Bezkontaktní platební karty: Hrozí malér

petrx

(8 hodnocení)

1. 2. 2013 08:59:18

Banky začaly vydávat karty a samolepky s čipem NFC pro bezdotykové platby

Hrozící rizika:

- Prolomení bezpečnosti na kartě a její naklonování, aniž by ji měl zloděj v ruce. Příklad:

http://www.root.cz/zpravicky/bezkontaktni-karty-mifare-desfire-prolomeny/

- "Platba", kdy zloděj přejede karty lidí a vyždíme jim finance (ideální je pořádná anténa na místě, kde chodí hodně lidí)

- Banky berou na sebe riziko zneužití jen v případě, že je karta zablokována klientem. V případě naklonování či neautorizovaného načítání klient samozřejmě netuší, že se něco děje, a kartu nezablokuje

http://www.novinky.cz/finance/291512-bezkontaktni-platby-jsou-hitem-od-pokladen-vytlacuji-bankovky-a-mince.html

Bezkontaktní platby jsou hitem, od pokladen vytlačují bankovky a mince

Blíží se konec nošení bankovek a mincí po kapsách? Bezkontaktní karty,
díky kterým lze u menších nákupů do 500 korun platit pouhým přiložením
karty k terminálu na pokladně, začínají z obchodů postupně vytlačovat
hotovostní platby.

Tuzemské banky bezkontaktních karet od konce roku 2011 vydaly už přes
800 tisíc kusů, další statisíce lidí jimi začnou platit letos. Boom
přitom zaznamenávají i rychlé bezkontaktní platby mobilem.

(...)

Již dnes mohou Češi k bezkontaktnímu placení využít více než 15 tisíc
terminálů a každým dnem přibývají další. Bezkontaktní karty vydává
nebo začíná vydávat již tucet bank.

(...)

"Ke konci loňského roku jsme měli více než 600 tisíc bezkontaktních
platebních karet, se kterými klienti uskutečnili transakce v objemu
813 miliónů korun," sdělila Právu Klára Pačesová z tiskového centra
České spořitelny, která jako první banka v ČR začala předloni v říjnu
bezkontaktní platební karty masově vydávat.

Velký růst zájmu klientů o bezkontaktní způsob placení ale hlásí i
další banky. Například klienti GE Money Bank si od loňského září
převzali 103 tisíc debetních a téměř 15 tisíc kreditních karet a jen
těmi debetními provedli podle mluvčího banky Pavla Zúbka již 43 tisíc
plateb za 14,5 miliónu korun. "Průměrná hodnota těchto plateb byla v
říjnu 163 Kč, za listopad a prosinec to bylo 237 Kč," dodal Zúbek.

Společnost MasterCard Europe v pondělí společně s ČSOB a dalšími
firmami navíc spustila další formu mobilních plateb - platební
aplikaci MasterCard Mobile.

(...)

"Technologie samotná prakticky vylučuje nevědomé, či neautorizované
zneužití dat na kartě, například přes kabelku či z peněženky v kapse."
Pavla Hávová, ČSOB

(...)

"Na rozdíl od kontaktních karet nemusí klient při bezkontaktním
placení vůbec dávat kartu z ruky. Nikdo cizí si tak z karty například
nemůže opsat údaje, které by následně mohl zneužít k neoprávněné
platbě na internetu," upozornil mluvčí Air Bank Vladimír Komjati.

Při zcizení a zneužití bezkontaktní karty riziko nese banka a
klientovi vrátí na účet všechny takto uskutečněné bezkontaktní platby.
Podmínkou je blokace karty klientem.

(...)

Každá transakce nad částku 500 Kč je ověřována přístupovým kódem PIN.
V rámci zajištění větší ochrany proti zneužití karet však může být
kupující podle Pačesové náhodně požádán o vložení karty do terminálu a
zadání PINu i při úhradě nižších částek do 500 Kč. "Toto opatření
slouží jako potvrzení, že uživatel karty je jejím držitelem," dodala
Pačesová.

Někdy banky navíc požadují, aby každou čtvrtou nebo pátou platbu
provedenou během jednoho dne klient kódem PIN potvrdil. "Technologie
samotná prakticky vylučuje nevědomé, či neautorizované zneužití dat na
kartě, například přes kabelku či z peněženky v kapse," dodala mluvčí
ČSOB Pavla Hávová.

(...)

1. 2. 2013 08:59:18

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860661

Jiří Adámek

(20 hodnocení)

1. 2. 2013 09:44:06

Problem neni ani tak v bezkontaktnich kartach, jako spise ve skutecnosti, ze spousta bezkontaktnich terminalu pracuje v offline rezimu, tedy vubec realne neoveruje platnost karty. Nicmene to je spis problem vydavatelu/provozovatelu techto terminalu.

