Bezkontaktní platby: Jsou bezpečné?

Zavedením bezkontaktních karet by se měly výrazně zrychlit platby za drobné zboží. Tomu by měla nahrát i skutečnost, že pro potvrzení platby nebude nutné zadávat PIN.

Nejedná se ale o nic nového, naopak, je to záležitost stará několik let, která ve světě existuje pod názvem PayPass, což je řešení od společnosti MasterCard představené již v roce 2003. S obdobným řešením pak přišla v roce 2007 i společnost VISA a nazvala ho payWave. Pro úplnost je třeba dodat, že obě řešení používají RFID technologii a obě tyto společnosti pak s příchodem smartphonů na trh začaly spolupracovat s jejich výrobci, aby bylo místo karty možné použít smartphone vybavený technologií NFC (Near Field Communication).

Odpůrci této technologie argumentují tím, že byť se v mnoha firmách karty s bezkontaktními čipy používají již dnes, např. pro vstup do budovy, vjezd autem do garáže, platbu za oběd, tak se veškeré platby odehrávají pouze uvnitř dané společnosti, a proto není možné tuto kartu zneužít a pokud by jí někdo zneužil, tak by se na to velice rychle přišlo. Namítají, že v okamžiku, kdy se tento nový způsob placení začne masově používat, tak možnost zneužití výrazně naroste, neboť tomu nahraje právě bezkontaktnost čipu a možnost provedení platby bez nutnosti potvrzení transakce. Z jejich pohledu by už byl lepší i snadno kopírovatelný magnetický proužek, neboť kartou by bylo nutné čtecím zařízením projet. Argumentují tím, že díky použití bezkontaktního čipu je každý, kdo se dostane do vaší těsné blízkosti, což je ve frontě v obchodě a v MHD zcela běžné, schopen s vaší kartou komunikovat.

Zde je třeba zdůraznit, že útočník by se musel dostat opravdu do vaší těsné blízkosti, protože s použitými čipy, lze opravdu komunikovat jen na vzdálenost několika málo centimetrů. Ostatně slogan „Tap & Go“ (do češtiny by se dal přeložit jako „Ťuknout a Jít“), kterým MasterCard propaguje svůj produkt, to snad říká jasně. Ne, ne, představa, že budete chodit s baťohem v metru nebo supermarketu s platebním terminálem a kasírovat peníze ostatních uživatelů je naprosto scestná. I kdyby se vám to podařilo, tak nevím, jak byste se chtěli k těm penězům na účtu dostat a z banky je vyvést. Uvědomte si, že každý terminál je zaregistrovaný a pochybuji, že by nějaký prodejce do takového rizika šel. Ano, teoreticky to možné je. Útočník by chodil mezi lidmi s terminálem a strhával by tímto způsobem z jejich účtu jen malé částky (tzv. salami attack), které by v celkovém objemu mohly dosahovat značné výše.

A vy, pokud budete kartu hodně používat, tak si už na konci měsíce možná nevzpomenete, jestli jste ten koláč, co jste si kupoval, stál 10 Kč nebo 15 Kč a zda je to v pořádku, že na výpisu z účtu od banky je uvedeno, že celková částka za bezkontaktní platby je ve výši 458 Kč. Nepochybuji o tom, že máte přehled o svých výdajích, ale jste schopni říci, kolik máte právě teď v peněžence přesně peněz a kolik jste utratili za minulý měsíc? Uvědomujete si, že když pro realizaci platby není nutný PIN, takže by si vaší kartu mohl i někdo vypůjčit? Ale vy ji jistě máte pořád u sebe, že? Pak se nemáte čeho bát.

Bezpečnost

Byť je mnohými bezpečnost plateb tímto způsobem zpochybňována, tak paradoxně se bezpečnost může jedině zvýšit, především proto, že PIN už nebudete zadávat tak často jako dřív. A tudíž se výrazně sníží riziko, že ho někdo odpozoruje. A že PIN lze odpozorovat velice snadno, to názorně předvedli studenti jedné nejmenované VŠ v jednom nejmenovaném hypermarketu. S výsledky jejich „výzkumu“ jsme se mohli všichni seznámit prostřednictvím televizní obrazovky. Vzhledem k tomu, že nebudete muset kartu ani vytahovat z pouzdra, tak si již nikdo nebude moci přečíst údaje na ní uvedené. Nikdo, dokonce ani pokladní nebo číšník při placení neuvidí tzv. cardholder data tj. číslo karty, jméno majitele, datum ukončení platnosti, a už vůbec ne CVV/CVC kód na rubu karty. Dle Pavola Luptáka ze společnosti Nethemba, se kterým jsem možnosti útoku na bezkontaktní platební karty konzultoval, není v současné době znám způsob, jak tyto karty zkopírovat/naklonovat, neboť neobsahují stejnou zranitelnost jako karty Mifare Classic, pomocí které se společnosti Nethemba podařilo demonstrovat prolomení českých a slovenských Mifare Classic karet.

