Zabrinjavajući podaci o korištenju beskontaktnih bankovnih kartica dolaze od dvije odvojene studije provedene u Velikoj Britaniji u razmaku od pola godine.
Jednu studiju o korištenju beskontaktnih bankovnih kartica napravio je potrošački portal ”Which?”, a drugu ”Money Mail”. Obje pokazuju kako se praktično mogu ukrasti podaci zabilježeni na ovoj vrsti kartica. Sve što im je trebalo bio je čitač kakvog se za oko 30 funti pa i manje može naći i kupiti u web-shopovima.
U svome istraživanju ”Which?” ih je testirao na deset različitih kreditnih i debitnih kartica i unatoč kodiranju uspjeli su iščitati sve bitne podatke. Da stvar bude još gora, na koncu su bez velike muke podatke kojih su se dočepali uspjeli iskoristiti u jednoj online transakciji, piše Slobodna Dalmacija.
”Sumnjali smo da će biti moguće to odraditi bez imena vlasnika kartice i CVV koda, ali smo bili u krivu. Naručili smo dvije stvari, među kojima i jedan TV set vrijedan tri tisuće funti, koristeći se ukradenim podacima i kombinirajući ih s lažnim imenima”, pohvalili su se u ”Whichu?”.
Udruga kartičara Velike Britanije napominje da to i nije neko novo otkriće. Postotak zloupotreba kod beskontaktnih kartica, po Richardu Kochu, šefu te Udruge, iznosi samo jedan peni na svakih 100 potrošenih funti i još puno je manji nego kod drugih vrsta bezgotovinskog plaćanja.
No, demantirali su ga podaci istraživanja ”Money Maila”, po kojima je iznos kod zloupotreba beskontaktnih kartica s 516.500 funti u prvih šest mjeseci 2015. godine skočio na 2,9 milijuna funti u prvom polugodištu ove godine. I oni su uspjeli bez velike muke skenirati podatke na način da su se čitačima približili na nekoliko centimetara udaljenosti, i to bez obzira jesu li ih vlasnici držali u torbama ili džepovima jaketa.
”Možda je moguće manji postotak kartica iščitati s udaljenosti od 15 do 20 centimetara. Ali ako se to događa u 0,1 posto slučajeva, sa 300 milijuna transkacija koliko smo ih imali lani, mnogi bi potrošači mogli biti ugroženi”, upozorava Peter Eisenger iz Nacionalne potrošačke federacije Velike Britanije, koji je bio među ekspertima kada se izrađivao Europski standard pokrivenosti kod korištenja beskontaktnih kartica.
Traže nove standarde
Kartičarska industrija predviđa jačinu magnetskog polja od pet centimetara, ali Eisenegger priznaje da ih se može probiti i s veće udaljenosti. On zato apelira na banke i provajdere da iziđu s novim standardima kada je u pitanju beskontaktna tehnologija.
Izdavači ove vrste kartica u pravilu ograničavaju visinu transakcije koju je moguće njome obaviti, a bez autorizacije. Dok je u Britaniji to 30 funti, u Hrvatskoj se radi o iznosu od 100 kuna.
”Usluga je namijenjena za plaćanje transakcija ukupnog iznosa do 100 kuna bez potvrde PIN-om, dok se transakcije iznad tog iznosa moraju obavezno potvrditi PIN-om odnosno potpisom slipa kod MasterCard kartica”, kazali su u Erste banci.
U toj novčarskoj kući uvjeravaju kako nema mjesta za zabrinutost njihovih klijenata.
”Beskontaktna funkcionalnost kartice implementirana je prema najvišim tehnološkim kriterijima kartičnih kuća te pripadajućim najvišim sigurnosnim standardima, koristeći MasterCard MChip Advance specifikaciju. Specifikacijom je definiran skup podataka na kartici i načini ponašanja prilikom korištenja kartice na prihvatnim uređajima. Komunikacija između platne beskontaktne kartice i prihvatnog uređaja propisana je međunarodnim standardom ISO/IEC 14443 koji između ostalog propisuje operativnu frekvenciju komunikacije, operativni komunikacijski doseg terminala, brzinu transfera podataka, enkripcijske mogućnosti i drugo. U svrhu osiguranja komunikacije između prihvatnog uređaja i kartice definirane su procedure koje onemogućavaju zloporabu podataka prilikom bežičnog prijenosa. Kartica i prihvatni uređaji dizajnirani su na način da se „osjetljivi“ podaci bitni za izvršenje financijske transakcije kriptiraju prije prijenosa čime je onemogućena njihova promjena”, poručuju iz Erste banke.
Oni, kao ni kolege im iz Raiffeisen banke kažu da do sada nisu imali prijavljene slučajeve nepravilnosti. Takvim podacima ne raspolažu ni u Hrvatskoj udruzi banaka (HUB).
Prigovori klijenata
”Prigovori klijenata vezano uz beskontaktno plaćanje najčešće su vezani uz samu realizaciju beskontaktnih transakcija na prodajnim mjestima – informiranost trgovaca u vezi s provođenjem beskontaktne transakcije, fizičko preuzimanje kartice od trgovca unatoč tome što kod beskontaktnih transakcija nije predviđena predajom kartice, iniciranje beskontaktnih transakcija na POS terminalu bez prethodnog odobrenja korisnika kartice i slično.
Također, redovito se bilježe upiti korisnika vezano uz sigurnost ovog oblika plaćanja i samu realizaciju ovih transakcija. Ističemo da u slučajevima kada terminal ne podržava beskontaktno plaćanje ili korisnik kartice ne želi plaćati beskontaktnim načinom, transakcije debitnom beskontaknom karticom moguće je provesti na “klasičan način”, umetanjem kartice i potvrdom PIN-om”, rekli su u jednoj od domaćih banaka.
Kako se zaštititi
1. Može se odsjeći gornji desni kut kartice i tako spriječiti da ona odašilje signal naplatnom uređaju. U tome slučaju kartica će se moći koristiti uz autorizaciju PIN-om, ali je problem što ih može progutati bankomat jer to detektira kao grešku.
2. Zaštita se može ostvariti i da se kartica omota aluminijskom folijom jer je ona barijera za emitiranje signala. Neke su tvrtke već na tržište izbacile i posebno proizvode poput plastične navlake, ali je nevolja što za korištenje kartice morate ju izvući van i prisloniti na uređaj.
3. Jedna je studija pokazala da je, zbog pretrpanosti stvarima, čitaču najteže do kartice i njezinih podataka bilo doprijeti u – ženskim torbicama. Skeneri teško mogu prodrijeti kroz brojne predmete u torbi do same kartice.
Svi se slažu da je najbolji lijek edukacija, ali i stalna kontrola prometa i troškova od samih klijenata.
”Ako vam netko ukrade 500 funti s bankovnog računa, to ćete uočiti odmah. Ali mnogi ljudi neće shvatiti da im fali 30 funti sve dok ne provjere račun krajem mjeseca. Međutim tada mnogi zaboravljaju na što su sve trošili i ustručavaju se prijaviti”, upozorava Morgan Roth, direktor tvrtke specijalizirane za sprečavanje financijskih zloporaba.
(146)