Jeśli chcecie mnie wesprzeć to zapraszam do kupna mojego poradnika "Jakim jesteś Makiem?".

PayPass i PayWave — nie jesteś bezpieczny [uaktualniono]

· Wojtek Pietrusiewicz · 31 komentarzy

Kilka dni temu znajomy rozmawiał z policjantem zajmującym się przestępstwami związanymi z bankami i kartami płatniczymi. Opowiedział mu dokładnie jak w Polsce przebiega proceder klonowania karty za pomocą telefonu z Androidem oraz ogólnodostępnymi aplikacjami, korzystając z tymczasowych kodów autoryzacyjnych. Nie będę tutaj wchodził w szczegóły, ale generalnie jest to prostsze niż sek… budowa cepa.

Maciej Samcik niedawno opublikował kolejny artykuł z serii kradzieży i klonowania kart zbliżeniowych:

Kradzieże pieniędzy z kart płatniczych to temat, który w tym blogu co jakiś czas powraca. Niby elektroniczny pieniądz jest bezpieczny, niby system jest szczelny, ale co i rusz komuś znikają z konta pieniądze tylko dlatego, że wolał chodzić po mieście z kartą, zamiast z plikiem banknotów. ARC Rynek i Opinia właśnie opublikował badania, z których wynika, że zaufanie do bezpieczeństwa transakcji w internecie bardzo szybko w Narodzie spada.

Możecie sobie mówić co chcecie: że to jest bezpieczne, że nie da się nikogo okraść. Dla mnie to jedna wielka ściema i przykro mi to powiedzieć, ale uważam, tak osoby chwalące tę technologię będą to robiły tak długo, aż nie przytrafi się im niemiła niespodzianka, czego oczywiście nie życzę.

Stracił on 2700 zł, które wyparowały z karty, przez cały czas będącej w jego portfelu. Klient zarzeka się, że to nie on dokonał zakupu, ale bank reklamacji nie chciał uznać. Jak to możliwe?

Współczuję ludziom, które dają się bankom robić w bambuko … U Maćka możecie poczytać o najprzeróżniejszych przypadkach — polecam, bo może to niektórym z Was otworzy oczy. Powtórzę to po raz kolejny: nie bez powodu prawnicy reprezentujący największe banki w USA zakazały Myth Busters i kanałowi Discovery opublikowania swoich odkryć dotyczących płatności zbliżeniowych, RFID i tego całego „tałatajstwa.” To nie jest technologia, która jest bezpieczna.

A teraz, może mi ktoś podpowiedzieć, gdzie mogę kupić dziurkacz do karty, który skutecznie uszkadza antenę?

Uaktualniono (22:54)

Screen Shot 2013-05-13 at 22.51.03

Michałowi Gapińskiemu udało się przed chwilą zeskanować własną kartę.

Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.

  • Maciej Winiarski

    1. Jakkolwiek nie lubię wyborczej, to doceniam to, co robi pan Samcik. Wszedłem do niego raz na bloga i znalazłem wiele fascynujących treści.
    2. Jeśli „Pogromcy mitów” byli w stanie przejąć karty, to nie widzę powodu, dla którego ktoś inny nie może tego zrobić.
    3. Z tego co wynika z tych wszystkich zdarzeń nasuwa się jedn wniosek: RFID może służyć co najwyżej jako czytnik do kluczyka na basenie.

  • Buszito

    Ale po co dziurkacz? Zgadzam się, że kradzieże kasy z kart PayPass są i jest to poważny problem, jednak 90% jak nie 98% tych kradzieży odbywa się przez zeskanowanie jej w jakimś miejscu publicznym a nie przy terminalu. Jeżeli nie chcesz by Ci z kieszeni wypadały pieniądze to nosisz portfel. A jeżeli nie chcesz by Ci dane z portfela(karty) uciekały to go ekranuj. Można kupić specjalne portfele ale po co przepłacać… Zawsze można zastosować folię aluminiową i włożyć w odpowiednie miejsce by po zamknięciu portfela tworzyła swego rodzaju klatkę. Możliwe też jest zastosowanie specjalnych torebek na części elektroniczne (są znacznie trwalsze od folii) i też odpowiednia zabawa nożyczkami powinna dać zadowalający efekt. Ja stosuję pierwsze rozwiązanie. U mnie niewidoczne a bardzo skuteczne. Dzięki temu mogę bez problemu cieszyć się udogodnieniami PayPass a przy tym czuć się bezpieczniej.