Náklady

Je zřejmé, že zavedení bezkontaktních čipů, čteček a terminálů bude něco stát, ale do budoucna by se měla tato investice rychle vrátit. Náklady na údržbu budou minimální, neboť nebude docházet k žádnému mechanickému opotřebení. Navíc nové terminály se mohou dodávat již s podporou bezkontaktních čipů a staré se mohou postupně nahrazovat. Otázka je, nakolik bude za současných podmínek, které panují na trhu, tato forma placení pro obchodníky a pro banky výhodná a jak rychle budou tuto formu placení zavádět.

Použitelnost

Platit tímto způsobem budou moci všichni zcela bez omezení. Platba bude mnohem rychlejší, jednodušší a pohodlnější. Nebudete muset kartu z peněženky vyndávat, dávat si pozor, abyste ji vložili správně do čtečky, nebudete muset zadávat PIN. Samozřejmě, předpokladem je, aby tento způsob platby obchodnici podporovali a bylo vůbec kde platit. Můžete namítnout, že se občas stává, že platba kartou není možná, že terminál nebo komunikace s bankou nefunguje apod. Jistě, ale to vůbec nesouvisí s tím, jestli je použit kontaktní nebo bezkontaktní čip a zdali se zadává PIN či nikoliv. Z těchto důvodů bude i nadále nutné sebou nosit nějakou hotovost.

Poznámka: Bezkontaktní karty jsou založené na standardu ISO/IEC 14443, který se skládá ze 4 částí a popisuje karty komunikující na frekvenci 13,56 MHz.

credit-card

Závěr: Ideální by bylo, kdyby měl každý klient možnost si sám nastavit maximální částku a počet transakcí, po kterých bude dotázán na PIN. Každý by se měl zamyslet nad tím, jakou maximální finanční ztrátu je schopen ustát a jakou úsporu času a pohodlí mu tento nový způsob placení přinese.

Chcete u bezkontaktní platby zadávat PIN?

Zobrazit výsledky

Nahrávání ... Nahrávání ...

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. vlazy

    Mám dojem, že autor tohoto článku se asi záměrně snaží čtenáře obelhávat tím, že se u bezkontaktních karet bezpečnost může jedině zvýšit. Zdůvodnění tím, že PIN už nebude třeba zadávat tak často jako dřív čímž se výrazně sníží riziko jeho odpozorování mi připadá hodně naivní. Pokud se ale PIN nebude zadávat tak často jako dřív tak proč by se měl někdo (např. zloděj) namáhat s jeho odpozorováním? Pokud někdo takovou bezkontaktní kartu ukradne nebo nalezne ztracenou tak si s ní asi bude moct bez problémů nakoupit když k tomu v asi většině případů nebude třeba zadávat PIN a právě v tom vidím spíše snížení bezpečnosti. Proti odpozorování PINu se dá většinou snadno bránit tím, že se při jeho zadávání druhou rukou zakryje klávesnici. Proti zneužití bezkontaktní karty jejím použitím bez PINu se asi těžko dá bránit tím, že se PIN nikomu neprozradí.

  2. admin

    Bezpečnost se MŮŽE, ale také nemusí zvýšit. A že by se autor článku záměrně snažil čtenáře obelhávat, z toho bych ho nepodezíral. Autor vycházel z předpokladu, že pokud by se tento způsob platby rozšířil a začal opravdu masově používat i tam, kde lidé nyní platí hotově, a po zákazníkovi by byl vyžadován PIN, mohlo by to vést k tomu, že by útočník odpozoroval PIN zákazníka, který stojí ve frontě před ním, následně by mu kartu zcizil, a v nejbližším bankomatu by vybral nejvyšší možnou částku.