1. 2. 2013 09:44:06

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860660

Petr Parimucha

(16 hodnocení)

1. 2. 2013 09:47:46

S platebními kartami se podvádí od jejich vzniku, vždy ale převažovala pozitiva nad přílišnou složitostí autorizace, bezkontaktní platby nejsou nic jiného než přirozená evoluce. Rozhodně je větší šance zneužití vaší karty klasicky přes skimming, již jen kvůli omezeným částkám u bezkontaktní platby, protože PIN na dálku zjistit nelze. Pokud chce být někdo paranoidní, může nosit karty ve speciálním odstíněném pouzdře;-)

1. 2. 2013 09:47:46

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860659

Macecha

(17 hodnocení)

1. 2. 2013 10:15:25

Napsal Pari;903021
protože PIN na dálku zjistit nelze.

jo, ale pin je nahraný na kartě, a pořád dost terminálu ho ani online neověřují, až při 3. pokus o zadání pin, terminál pouze zkontroluje vyťukaný pin s nahraným pinem na kartě... sice bankomaty pin při výběru pin kontrolují online automaticky, o platbách na internetu ani nemluvě...

Karty se vždy dali zneužít, a tak to bude dál, stejně jako padělání peněz, tak i padělání karet... prostě jakmile jde o peníze stále se s tím bude setkávat, procento zneužití a škody je ovšem malé, které banky dokáží pokrýt pojištěním, a tak karty se používají stále... jelikož je to byznys na kterém se vydělávají velké peníze, které snadno pokryjí podvody

1. 2. 2013 10:15:25

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860658

Zbyněk Buřival

(4 hodnocení)

1. 2. 2013 10:30:01

Banky dlouhodobě na bezpečnost karet doslova serou a výslovně klientům lžou nebo takticky mlží. Od kreditky s platbou po síti nepotřebuju vůbec PIN ani kartu - stačí jen číslo karty, jméno, platnost a CVV kód. Nenápadně okopíruju, oskenuju, opíšu a vesele nakupuju. A majitel je pěkně v háji, částečně ale lze využít chargeback či pojištění. U debetních karet NIC takového není, přitom je banky bez výslovného přání klienta nechávají zcela nezabezpečené a s denním limitem často až 35 tisíc. U bezkontaktních plateb je to o to horší, že ani nemusím kartu fyzicky vidět nebo držet, jde ji oskenovat například chytrým mobilem a dál je nákup x menších objednávek do 500 Kč otázkou minut. Pokud je karta debetní, tzn. přímo svázaná s účtem, může dotyčný přijít během doclova minut o desítky tisíc. To vám ale v bance neřeknou. Hlavně, že máte pečlivě schovaný PIN, který vůbec není potřeba...

1. 2. 2013 10:30:01

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860657

Jiří Adámek

(20 hodnocení)

1. 2. 2013 10:37:45

Napsal basti;903033
Pokud je karta debetní, tzn. přímo svázaná s účtem, může dotyčný přijít během doclova minut o desítky tisíc. To vám ale v bance neřeknou. Hlavně, že máte pečlivě schovaný PIN, který vůbec není potřeba...

To neni zas tak jednoduche. Ta karta po urcitem objemu plateb vyzaduje krome pinu i pripojeni terminalu online. A co se tyce plateb po netu, tak to uz tak funguje odjakziva.

---------- Příspěvek doplněn 01.02.2013 v 10:40 ----------

Jinak pro ty co se obavaji, tak na trhu se jiz prodavaji podobna poudzra na kreditky http://www.ariga.cz/cryptoalloy_platebni_karty_v_bezpeci

Cena se pohybuje od 99 do 200Kc. Minimalne dopomuzou k tomu, ze vam kartu nekdo neoskenuje pres kalhoty/penezenku.

1. 2. 2013 10:37:45

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860656

Ryuji

(1 hodnocení)

1. 2. 2013 11:00:04

A proto jsem si udělal u FIO další účet na hraní kde mám max pár tisíc a žádné povolené debety, nic. A jen k tomuhle účtu mám PayPass kartu. To bezkontaktní placení je moc prima, ale opravdu to moc důvěry nebudí. Přiložit kartu na pár centimetrů od terminálu na cca jednu vteřinu a mít zaplaceno je opravdu až příliš jednoduché. Placení na Internetu mám vypnuto a zapnu jen podle potřeby (změna je téměř ihned) a na všech ostatních kartách mám blokaci veškerých internetových plateb.

Takže pokud si to takhle nějak podobně zařídíte, je to "celkem" v klidu.

