Článek
Podvodníci neustále vymýšlejí nové způsoby, jak okrást lidi o peníze. Řada lidí proto vsadila na speciální pouzdra, která mohou ochránit platební karty či elektroniku před případnými pokusy o „bezkontaktní“ krádež. Tedy že by například někdo v nestřežený okamžik přiložil terminál k něčí kapse s peněženkou a proběhla by bezkontaktní platba. Odborníci říkají, že je takový druh útoku sice technicky proveditelný, v praxi se s ním ale kvůli jeho nepraktičnosti v podstatě nesetkávají. Přesto je na místě se chránit.
Loni na podzim například internetem kolovalo video, které zachycovalo údajné podvodníky, kteří kradli „bezkontaktním“ způsobem peníze kolemjdoucím na ulici. K incidentu mělo dojít v zahraničí, podle uživatelů to mohlo být v Maroku, nicméně nakonec se ukázalo, že šlo o sehranou scénku kolumbijských influencerů. Ani oslovené banky až na výjimky takové případy neevidují.
Odborníci nicméně doporučují ostražitost a sledovat zprávy a trendy ze světa podvodů. „Není třeba panikařit, ale pokud si přečtete v novinách, že byla odhalena zločinecká skupina, která takové útoky prováděla, je na čase nasadit stínicí pouzdra,“ doporučuje například Jiří Buček z Katedry informační bezpečnosti FIT ČVUT.
Buček ještě vysvětluje, že zmíněný bezkontaktní útok na platební kartu způsobí nechtěnou platbu kartou, ke krádeži platebních informací by dojít nemělo. „Proti tomu jsou karty docela dobře chráněny,“ říká.
Jak ochrana funguje?
Ochranná pouzdra, která mohou zabránit podobným situacím, najdeme obvykle s dovětkem „s RFID ochranou“. Prodávají se v různých variantách, lze tak pořídit nejen samostatný kryt na kartu, ale i celé peněženky, ledvinky, batohy či obaly na notebooky. Pro jejich vnitřní část se používá stínící tkanina, například z polyesterových vláken s napařenou tenkou vrstvou kovu. „Tvoří vlastně něco jako Faradayovu klec, tedy zabrání průniku elektromagnetického vlnění. Na frekvencích, kde pracují běžné platební karty, většinou stačí jen překrýt plochu karty,“ vysvětluje princip Buček. Jako ochrana platební karty může posloužit také alobal, do nějž se karta zabalí.
Podle Bučka speciální ochranná pouzdra bývají spolehlivá proti většině útoků. „Žádná obrana není stoprocentní, ale pravděpodobnost, že útočník bude mít speciální čtečku s tak silným signálem, že by překonala běžnou stínicí tkaninu, je malá,“ vysvětluje.
Jak funguje platba kartou a mobilem
Platební karty využívají takzvanou NFC (Near Field Comunication) technologii, kterou lze zařadit jako podkategorii RFID (radio frequency identification).
Konkrétně pracuje na frekvenci 13.56 MHz. RFID funguje na nízké frekvenci (125 – 135 KHz), vysoké frekvenci (13.56 MHz) a velmi vysoké frekvenci (860–960 MHz).
V případě NFC se jedná o pasivní mikročip, kde komunikace začíná až při přiložení ke čtečce, a to zpravidla do vzdálenosti 10 cm.
„Možnost provádět platby bez druhotného ověření PINem jsou limitovány jednotlivou částkou do 500 Kč a dále, dle konkrétní banky, součet jednotlivých částek nepřesáhne určitý limit (typicky mezi 2000–3000 Kč) či se počítá počet po sobě jdoucích transakcí bez druhotného ověření,“ uvedla pro SZ Byznys Petra Studená ze sekretariátu NCTEKK SKPV.
Zdroj: Petra Studená, sekretariát Národní centrály proti terorismu, extremismu a kybernetické kriminalitě SKPV (NCTEKK SKPV).
Odborníci dále doporučují nastavit v telefonu oznámení o provedených platbách, díky kterým je pak případné zneužití možné včas řešit. V případě podezřelé transakce by se měla ihned kontaktovat banka.
Ochránit lze i telefon s aktivní mobilní peněženkou. Ve většině případů platí, že telefon, který není odemčený, by takto zneužít nešel. V řadě případů je navíc i potřeba každou platbu telefonem potvrdit a ověřit zvlášť. Vždy ale záleží, jak má konkrétní zařízení možnosti platby nastavené. Bezkontaktní platby v telefonu umožňuje technologie NFC (Near Field Communication), kterou navíc lze v zařízení manuálně vypnout.