    Pokud zákazník nebude muset při bezkontaktní platbě zadávat PIN, nebude pak útočník moci, pokud se karty zmocní, provést např. výběr z bankomatu, protože PIN nebude znát, neboť ho neměl jak odpozorovat. Ano, může provést několik drobných plateb a způsobit tak škodu do výše limitu stanoveného pro bezkontaktní platby. Nevybere však již z bankomatu částku, která limit pro bezkontaktní platby zpravidla mnohonásobně převyšuje.

    Výše uvedené by platilo v případě, že by byl použit stejný PIN pro bezkontaktní i kontaktní platbu a jednalo by se o kartu duální, tedy kartu obsahující kontaktní i bezkontaktní čip.

  3. vlazy

    Myslím si že autor článku není až tak hloupý, že by si neuvědomil, že kartu nejde zneužít pouze výběrem nejvyšší možné částky z bankomatu, ale také i platbami. I několik drobných plateb do výše limitu stanoveného pro bezkontaktní platby může způsobit majiteli ukradené karty škodu. V případě bezkontaktních karet by se útočník vůbec nemusel namáhat s odpozorováním PINu který by stejně pro platby nepotřeboval. Je asi naivní se domnívat, že zlodějům karet jde hlavně o výběry z bankomatů. Pokud by někdo bezkontaktních karet ukradl více tak si s nimi může udělat docela slušný nákup. PIN se za určitých okolnosti asi dá odpozorovat, ale ne vždy je to až tak snadné jak si autor článku asi myslí. Hlavně v případech kdy si majitel karty dává pozor a při zadávání PINu si rukou zakryje klávesnici. Proti zneužití karty s nutností zadávat PIN se dá většinou bránit tím, že se dává pozor aby PIN nikdo nemohl odpozorovat, ale u bezkontaktních karet bez nutnosti zadávat PIN to není možné. Připadá mi, že vydavatelé platebních karet se mnohem více zaměřují na jejích snadné používání než na bezpečnost plateb těmi kartami.

  4. admin

    V případě limitu pro bezkontaktní platbu se zatím všude hovoří maximálně o několika stovkách na den, zatímco v případě výběru z bankomatu nebo platby u obchodníka je běžný limit i několik tisíc korun. Ano, pokud vám kartu někdo ukradne, tak může bez nutnosti zadání PINu provést několik drobných bezkontaktních plateb a způsobit vám škodu ve výši několika set korun. V případě znalosti PINu pak ve výši několika tisíc korun. Vše je o míře rizika, kterou je člověk ochoten podstoupit, a proto by měl mít klient možnost volby, zda chce nebo nechce PIN zadávat.

    Zloděj musí jednat rychle, ví, že v okamžiku, kdy majitel karty zjistí, že mu karta byla zcizena, tak ji nechá zablokovat. Snaží se proto peníze co nejdříve vybrat nebo s kartou provést platbu, a je jedno zda u obchodníka nebo na internetu. Pokud by někdo bezkontaktních karet ukradl více, tak s nimi může udělat docela slušný nákup. Ano, a stejně tak může udělat slušný nákup, pokud ukradne více peněženek, ale dost možná mu bude stačit ukrást jen jednu.

    Pokud jde o to odpozorování PINu. Vy si možná zakrýváte klávesnici rukou tak šikovně, že nikdo ve vaší blízkosti nemá šanci PIN odpozorovat, ale většina lidí to prostě nedělá. Jestli jsem správně pochopil, o co vám jde, tak voláte po vyšší bezpečnosti. Dobře, jak byste si ji tedy představoval? Mimochodem, přidal jsem pod článek anketu, ve které můžete hlasovat.

  5. vlazy

    I několika stovek limitu na den může být pro mnohé lidí nepříjemné když by mu někdo bezkontaktní kartu ukradl a nákupem zneužil. Když majitel karty zjistí, že mu karta byla zcizena nebo, že ji ztratil tak ji samozřejmě může nechat zablokovat. Ne každý to ale může hned zjistit. Když to zjisti až po několika dnech tak zloděj nebo nepoctivý nálezce může ten denní limit vyčerpat i opakovaně po dobu např. několika dnů. Pokud jde o to zakrývání klávesnice kvůli odpozorování PINu tak je to jedna z možnosti jak se bránit proti případnému zneužiti karty zlodějem i když většina lidí to prostě nedělá. U bezkontaktních karet kde se PIN nezadává tato možnost ochrany proti zneužití karty není a proto na tom spatřuji snížení bezpečnosti na úkor snadnějšího a rychlejšího používání karet. Nejde mi ani tak o zvýšení bezpečnosti, ale hlavně o to, že u bezkontaktních karet se jejích bezpečnost sníží a ne tak jak tvrdí autor článku zvýší. Jinak já se zadáváním PINu při platbě kartou nemám problém i když si uvědomují, že je to na úkor pohodli a trochu i zpomalení platby.