1. 2. 2013 11:00:04

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860655

petrx

(8 hodnocení)

1. 2. 2013 11:38:49

Napsal Pari;903021
kvůli omezeným částkám u bezkontaktní platby

Zloděj se postaví na náměstí a postupně stáhne všem okolojdoucím s bezkontaktní kartou z jejich účtu pětistovku.

Nejprve pul roku nebude banka uznavat reklamace, protoze karty prece nebyly zablokovane klienty a protoze jsou banky presvedceny o nemoznosti zneuziti.

Pak se to objevi v mediich, banky zacnou konat a ukaze se, ze terminal byl psany na nejakeho bezdomovce.

Okradenym banka neda nic.

V mem okoli se stal pripad, kdy zamestanci servisni firmy telekomunikacniho operatora nainstalovali GSM branu na linku vedouci do callcentra banky pro phonebanking.

Klienti banky se pri phonebankingu hlasili fragmentem hesla. Vznikalo tak, ze klient mel u sebe na papire dlouhy klic a telefonni banker jej pozadal vzdy o nahodne vybranou cast tohoto klice.

Zlodeji pres nacerno nainstalovanou GSM branu poslouchali autentizace tak dlouho, az si slozili cely klic, pak se prihlasili do phonebankingu jmenem klienta a vybilili mu konto.

Pripad byl nakonec objasnen dle konta, na ktere si zlodeji prevedli prachy (pokud by pouzili money mule, byli by z obliga).

Zlodeji byli nakonec odsouzeni, ale prachy byly fuc a okradeneho klienta neodskodnila ani banka, ani telekomunikacni operator.

---------- Post added 1.2.2013 at 20:45 ----------

Nejmenovaný odborník na bezpečnost IT mi teď soukromě napsal: "JJ stačí se hezky přitulit a mít v kapse ten správný responder a platba i hodně daleko je provedena :-)"

1. 2. 2013 11:38:49

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860654

Zbyněk Buřival

(4 hodnocení)

2. 2. 2013 00:10:02

mytrix: Ale je to tak jednoduché - protože ty z té bezkontaktní karty natvrdo zkopíruješ data a například tvůj chytrý mobil se nadále tváří jako ta karta! Banka nemá šanci poznat, že s ní neplatí majitel. Přes mobil naklikáš třeba 10 transakcí do 500 Kč nebo na to máš skript a voila - prachy jsou fuč! Na tohle se žádná pojistka nevztahuje a banka nikoho odškodňovat nebude, jako obvykle se prohlásí, že uživatelé jsou blbci a nedodržují základní bezpečnost. Jenže jaký je problém narvat třeba čtecí lištu na vchod do obchodu, přejet někomu v tlačenici mobilem po kabelce atd.?

Ideální řešení je mít jednu kreditku (!) s odděleným účtem pěkně zamčenou doma a pak mít na nákupy druhou, která má zakázané platby po netu. Samozřejmě ne bezkontaktní :D Na kreditce jde až 60 dní zpětně zrušit platbu, na debetce nejde nic a navíc ji jde použít k přímému přístupu k účtu = čekání na průser.

2. 2. 2013 00:10:02

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860653

Jiří Adámek

(20 hodnocení)

3. 2. 2013 12:42:13

Ta moznost tu samozrejme je, asi stejna jako kdyz by ti nekdo ofotil embosku a pak s ni platil na netu. Taky bys to nezjistil hned :-)

Od toho uz je tu policie a je dost pravdepodobne, ze by takoveho dobraka s mobilem nasli. Nasli uz vic vytecniku, co si mysleli, ze je nikdo najit nemuze a to pouzivali i jednorazovky mobily.

3. 2. 2013 12:42:13

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860652

gumak2000

7. 3. 2013 16:14:54

Jestli chceš zkopírovat NFC kartu, tak začni tady: www.NFCmix.com

Ne, teď vážně.

NFC platby jak jsou teď nastavený mi taky úplně bezpečný nepřijdou, ale s nějakym průšvihem se určitě situace změní.

Obecně má ale telefon dost malou čtecí vzdálenost a když má navíc zhasnutej displej, tak s nim nezaplatíš. To by mohlo pro začátek zamezit neautorizovanejm platbám.

Data uložený v telefonu jsou zamčený v Secure Elementu a tam je nezměníš ani nezkopíruješ.

7. 3. 2013 16:14:54

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860651

Pepa Ovocák

7. 3. 2013 17:35:06

Ja muzu v bankingu nastavit zasilani informacni sms po provedene platbe kartou. Po precteni tohohle vlakna to si to asi pro tu bezkontaktni nastavim.

U online plateb musim mit u karet nastaveno 3D secure (potvrzovaci sms), jinak nelze provest platba.

