Cât de sigure sunt, de fapt, plățile cu un card contactless

Cât de sigure sunt, de fapt, plățile cu un card contactless

Plățile contactless sunt foarte comode, e un fapt acceptat de aproape toată lumea. Este mult mai rapid și comod să folosești un card contactless, mai ales pentru cumpărăturile sub un anumit prag (de obicei limita este de 100 de lei), ce nu necesită introducerea codului PIN. În privința siguranței, au existat însă mereu semne de întrebare și cercetători care au reușit să demonstreze punctele slabe ale acestui sistem.

Tehnologia pe baza căreia funcționează cardurile contactless se numește NFC (Near Field Communication și este similară celei RFID (Radio Frequency Identification), de identificare printr-o frecvență radio. În card există un chip și o antenă minusculă, care răspunde pe o anumită frecvență cererilor din partea terminalului POS.

Pentru ca o tranzacție să poată fi realizată, este nevoie de o distanță foarte mică între card și POS: în jur de doi centimetri, ceea ce reduce câmpul de manevră al unor eventuali infractori.

Tehnologia contactless nu se limitează la un card bancar obișnuit, ci poate fi integrată în brățări sau în smartphone-uri: Secure Element este denumirea chip-ului integrat în telefon. Acesta este separat de sistemul de operare al telefonului și nu poate fi citit decât de anumite aplicații verificate sau de portofele digitale.

Partea foarte bună este că, și în cazul în care telefonul ar fi infectat cu malware, informațiile din Secure Element vor rămâne în siguranță, pentru că sunt separate de sistemul de operare al telefonului.

Au existat însă și demonstrații în scop științific, cu un cititor de card care putea acționa la o distanță mai mare – de exemplu, dispozitivul unor cercetători de la Universitatea Surrey acționa la 80 de cm. Într-un loc aglomerat, lista de victime ar putea fi substanțială. O altă metodă, foarte ingenioasă, le aparține unor spanioli.

Ei s-au gândit că, de regulă, portofelul în care se află cardul stă în apropierea unui smartphone, așa că au creat un troian pentru Android care transformă telefonul într-un transponder NFC. Astfel, un potențial infractor ar afla când un smartphone infectat se află în apropierea unui card contactless și ar activa un terminal POS, citind prin NFC datele de card.

Nu este însă totul rezolvat dacă un card se află în apropierea unui cititor fals, pentru că tranzacțiile contactless sunt criptate cu o cheie de unică folosință și, chiar dacă ar fi interceptată, nu ar putea fi folosită decât o dată. La tranzacțiile peste o anumită valoare – 100 de lei, în România și aproximativ 25 de euro, în alte țări – se mai aplică o măsură suplimentară de siguranță: codul PIN sau semnătura.

Standardul EMV nu este nici el infailibil. Unele date rămân necriptate în memoria chip-ului (de exemplu, numărul cardului) și ar putea fi obținute prin intermediul unui smartphone, având o aplicație de banking instalată, care poate citi cardurile NFC. De aici, până la a decoda datele de care e nevoie pentru tranzacții online (numărul cardului și data de expirare, de exemplu), nu este o distanță prea mare.

Ele nu ar putea fi folosite, totuși, fără codul CVC de pe spatele cardului, decât pe un număr din ce în ce mai redus de site-uri.

O altă vulnerabilitate raportată, de data aceasta, de niște cercetători britanici de la Universitatea din Newcastle, se referă la faptul că un card contactless ar putea să depășească limita stabilită, dacă tranzacția este efectuată în altă monedă decât în lire sterline. Altfel, în teorie, ar fi posibilă realizarea unor tranzacții cu sume fabuloase, fără a se cere codul PIN, dar în practică băncile spun că o tranzacție de valoare mare le-ar atrage imediat atenția și nu ar fi autorizată.

[readmore]

În ciuda celor relatate, eu am încredere să plătesc folosind cardul contactless. Până la urmă, nimic nu este 100% sigur, dar câteva măsuri de siguranță îmi dau încrederea că riscul de a se întâmpla ceva rău este extrem de mic: telefonul protejat de un AV, cu aplicații actualizate, un cont activ atașat cardului care nu are extrem de mulți bani în cont și un portofel cu protecție RFID.


Conținutul articolelor din secțiunea Opinii reprezintă strict opiniile autorilor textelor și nu reprezintă neapărat poziția oficială a PLAYTECH.ro.

Dan Demeter
Articol scris de
Dan Demeter
Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile informatice asupra sistemelor IoT.
Comentarii
11:00 / 30.06.2018