  • Dla ludzi, którzy cenią sobie tę technologię: warto sprawdzić czy bank oferuje ubezpieczenie karty. Dla przykładu mBank ma ubezpieczenie „Pakiet bezpieczna karta”, który od 3.06.2013 kosztuje 3zł od każdej karty. Małym bonusem jest również ubezpieczenie gotówki wypłaconej z bankomatu i utraconej na skutek rabunku w ciągu 2h od wypłaty. Z tego co widzę, to ubezpieczenie to nie obejmuje transakcji dokonanych za pomocą zeskanowanego egzemplarza karty, a ściślej mówiąc: obejmuje tylko utratę gotówki poprzez nieuprawnione użycie UTRACONEJ przez ubezpieczonego karty. Na szczęście przed tym można się łatwo ochronić.

  • bszlachcic

    http://www.youtube.com/watch?v=znNqCraLaJw u mnie zadziałało

    nawet widać przecięte druciki :)

  • Wystarczy też mieć drugą kartę obok :) wtedy nie zadziała skanowanie – może to być karta płatnicza (jakakolwiek) albo np. karta miejska :) spróbujcie tak wtedy przejść przez bramki w metrze albo skasować bilet – wyskoczy komunikat, że tylko jedna karta na raz :) inna sprawa jeżeli ludzie biorą (nie wiem po co) naklejki zbliżeniowe i je naklejają na telefon albo portfel czy co tam sobie chcą…

    W dodatku powyżej 150 euro (czy 200? nie pamiętam) to banki odpowiadają w przypadku kradzieży i wtedy muszą zwrócić te pieniądze, nawet jak się nie posiada ubezpieczenia karty

  • Buszito

    Niestety trzymanie kilku kart RFID obok siebie nic nie da… Cwaniaki jak chcą Ciebie przeskanować to najczęściej mają lepszy sprzęt, który bez trudu rozróżni każdą z nich. Chyba maksimum to 4-6 kart… Przynajmniej to mi się obiło o uszy a raczej oczy…

  • Daj znać jak Ci zeskanują obie. ;-)

  • Nie planuję ;)

  • Maciej Winiarski

    Super, tylko nie oszukujmy sie, dla wielu ludzi 150 euro, czyli ok. 600 zł, to duża cześć ich budżetu.

  • dc

    Z tymi dwiema kartami to jest błędne myślenie. Skaner złodzieja a bramka metra działają w inny sposób. Bramka metra czy terminal odrzuca transakcję przy jakiejkolwiek anomalii, skaner zadowoli się „prawdopodobnymi” danymi. To jak z czytaniem, jak bilboard jest nieczytelny choć odrobinę to go olewasz, ale list od dziecka rozczytasz, mimo, że jest okropnie napisany.

  • Maciek

    Z 2 kartami (lub wiecej) to nie jest zabezpieczenie. Tylko proste skanery da sie oszukac. Nawet skaner przy drzwiach do biura rozroznia moj caly portfel z roznymi kartami RF.

    Ale takie rozwiazanie wydaje sie byc sensowne:
    http://allegro.pl/etui-na-karty-zblizeniowe-paypass-100-ochrony-i3241717375.html

  • cosmos_t

    Wystarczy mocna latarka, cienkopis i dremel z wiertłem 2mm. Podświetlasz od spodu, lokalizujesz punkt wyjścia anteny z chipa, stawiasz na nim kropkę i na koniec ją przewiercasz. Tyle, że jest to ingerencja nieodwracalna, a w świetle zapisów umowy z bankiem to on jest właścicielem karty, Ty użytkownikiem. Tak czy owak skuteczne na amen ;).

  • Moim zdaniem mogło by być tak, karta płatniczą ma włącznik membranowy, jak chcesz płacić to wyciągasz kartę, trzymając ja w ręce naciskasz przycisk i przykładasz do skanera.
    Albo, przykładasz kartę do skanera i jednym przyciskiem na skanerze potwierdzasz transakcje.
    Albo, limity wypłaty -wiadomo plus możliwość cofnięcia transakcji w ciągu 24h, zanim transakcje z danego dnia były by zrealizowane to przychodził by biling na emalia itp.

  • Przeczytaj pierwszy akapit.

  • Tomiiii

    Największe niebezpieczeństwo kart zbliżeniowych pojawia się po ich zgubieniu. Złodziej-znalazca może bezkarnie używać karty jeżeli kwota transakcji nie przekracza 50 zł. I tutaj żadne etui czy folia nie pomoże. Niby są limity ilościowe, ale niewiele banków ujawnia informację czy i jakie są to ograniczenia. Problem zdalnego skanowania karty jest marginalny. Złodziej nie ma kodu PIN oraz oraz kodu CVV2 więc możliwości wykorzystania zeskanowanych danych są ograniczone.

  • Tomiiii

    Przeczytałem. Trochę szkoda że zabrakło w nim szczegółów. Może nie było by wtedy takiej paniki… Jest w nim mowa o możliwości sklonowania danych karty i użyciu „tymczasowych kodów autoryzacyjnych”, tzn? Chodzi o jednorazowe CVV? Jeżeli tak to będzie możliwe użycie klona do transakcji zbliżeniowej do 50 zł. Ale w internecie (brak znajomości CVV2) oraz powyżej 50 zł (brak znajomości PINu) już nie.