  6. admin

    Oběť v naprosté většině případů zjistí krádež nebo ztrátu karty okamžitě nebo do několika málo hodin, neboť krádež/ztráta karty je zpravidla spojena se ztrátou nebo krádeží peněženky nebo tašky, do které většina lidí kartu ukládá. Ale souhlasím s vámi, že pokud to někdo zjistí až po několika dnech, tak už se může jednat o částku vyšší. K fyzickým krádežím obvykle dochází v dopravních prostředcích, a všude tam, kde je možné se dostat do těsného kontaktu s obětí. Je otázka, zda se zavedením bezkontaktních plateb bez nutnosti zadávání PINu nějak vzroste počet těchto krádeží/ztrát nebo zda si útočník bude svoji oběť lépe vybírat. V okamžiku, kdy by opravdu došlo k masivnímu používání této technologie i tam, kde lidé nyní platí hotovostí, mohlo by to vést i ke snížení objemu hotovosti, kterou lidé nyní uchovávají v peněžence, a která je obvykle vyšší než limit pro bezkontaktní platbu. V okamžiku, kdy vám někdo ukradne peněženku, získává veškerou vaši hotovost hned. Pokud byste měl v peněžence jen pár drobných a kartu pro bezkontaktní platbu, budete realizovat menší ztrátu. A samozřejmě pokud budete i pro bezkontaktní platbu zadávat PIN, který zloděj nezná, přijdete jen o pár drobných mincí. V tom se asi shodneme.

    Pokud by se jednalo o případ, kdy si útočník oběť vybírá, hodnotí riziko, které podstupuje, a co může získat. Koho myslíte, že se bude zloděj snažit okrást, osobu, která platí:

    A.) v hotovosti a má v peněžence nějaké bankovky.
    B.) bezkontaktní kartou a nezadává PIN.
    C.) bezkontaktní kartou a zadává PIN, který se mu nepodařilo odpozorovat.
    D.) bezkontaktní kartou a zadává PIN, který se mu podařilo odpozorovat.

    Samozřejmě, že častější asi budou případy, kdy si prostě zloděj svou oběť příliš nevybírá a jednoduše projede kapsy a kabelky okolo stojících nic netušících spoluobčanů. Zajímalo by mne, jakým způsobem se bude kriminalita v této oblasti vyvíjet. Bude se zloděj snažit svou oběť vytipovat a obrat ji o 15.000 nebo raději obere 30 lidí o 500? Nejspíš jen v jednom jediném případě se může bezpečnost zvýšit, a netřeba asi dodávat v kterém. Možná bychom mohli také říci, že NFC je secure by design, ale nevíme, zda bude secure by deafult a secure by deployment. Možná by mohl být PIN ve výchozím nastavení vyžadován a klient by si ho mohl, pokud by chtěl, třeba přes internetové bankovnictví deaktivovat a aktivovat podle potřeby. To by se mi líbilo.

  7. Nox

    Ten zaver je sice teoreticky hezky, ale vzhledem k tomu, ze znacna cast bank v CR dodnes neumoznuje nastavit si na karte limity pro jednotlive transakce, bude patrne nerealny a bezpecnost bezkontaktnich plateb bude stejne mizerna jako tech soucasnych.

  8. SB

    V případě, že nebude třeba zadávat pin, je karta nebezpečná. V případě, že se pin zadávat bude, uchází mi výhoda oproti čipovým kartám (bezkontaktní použití nepovažuju za výhodu).
    Že nejde odposlechnout komunikaci karty nebo ji vynutit, taky není pravda, stačí k tomu citlivý přijímač a výkonný vysílač – elmag. vlnění zde funguje stejně jako jinde.

  9. Tommik

    Bezkontaktnost je hloupost, která přináší jen riziko navíc. Co by se mě líbilo je kontaktní platba (zasunout čip či projet pásek čtečkou) bez autorizace pinem pro malé částky ! Samotná „kontaktnost“ nezdržuje – zdržuje autorizace.