Zbytečnost, nebo nutnost?
„Případy, kdy jdete třeba s partnerem po ulici, někdo přiběhne k vaší kapse s terminálem a proběhne nějaká platba, jsou prostě nesmysl,“ míní například tiskový mluvčí České spořitelny Lukáš Kropík. Upozorňuje, že takový druh útoku by navíc byl i technicky poměrně náročný, protože by vyžadoval přesnost. Karty je totiž potřeba při bezkontaktních platbách přiložit na vzdálenost pár centimetrů od čtečky.
„S tímto typem podvodu se v posledních měsících příliš nesetkáváme. Tím netvrdíme, že k němu tu a tam nemůže dojít, ale z pohledu četnosti opravdu jen minimálně,“ uvedl pro SZ mluvčí skupiny ČSOB pro oblast pojištění, kybernetické prevence, investic, penzí a leasingu Petr Milata. Za mnohem aktuálnější a větší problém považuje podvody falešných bankéřů nebo policistů a nabídky „supervýhodných“ investic.
„Druhá věc je pak ta, že většinou u sebe máte v jedné peněžence více karet. To pak taky nefunguje,“ podotýká ještě Kropík s tím, že nemají od žádného klienta zprávu, že by se s takovým útokem setkal.
Nespoléhat se, že se to nestane
Technologie se ale vyvíjí, a tak podle Tomáše Přeučila z Katedry číslicového návrhu FIT ČVUT nelze na teorii s více kartami spoléhat. „Útočníci můžou přijít s novým útokem, kde obejdou nějakou část platebního protokolu, a najednou budou moci z karet krást ne stokoruny, ale desetitisíce,“ říká a upozorňuje, že by to nebylo poprvé. „Říci, že ‚ochrana platebních karet je zbytečná, protože se ty bezkontaktní útoky na platební karty prakticky nevyskytují‘, je totéž, jako říci, že nebudu zamykat dům a klíče od auta nechám v zapalování, protože v téhle části města se přece nekrade,“ vysvětluje.
Stejně tak je podle něj mylná představa, že útok selže v případě, že se v poli čtečky vyskytuje více karet najednou. „To, že v tom případě karty nenačtete telefonem nebo že takovou transakci odmítne legitimní terminál, je jedna věc. Ale rozhodně je možné komunikovat jen s jednou kartou, i když je jich v poli čtečky víc,“ říká.
Přeučil sám nosí v peněžence RFID blokující prvek, který „rozbije“ komunikaci mezi kartou a čtečkou. „Stačí zhruba třetinový překryv s kartou,“ vysvětluje. Takový blokující prvek (například zmíněné pouzdro) je pak podle něj schopen chránit všechny karty v peněžence. Pokud by měl platební kartu jen hodit do batohu, použil by na ni zmíněný ochranný obal. „Ten ale musí překrýt kartu celou. A pas bych si bez blokujícího pouzdra nevzal nikam, i když tady už je to možná až profesní paranoia,“ říká.
Další hrozby
„Nové typy zneužití platebních karet evidujeme, ale v praxi je to například takzvaný skimming, tedy kopírování platební karty při výběru z bankomatu,“ uvedla příklad dalších hrozeb tisková mluvčí Komerční banky Šárka Nevoralová.
„Největším bezpečnostním průšvihem je magnetický proužek. Ten je naprosto triviální naklonovat. Pokud můžete, vypněte si možnost jeho použití v internetovém bankovnictví,“ varuje Přeučil. Podle něj jinak není v současnosti potřeba chránit speciálním pouzdrem například notebooky. U telefonu ale doporučuje mít aktivovaný NFC pouze při platbách.
Stejně jako Buček nicméně doporučuje chránit klíče od auta, která mají bezklíčové odemykání a startování auta. „Tady je důležité upozornit, že RFID blokující pouzdro nemusí na klíče fungovat. Takže si určitě vyzkoušejte efektivitu ochranného řešení. Proces zesílení signálu mezi autem a klíčem a následné odemknutí a odjezd trvá jen pár desítek sekund. Ochranu proti tomuto typu útoku mají jen opravdu moderní auta,“ dodává Přeučil.
