a do zakupów w necie wystarczy numer i security code, więc na jedno by wyszło, a nie piszesz, że to złe ;-)

    Ja coraz bardziej doceniam wygodę płacenia kartą zbliżeniową – coraz więcej vendomatów, kas z biletami itp. obsługujących takie płatności i zapominam o odwiecznym problemie z drobnymi/resztą itp.

  • 30s czekania razy 5 osób przedemną w kolejce to jest 2,5 minuty. 10 zakupów w ciągu miesiąca to jest 25 minut. W ciągu roku wychodzi nam 5 godzin. Mam karty ponad rok, jeszcze żadnej wtopy nie miałem. Szkoda mi tych 5h rocznie. Chciałbym aby więcej ludzi posługiwało się tymi kartami.

  • MarioFraszczak

    Nie no błagam Wojtku … tytuł jest przewrotny rodem z wp.pl i ma sie nijak do problemów z zabezpieczeniem kart. Ty piszesz o zwykłej kradzieży karty …

  • Tak samo można powiedzieć o stanie w korkach czy czekania w kolejce do okienka w urzędzie. Takie argumenty do mnie nie przemawiają.

  • Krzysztof Świątek

    mało wiesz o cyfrowym monitoringu, klienci wymagając nagrań ful hd gdzie dokładnie widać twarz i zazwyczaj takie detale są wymagane przy zamówieniu systemu monitoringu

  • tomban

    “mało wiesz o cyfrowym monitoringu”

    Pewnie tak, w końcu tylko współpracuję z policją w takich sprawach. ;)

  • Marcin Dmochowski

    Aha, to dlatego zawsze jak pokazują ujęcia z monitoringu, to można co najwyżej rozpoznać kolor ubrania a czasami nawet płeć? :p

  • Krzysztof Świątek

    a ja je projektuję i buduję więc możemy sobie pogadać, jeśli ktoś oszczędza na takim systemie każdą zł to efekty są takie jakie są. To tak jak z każdym innym zabezpieczeniem, te porządne kosztują 10x więcej ale się sprawdzają. Proponuję sprawdzić jakie wymagania co do monitoringu mają stadiony,

  • tomban

    Ja piszę o praktyce i o tym, że 99% kamer rejestruje bezużyteczne śmieci. Moze stadiony bardziej dbają o takie rzeczy, ze względu na częste incydenty.

    Najbardziej lubię ruchome kamery na skrzyżowaniach. Zawsze w razie czego są obrócone nie tam gdzie trzeba. ;)

  • Linkuję do kradzieży kart. Piszę o wszystkimi problemami z tym związanymi. Czy naprawdę wszystko musi być czarne na białym?