  10. Martin Winzig

    Má to jeden háček pokud karta komunikuje pomoci RFID tak je možné její signál ukrást´= tj. zaplatit pomocí karty která je na druhé straně republiky v cizí kapse.

    Kradež bude bypadat takto:
    Jeden z party bude jezdit s batohem v kterem bude čtecka.
    Druhej bude u pokladny se simulatorem RFID karty
    tyhle dva terminaly spolu komunikují přes 3G sit a tím prodlouží dosah platebního terminálu na několik stovek KM.

  11. Luko

    Můj stručný komentář: http://www.youtube.com/watch?v=AGWFryVh_oE

  12. marysk2

    http://www.youtube.com/watch?v=ZKpEY4lRz9A

  13. mark1665

    zloděj může mít k dispozici kvalitnější RFID čtečku s citlivější anténou a tak bude schopen rfid číst na mnohem větší vzdálenost než těch pár centimetrů na které jsme zvyklí v supermarketech … viz video http://www.youtube.com/watch?v=Wwy8ButHbcU

  14. Alice Grutmanová

    Tím že stačí aby kdokoliv přiložil kartu ku čtečce a stáhl peníze z účtu jste nahráli všem zlodějíčkům a chuligánům co rádi přepadávají staré lidi a slabé ženy.
    Stačí když si takový týpek snadno vyhlídne v obchodě u pokladny svou oběť která bude platit bezkontaktně protože to bude vidět už z dálky, že ten člověk tak platil a pak si na ni někde počíhá. Když byly kartyna PIN tak se to zlodějům nevyplatilo, protože málokterý měl žaludek na to, aby z člověka vymlátil PIN. Teď to nebude muset dělat, stačí když přiskočí k starší paní a vytrhne ji tašku z ruky a uteče, než se ta vzpamatuje z šoku a uvědomí si že musí zavolat na call centrum aby ji účet zablokovali, tak ji vybrakuje účet.
    A i když se vzpamatuje hned tak je malá pravděpodobnost, že tam zavolá včas, protože s taškou ji zmizne mobil i telefonní číslo na call centrum *** a i kdyby se našel hned ochotný člověk,
    který ji mobil půjčí jaká je pravděpodobnost, že on má to číslo uložené v mobilu a nebo když už nic, že má internet v mobilu aby to číslo mohl rychle zjistit. Takže si bude muset člověk místo 4-místného PINu pamatovat 9-místné číslo na call centrum.
    Teď by si slabší lidé přivazovali kabelky řetězem k tělu. Ať žijí ti co podporují zvyšování kriminality!!!

  15. admin

    Dovolím si nesouhlasit, většina starších lidí nosí v peněžence hotovost, těmhle novým technologiím moc nevěří, nechtějí zadávat PIN, bojí se, že ho zapomenou, že jim to u pokladny nepůjde, že to nebude fungovat atd. Z těchto důvodů buď kartu nepoužívají k platbě vůbec (v krajním případě si vyberou peníze z bankomatu), anebo si PIN napíší přímo na kartu nebo na papírek, který mají uložen v peněžence vedle karty. V okamžiku, kdybyste je přesvědčila, aby začali používat bezkontaktní platební kartu bez nutnosti zadávat PIN při každé transakci, byla by v případě útoku na jejich osobu jejich finanční ztráta výrazně nižší, protože bez nutnosti zadávat PIN je možno vybrat maximálně několik stovek. Takže přemýšlejte, co je horší přijít o peněženku, kde se nachází hotovost (několika tisícový důchod) nebo karta, ze které lze vybrat jen do výše limitu (několik stovek)?

  16. vlazy

    Admine pokud nám chceš předhazovat ty tvoje moudrosti ohledně bezkontakních plateb tak si nejdříve o tom něco zjisti a nepředhazuj zde nesmysly. Vůbec není pravda, že „bez nutnosti zadávat PIN je možno vybrat maximálně několik stovek“. Jedná bezkontaktní platba bez PINu je sice pouze do 500 Kč, ale pro zloděje který to bude asi dobře vědět nebude problém takto opakovaně nakoupit třeba i za několík tisíc. V jiných diskuzích někteří píšou, že bez pinu jim šlo zaplatit opakovaně bezkontaktně i více jak 1500 Kč.
    Nevíme kdy konkrétně nebo za jakých podmínek je u těch bezkontaktních plateb vyžadované zadání PINu, protože to banky tají. Můžeme se proto pouze domnívat, že je to tak nebo jinak. Nejde proto s jistotou tvrdit, že škoda kterou případný zloděj bezkontaktní karty může způsobit může být pouze několik stovek nebo maximálně např. 1500 Kč.
    Ohledně těch bezkontaktních karet a jejích bezpečností není třeba panikařit. Je ale dobré si uvědomit, že ty bezkontaktní karty jsou o něco málo bezpečnější než ty kontaktní bez možností bezkontaktních plateb.

