Pierwsze płatności zbliżeniowe zrealizowane zostały prawie dwadzieścia lat temu. Od tego czasu stały się powszechnie akceptowane i coraz bardziej zróżnicowane. W tej chwili, oprócz karty zbliżeniowej, można płacić mobilnymi portfelami, brelokami, znacznikami lub nalepkami dla smartfonów a nawet… spinkami do mankietów. Niezależnie z jakiego sposobu korzystasz, warto wiedzieć, jak robić to bezpiecznie. Bo pułapek nie brakuje!
Warto wiedzieć, że co minutę w samej Wielkiej Brytanii wykonywanych jest ponad 370 tysięcy transakcji zbliżeniowych. To prawie sześć na sekundę! Miesięczne wydatki na kartach zbliżeniowych w marcu 2014 roku przekroczyły 100 mln funtów, trzykrotnie więcej niż w ubiegłym roku. Dlatego bezpieczeństwo tych transakcji jest przedmiotem coraz większej troski nie tylko banków i producentów zabezpieczeń, ale także samych klientów.
Płatności zbliżeniowe mają taki sam poziom ochrony jak chipy i PIN do karty płatniczej, ale nie wymagają od użytkownika jakiegokolwiek potwierdzenia numerem PIN. Zamiast tego dane są wysyłane przy wykorzystywaniu technologii radiowej (RF) lub nowszej komunikacji bliskiego zasięgu (NFC), która zamienia np. telefon w cyfrowy portfel. W ciągu ostatniej dekady naukowcy wykazali, że oszuści mogą wykraść dane finansowe ofiary za pomocą dedykowanego wzmacniacza, anteny i innych niskobudżetowych gadżetów, mieszczących się w niewielkim plecaku.
Krótki poradnik na temat sposobów wyłudzania środków finansowych podczas płatności zbliżeniowych przygotował Catalin Cosoi, Dyrektor Strategii Bezpieczeństwa w firmie Bitdefender. Ekspert podpowiada, jak zachować bezpieczeństwo podczas zawierania transakcji i nie stać się celem wyłudzeń ze strony przestępców.
Jeżeli więc korzystasz z płatności zbliżeniowych, możesz być narażony na:
- Atak szumiący: jeśli transakcja nie wymaga uwierzytelnienia wzajemnego, przestępca z czytnikiem zdolnym do komunikacji ze znacznikiem RF na karcie kredytowej, może „wyciągnąć” z niej nazwisko, numer i datę ważności Twojej karty.
Porada: Upewnij się, że karta kredytowa jest w specjalnym ochronnym etui w portfelu i nie ma do niej dostępu nikt postronny.
- Podsłuch: pozwala napastnikowi rejestrować dane strumieniowo między znacznikiem na karcie kredytowej i innym legalnym czytnikiem z jeszcze większych odległości. Przed tego typu atakiem nie można się uchronić chowając kartę w etui ochronnym.
Porada: można użyć specjalnej wkładki do portfela, która symuluje obecność większej ilości danych i myli hakerów próbujących uchwycić Twoje unikalne dane.
- Zhakowane terminale: ataki wykorzystujące podrobione czytniki, którymi zastąpiono legalne urządzenia w terminalach POS. Przechwytują one dane kupujących, w tym numery PIN wpisywane na klawiaturze wraz ze znacznikiem czasu oddziaływania.
Porada: Wykrycie takiego fałszywego terminala jest bardzo trudne. Należy być czujnym i uważać na podejrzane szczegóły i punkty sprzedaży.
- Ataki odtworzeniowe: atakujący może przechwycić wiadomości od użytkownika, a potem spreparować je tak, aby w wiadomościach znalazły się jego dane, po czym wysłać je ponownie. Mimo, że wiadomości mogą być szyfrowane, retransmisja ważnych komunikatów logowania wystarczy, aby uzyskać dostęp do konta.
Porada: Użyj tokenów sesji, aby zalogować się za pośrednictwem przypadkowych, jednorazowych haseł, które nie mogą być ponownie wykorzystane przez oszustów.
- Ataki przekaźnikowe: technika polega na podstawionym, spreparowanym terminalu, który przekazuje dane ofiary do wspólnika oszusta, który niemal równolegle może wykorzystać dane do wykonania kolejnej transakcji.
Porada: Tak jak w przypadku zhakowanego terminala, wykrycie takiego oszustwa jest niemal niemożliwe – należy być czujnym i zwracać uwagę na podejrzane szczegóły odbiegające od przyjętych norm.
- Zdublowana karta: atakujący wykorzystuje różne niestandardowe techniki, aby poznać dane ofiary, w tym jej adres i numer PESEL, które następnie wykorzystuje, aby nakłonić bank do wydania nowej karty w imieniu ofiary. Karta może następnie posłużyć np. do zakupów online.
Porada: powiadom swój bank o każdej podejrzanej działalności dotyczącej Twojego konta.
Oprócz powyższych wskazówek, Catalin Cosoi z firmy Bitdefender przypomina, aby nigdy nie pozwalać nikomu odejść ze swoją kartą płatniczą – nawet, gdy miły personel oferuje pomoc lub – przykładowo − informuje o nieudanej próbie płatności z danego terminala i chęci ponowienia transakcji z innego urządzenia znajdującego się na zapleczu.