Telefon z NFC wystarczy do odczytania historii transakcji z karty zbliżeniowej

Wystarczy zwykły telefon z modułem NFC, by z każdej karty zbliżeniowej odczytać numer rachunku i datę ważności. Niektóre plastiki przechowują ponadto w pamięci historię kilku ostatnich transakcji – nie tylko zbliżeniowych. Wystarczy dotknąć telefonem do portfela.

O sprawie pierwszy napisał serwis Niebezpiecznik.pl. Za pomocą aplikacji Banking card reader NFC (EMV) zainstalowanej na telefonie z modułem NFC możemy odczytać ze zbliżeniowych kart płatniczych niektóre dane. Każda karta ujawnia w ten sposób swój numer i datę ważności. Oczywiście te informacje nie wystarczą do przeprowadzenia żadnej operacji. Do transakcji internetowej potrzebny byłby jeszcze kod CVV i nazwisko posiadacza. Takich danych nie jesteśmy już w stanie pozyskać za pomocą aplikacji.

W przypadku niektórych kart możliwe jest odczytanie historii ostatnich 10 transakcji z karty wraz z ich kwotami. Z testu, który przeprowadziliśmy w redakcji wynika, że dane o transakcjach ujawniają niektóre karty mBanku, Alior Synca, BOŚ-a, Getin Online czy Banku Millennium. To nie tylko transakcje zbliżeniowe, ale także pozostałe – wypłaty z bankomatów czy transakcje chipowe. Okazuje się też, że jeśli w portfelu znajduje się tylko 1 karta zbliżeniowa, wystarczy przyłożyć telefon do portfela, by poprawnie udało się odczytać dane z karty.

Dane ostatnich transakcji odczytane z karty znajdującej się w portfelu (telefon Nexus 4)

Zapytałem banki dlaczego z niektórych kart można odczytać takie informacje. – Banki indywidualnie decydują o ustawieniach profilu kart stąd różnice w prezentowaniu informacji – usłyszałem w PKO BP. – Powszechnie wymagane jest CVV2 / CVC2 przez akceptanta ecommerce, dodatkowo jest możliwość autentykacji 3D secure, dlatego mało prawdopodobne jest dokonanie transakcji w oparciu o numer karty i datę ważności – uspokajają eksperci.

– Dane widoczne za pomocą aplikacji przechowywane są na kartach płatniczych i mogą być odczytywane przez terminale POS w celu realizacji transakcji zbliżeniowych. Nie są jednak wystarczające do realizacji tych transakcji – podkreślają specjaliści od kart z BOŚ Banku. – Płatności bezstykowe są zabezpieczone dynamicznym kryptogramem unikalnym dla każdej transakcji i niemożliwym do ponownego wykorzystania. Ponadto do realizacji wszelkich transakcji kartowych potrzebne są dodatkowe odseparowane dane przechowywane odrębnie takie jak dane z mikroprocesora lub paska magnetycznego, imię i nazwisko posiadacza karty, pin lub kod CVC. Uzyskanie nawet tak ograniczonych danych zapisanych na karcie jest utrudnione o ile posiadacz karty zachowuje należytą staranność – mówią eksperci.

Klientów uspokaja także rzecznik Getin Banku, Wojciech Sury: – Na podstawie analizy przeprowadzonej przez Bank, MasterCard i Oberthur Polska stwierdziliśmy, że wspomniana aplikacja nie pobiera z kart żadnych wrażliwych danych. Karty z funkcją zbliżeniową pozostają w 100% zabezpieczone, a osoba korzystająca z aplikacji nie ma możliwości pobrania nazwiska klienta, nr CVC lub kluczy szyfrujących, które mógłby być użyte w przypadku fraudu lub wyprodukowania kopii karty. Aplikacja, za pomocą funkcji zbliżeniowej, odczytuje jedynie nr karty, datę ważności oraz listę 10 prób przeprowadzenia transakcji za pomocą karty. Zgodnie z mandatami organizacji płatniczych, nie są to dane szyfrowane.

– Na wstępie, chciałbym uspokoić czytelników, że za pomocą aplikacji Banking Card Reader nie jest możliwe wykonanie jakichkolwiek transakcji bankowych, czy uzyskanie dostępu do wrażliwych danych – powiedział nam Julian Krzyżanowski, rzecznik Alior Banku. – Informacje, których odczytanie umożliwia aplikacja, w większości pokrywają się z danymi dostępnymi na standardowych rachunkach otrzymywanych w sklepach lub punktach usługowych. Zapewniam, że karty debetowe Alior Banku, które umożliwiają korzystanie z aplikacji są tak samo bezpieczne jak te, które nie dają takiej możliwości. Karty banku zostały przygotowane zgodnie ze specyfikacją organizacji płatniczej a ich dodatkowe właściwości dają możliwość wdrożenia nowej funkcjonalności w Banku . Rozszerzy ona znacząco tradycyjne funkcje kart płatniczych.

Dane o ostatnich transakcjach są dla osoby postronnej w zasadzie nieprzydatne. Karta nie ujawnia bardziej szczegółowych informacji, na przykład o tym, gdzie zostały wykonane zakupy. Ale wbrew pozorom dla niektórych osób mogą okazać się użyteczne. Na przykład w takich związkach, gdzie zaufanie do partnera/partnerki jest delikatnie mówiąc nienajlepsze. Taki podejrzliwy partner może na przykład potajemnie kontrolować wydatki żony. Oczywiście to skrajny scenariusz, ale nie od dziś wiadomo, że do różnych rzeczy potrafią się posunąć zazdrośnicy 😉

w.boczon@bankier.pl