  17. admin

    Máte pravdu, ale 1500 Kč, byť to není malá částka, je pořád jen několik stovek, nikoliv tisíc. Kromě toho je po několika bezkontaktních platbách klient vždy vyzván k vložení karty a zadání PIN. Po kolika platbách přesně to je, nelze říci, protože jak jste sám uvedl, jedná o neveřejnou informaci, což je uvedeno např. i na stránkách platimbezkontaktne.cz, kde se mimo jiné i píše, že se zohledňuje množství a hodnota nákupů konkrétním majitelem karty, takže vám nemohu předhodit žádná konkrétní čísla.

  18. vlazy

    Dovolím si admine s tvými názory ohledně bezkontaktních karet nesouhlasit. Snažíš se nás zde přesvědčit, že ty bezkontaktní karty jsou něčím ideálním a obelhávat, že z hlediska bezpečnosti jsou naprosto bezpečným.
    Je otázkou zda pro někoho je několik stovek 500 Kč, 1500 Kč nebo třeba i 5000 Kč. Asi jak pro koho. Mne a předpokládám, že asi i mnohé další lidí by docela dost naštvalo kdyby mi někdo ukradl třeba i 1 Kč a to ne proto, že by to pro mne byla velká ztráta, ale proto, že nejsem ochoten zlodějům jen tak věnovat ani 1 halíř.
    Je také otázkou kolik je to těch několik bezkontaktních plateb po kterých je požadované zadání PINu. Banky to nikde nezveřejňují a tak nevíme zda je to 3, 5, 10 nebo i více bezkontaktních plateb a nemůžeme tak podle toho určit jak velkou škodu by zloděj bezkontaktní karty mohl někomu způsobit.
    Je pochopitelné, že banky nás záměrně oblbují tím, že ty bezkontaktní karty jsou bezpečnější. Kdyby jednoznačně přiznaly, že bezkontaktní karty jsou o něco málo bezpečnější oproti kartám bez možností bezkontaktních plateb tak by tím asi odradili mnoho klientů od používání karet což nechtějí. Banky aby přilákaly klienty k co největšímu používání karet se neštítí ty klienty záměrně obelhávat. Bohužel mnoho nemyslících lidí jim na to naletí.

  19. admin

    Nikdy jsem netvrdil, že bezkontaktní karty jsou naprosto bezpečné, nejsou. Několik stovek vždy bylo 200 Kč a více, a několik tisíc zase 2000 Kč a více, ale někdo to může vnímat jinak.

    Vycházím stejně jako vy z dostupných informací a zatím jsem neslyšel, že by někdo udělal několik bezkontaktních transakcí bez zadání PINu, které by v součtu činily více než několik stovek.

    Nemyslím si, že by nás banky chtěly nějak oblbovat, banky jen říkají, že kartu nedáváte z ruky a tak nemá nikdo možnost opsat si její číslo, platnost, CVV kód, a že z tohoto pohledu jsou bezpečnější.

    Jak vy, tak i banky možná opomíjíte skutečnost, že existují různé typy útoků, zatímco vy máte na mysli především fyzickou ztrátu a krádež, tak banky zase její zneužití při platbách na internetu.

    Otázka je, zda klienti bank realizují větší škodu tím, že karty ztrácejí anebo tím, že jsou zneužívány údaje na kartách uvedené. Nejspíš to bude ten druhý případ, tomu by odpovídalo i zavedení 3D Secure.

    Vzhledem k tomu, že od vydání článku uběhly téměř dva roky, tak by mne docela zajímalo, nakolik se naplnily představy škarohlídů, a kolik klientů bank se stalo obětí a o kolik peněz kvůli NFC přišli.