7. 3. 2013 17:35:06

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860650

naniccz

(3 hodnocení)

7. 3. 2013 21:21:15

Bezkontakt platby do 500Kč jsou většinou offline, takže ti sms nepřijde.

7. 3. 2013 21:21:15

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860649

domain

(96 hodnocení)

7. 3. 2013 22:10:51

Napsal Ryuji;903057
A proto jsem si udělal u FIO další účet na hraní kde mám max pár tisíc a žádné povolené debety, nic. A jen k tomuhle účtu mám PayPass kartu. To bezkontaktní placení je moc prima, ale opravdu to moc důvěry nebudí. Přiložit kartu na pár centimetrů od terminálu na cca jednu vteřinu a mít zaplaceno je opravdu až příliš jednoduché. Placení na Internetu mám vypnuto a zapnu jen podle potřeby (změna je téměř ihned) a na všech ostatních kartách mám blokaci veškerých internetových plateb.

Takže pokud si to takhle nějak podobně zařídíte, je to "celkem" v klidu.

u fio nelze bezkontaktni placeni vypnout

jedina pomoc je vrtacka

7. 3. 2013 22:10:51

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860648

Werty

5. 8. 2013 08:52:09

Na Mifair v prvom príspevku funguje väčšia dopravných kariet. Počul som o veľa prípadoch skopírovaných predplatených lístoch. Škoda v tomto prípade má škodu hlavne prepravca. Platobné karty fungujú na čipoch EMV Co (http://www.emvco.com/) a bezkontaktné karty fungujú na tom istom čipe ako kontaktné, len cez iné rozhranie. A pokiaľ viem tak sa ešte stále nepodarilo prelomiť kontaktné čipy. A ak by sa niekomu podarilo prelomiť 1408 bitový RSA kľúč tak karty by boli jeho posledný cieľ. Kopec iných (väčších) elektronických peňazí je chránený cez RSA.

"platba" spomínaná v prvom príspevku - každý terminál musí byť do siete platobných kariet zaregistrovaný cez nejakú banku resp. firmu z licenciou kartovej spoločnosti. Teda ak by niekto chcel cez silnú anténu nechať zaplatiť všetky karty v okolí tak by mal problém. nebol by anonymný, lebo musel byť predtým registovaný. Nehovoriac o tom, že karta vysiela len slabý signál, práve preto aby nedošlo k tomu, že Vám v Tesco zaplatí nákup náhodný okoloidúci. Teda by to musela byť anténa popri ktorej by ste museli sami a dobrovolne prejsť veľmi tesne. To je zároveň odpoveď aj na možnosť kopíravanie bezkontaktných kariet. Dovolili by ste niekomu prikladať niečo na vašu tašku/peňaženku bližšie ako 10cm? Nevšimli by ste si to? Ak ste taký nevšímavec tak Vás už určite niekoľkokrát okradli vreckári :-)

---------- Příspěvek doplněn 05.08.2013 v 08:56 ----------

Napsal basti;903369
mytrix: Ale je to tak jednoduché - protože ty z té bezkontaktní karty natvrdo zkopíruješ data a například tvůj chytrý mobil se nadále tváří jako ta karta! Banka nemá šanci poznat, že s ní neplatí majitel. Přes mobil naklikáš třeba 10 transakcí do 500 Kč nebo na to máš skript a voila - prachy jsou fuč! Na tohle se žádná pojistka nevztahuje a banka nikoho odškodňovat nebude, jako obvykle se prohlásí, že uživatelé jsou blbci a nedodržují základní bezpečnost. Jenže jaký je problém narvat třeba čtecí lištu na vchod do obchodu, přejet někomu v tlačenici mobilem po kabelce atd.?

Ideální řešení je mít jednu kreditku (!) s odděleným účtem pěkně zamčenou doma a pak mít na nákupy druhou, která má zakázané platby po netu. Samozřejmě ne bezkontaktní :D Na kreditce jde až 60 dní zpětně zrušit platbu, na debetce nejde nic a navíc ji jde použít k přímému přístupu k účtu = čekání na průser.

Zrušiť platbu?

Podať reklamáciu môžeš na obe karty (kreditnú aj debetnú), akurát pravidlá hovoria, že na kreditke (kde sa to úročí) ti počas riešenia reklamácie musia vrátia peniaze na účet no to neznamená, že ti zrušili platbu. Keď tvoja banka prehrá reklamačné konanie z bankou obchodníka tak ti tie peniaze zase s kreditky strhnú.

5. 8. 2013 08:52:09

https://webtrh.cz/diskuse/bezkontaktni-platebni-karty-hrozi-maler#reply860647