  • Już się do robi. Policja ma takie zgłoszenia. Wiem to oczywiście nieoficjalnie.

  • Tomiiii

    Tzn. co? Skanerem zdalnie można odczytać PIN karty?

    Hmm… a czytałeś gdzieś o tym w sieci? Masz linka? Z pewny dystansem podchodzę do informacji od kolegów, których koledzy mają kolegów….itd w Policji… ;-)

  • Skanujesz kartę i masz kilka minut na zapłacenie kodem autoryzacyjnym dopóki on nie wygaśnie. Do 50 PLN oczywiście. W skrócie.

  • Tomiiii

    Otóż to, do 50 zł! Warto to doprecyzować aby nie było niepotrzebnej paniki i nie sugerować czytelnikom że ktoś może bez żadnych ograniczeń czyścić ich konta.

    Ewentualne fraudy (również te po zagubieniu karty) można ograniczyć zmuszając banki do wprowadzenie niskich limitów na transakcje zbliżeniowe bez PINu, np. 3-4. Do kolejnej wymagany byłby PIN.

  • jamirq

    w jaki sposob mozna to zrobic w mbanku?

  • BGN

    Co Wy tam nudzicie… spójrzcie na zdjęcie. :>

  • Tomiiii

    Kontaktując się z mLinią.
    Po złożeniu dyspozycji konieczne jest wykonanie transakcji stykowej (z użyciem czipa). W moim przypadku musiałem to zrobić kilka raz.

  • Te cycki na tym zdjęciu to specjalnie?

  • Buzuk

    Limity miałby sens jeśli wszystkie transakcje byłyby realizowane przez bank w trybie „online”. Tymczasem jest tak, że większość działa „offline” i to tworzy problem. O tym też pisał red. Samcik na swoim blogasku.

  • Tak ale 10x 50 PLN to już jest 500 PLN. „A mieć lub nie mieć 500 PLN to razem tysiąc.”

  • Maciek

    Jest jeden problem nie poruszony tutaj. Istnieja rozne konfiguracje/ustawienia terminali platniczych (wlacznie z tymi zblizeniowymi). By przyspieszyc transakcje i obnizyc jej koszt w niektorych wypadkach sprzedawcy dopuszczaja tzw. transakcje offline. (slynna maszyna do biletow bodajrze we Wroclawiu) lub jeden spozywczak w mojej okolicy ;). W takim przypadku terminal nie laczy sie z bankiem i nie wie nic o wykonanych dzis transakcjach ! Wlasnie w ten sposob wyczyszczono paru osobom konta o czym bylo glosno w prasie. W takim przypadku na nic zdaja sie limity bo nikt tego nie kontroluje. W podobny sposob mozna sie spotkac z terminalami gdzie z karta debetowa chipowa wymagajaca PIN (jak mysli wlasciciel), mozna robic zakupy nawet na debet podrabiajac jedynie podpis – bo tak jest skonfigurowany terminal.

  • Tomiiii

    Transakcje off-line (zbliżeniowe i stykowe) to dla mnie zaleta. Płacąc małe kwoty oszczędzam trochę czasu przy kasie. Można nad nimi mieć kontrole ponieważ limity są zapisane na czipie. Niektóre banki (np. Inteligo) dają nad nimi kontrole, m.in. nad dzienną ilością transakcji zbliżeniowych. Niestety, większość banków nie daje takie możliwości, a nawet ukrywa informacje jaki limit ilościowy ma ustawiona karta! Na co dzień używam kart Citi i mBanku, zdarza się że już przy czwartej transakcji zbliżeniowej terminal prosi o umieszczenie karty w czytniku i podanie pinu. Jednak czasami jest to po kilkunastu transakcjach. A takie zachowanie karty (i banku który na to pozwala) jest nieporozumieniem!

  • Wierzę, że kilka kart może być na raz zeskanowanych, ale te do wejść do biur mogą działać na innych częstotliwościach.

  • Arrczi

    +1
    Ja zlikwidowałem konto w inteligo jak się okazało, że ktoś płaci moją kartą na podpis. Miałem na szczęście powiadomienie sms i udało się uniknąć kradzieży. Wziąłem chip kartę w mBank bo niby bezpieczeństwo. Jakież było moje zdziwienie gdy pani w Tesco przy płaceniu za zakupy kartą poprosiła o podpis ?!? HaHaHa… Nie trwało to długo i już mają nawet PayPass.

  • IDBlock

    Teraz chyba widać, jak poważny jest to problem i naprawdę trzeba mieć oczy dookoła głowy!