  20. vlazy

    „zatím jsem neslyšel, že by někdo udělal několik bezkontaktních transakcí bez zadání PINu, které by v součtu činily více než několik stovek.“
    A co např. http://www.mbank.cz/forum/read.html?f=1&i=220406&t=208086#220415

    „Nemyslím si, že by nás banky chtěly nějak oblbovat, banky jen říkají, že kartu nedáváte z ruky a tak nemá nikdo možnost opsat si její číslo, platnost, CVV kód, a že z tohoto pohledu jsou bezpečnější.“
    Z toho co je mi známo tak při platbě kartou se tisknou 2 doklady s potvrzením na kterém je uvedené číslo karty a platnost. Jeden doklad s neúplným číslem karty je pro zákazníka a druhý s celým číslem karty zůstává obchodníkovi. Nemám to nijak osobně ověřené, ale tyto 2 údaje údajně jde použít při platbě v některých zahraničních internetových obchodech nebo při tzv. MO/TO platbě. Stačilo by proto natrefit na některého nepoctivého obchodníka který by ty údaje mohl nějak takto zneužít když je má k dispozici vytisknuté z mnoha karet různých lidí kteří u něho platili kartou. To, že kartu se při placení nedává z ruky ještě neznamená, že obchodník její číslo nemůže znát. Banky to určitě musí dobře vědět a pokud tvrdí něco jiného tak nás tím oblbují.
    Pokud jde o CVV kód tak ten se používá asi pouze při internetových platbách které se u všech bank dají na rozdíl od těch bezkontaktních plateb bez větších problémů zablokovat.

    „Jak vy, tak i banky možná opomíjíte skutečnost, že existují různé typy útoků, zatímco vy máte na mysli především fyzickou ztrátu a krádež, tak banky zase její zneužití při platbách na internetu.“
    Já různé typy útoků na karty beru v úvahu. Beru v úvahu ale i to, že nyní po zavedení bezkontaktních plateb přibyl jeden takový nezanedbatelný typ útoku na karty navíc. Proti zneužití karty platbou na internetu se jde bránit tím, že se tyto internetové platby u karty zablokuje což u bezkontaktních plateb není možné.

    „by mne docela zajímalo, nakolik se naplnily představy škarohlídů, a kolik klientů bank se stalo obětí a o kolik peněz kvůli NFC přišli.“
    Tak to by mohlo být docela zajímavé. Předpokládám, že takové statistiky asi neexistují. Ono je ale na to ještě asi trochu brzo. Ty bezkontaktní karty se začaly v česku vydávat teprve nedávno a mnoho klientů bank tak jako i já má asi stále ještě pouze karty neumožňující bezkontaktní platby.

  21. skrblík

    Zajímalo by mě, když budu mít v peněžence 2 a více takových karet, jak systém určí ze které karty platit? Takže jí stejně musím vyndat !!!!

  22. vlazy

    skrblík:
    Citace z http://hn.ihned.cz/c1-51132180-miloslav-kozler-zlodejum-se-bezkontaktni-karty-nevyplati-podvody-nevzrostly
    „A co když bude mít člověk více karet a přiloží je v peněžence?
    To terminál pozná a vyzve klienta, aby použil jen jednu kartu.“

  23. jira

    V případě ukradení či ztráty karty je nutné toto urychleně nahlásit bance a ta už nese riziko. Ale co když v metru v tramvaji se na vás někdo namáčkne a než dostanete výpis, tak provede několik pěti set korunových plateb denně? Banky vydávají nové karty pouze s bezdrátovou funkcí placení. Stáváme se jejich rukojmí asi jako na zájezdu pro důchodce, viz „Šmejdi“. Každá služba bude mít svoje příznivce a odpůrce. Jediné co jsem po své bance chtěl byla možnost výběru, nebo alespoň možnost zablokování bezkontaktních plateb.(teď musím měnit účet do banky se kterou se mluvit dá). Samozřejmě je možné zakoupit stíněné pouzdro na kartu, již jsou v prodeji, ale tím padá jednoduchost manipulace.PS: Bezpečnost terminálů: v minulém roce se v severním Německu objevily upravené platební terminály s dodatečnou pamětí, kde se sbíraly údaje z karet a párovaly s PINy. Technici kteří s těmito technologiemi pracují jsou vynalézaví a NFC čipy poskytují další prostor.

  24. vlazy

    Toho vyčtení údajů z bezkontaktní karty pomocí nějaké čtečky bych se až tolik neobával i když i to je asi možné. Větší riziko bych viděl ve snadném zneužití bezkontaktních karet v případě jejích krádeže nebo ztráty. Ano krádež nebo ztrátu karty je třeba hlásit bance a nechat si takovou kartu zablokovat, ale ne každý to zjisti hned.
    Některé banky už jen výjimečně mají v nabídce nějaké kontaktní karty. Připadá mi to tak jako by někdo (VISA, MasterCard) ty banky pro urychlené zavádění bezkontaktních karet přímo nějak vybízel nebo možná i nutil. Pamatují si že zavádění čipových karet byl proces na mnoho let, ale bezkontaktní karty banky dokázaly zavést za téměř rok. Místo aby se dělalo něco pro větší bezpečnost karet tak se naopak bezpečnost snižuje.

  25. vlazy

    Článek na http://liberecky.denik.cz/zlociny-a-soudy/rizika-bezkontaktni-platby-20130703.html potvrzující, že ty bezkontaktní karty nejsou až tak bezpečné jak si to někteří naivně myslí. Okradený si sice částečně může sám za to, protože kartu nechal přes noc bez dohledu v autě. Nikdo si ale nikdy nemůže být jednoznačně jistý, že jemu kartu za žádných okolnosti nikdo nemůže ukrást a pak než to zjisti a kartu nechá zablokovat i bezkontaktními platbami zneužít.
    Dva a půl tisíce Kč za které zloděj stačil zaplatit je docela dost. Ty platby asi nebyly přesně každá rovných 500 Kč a tak jich pachatel musel stihnout více jak 5 a to je také dost. Je otázkou zda by mu ta karta umožnila bez PINu zaplatit i za více Kč kdyby to stihl a zkoušel dál.

  26. Jaroslav S.

    Jako další problém vidím to, že pomocí NFC čtečky lze přečíst i data obsažená v magnetickém proužku a lze tak vyrobit duplikát karty se stejným magnetickým proužkem. Bohužel ještě celkem nedávno jsem platil na pumpě bez pinu, chtěli jen podpis.

    Naštěstí si bezkontaktní funkce můžete vypnout i sami bez dohadů s bankou a placení poplatků. Po celém obvodu karty několik mm od kraje vede cívka, kterou se karta napájí když ji přiložíte ke čtečce (princip trafa). Pokud tuhle „trafocívku“ přerušíte, bezkontaktní platby přestanou fungovat, ale všechno ostatní funguje dál. Cívka nemůže vést přes vyražené číslo karty, proto vždycky musí vést mimo- proto vždy vede vpravo mezi poslední vyraženou číslicí a pravým krajem karty. Takže z rubove strany karty milimetr od kraje zaryjete nožem na koberce a táhnete směrem k číslici asi 4mm, nemusite rýt úplně skrz, ale musí to být dostatečně hluboko. Na mé kartě to z lícové strany není vůbec poznat.

  27. vlazy

    Přerušení cívky na bezkontaktní kartě bezkontaktní funkce zruší, ale je to poškození karty což je v rozporu s pravidly pro používání karet. Je dost podivné, že banky to neumožňuji zakázat, tak jak se dá zakázat např. internetové platby. Kdyby to šlo zakázat tak by nemuselo být tolik zbytečného křiku ohledně toho, ale banky asi chtějí přinutit klienty aby tu bezkontaktní funkčnost co nejvíce používali a to i přes to, že dobře ví, že to není příliš bezpečné.

  28. Ondra

    Vyzkoušeno a nefunguje. Kartu jsem prořízl přesně od vyraženého čísla až po její okraj, a to tak hluboko, že na líci zbyla už jenom tenká umělohmotná blanka, která drží obě proříznuté části dohromady. Zašel jsem to vyzkoušet do obchodu a hezky jsem si bezkontaktně nakoupil.

    Tak jsem kartu následně doma rozstříhal a mám klid. Akorát jsem ztratil možnost platit bezhotovostně v obchodech. Když si chci vybrat peníze, musím na pobočku, ale to jsem musel i před tím, protože naše banka jinde bankomaty nemá.

    Mimochodem, zkusil jsem se jen tak ze zvědavosti kouknout po té napájecí cívce a nic jsem nenašel.


K článku “Bezkontaktní platby: Jsou bezpečné?” se zde nachází 28 komentářů.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: