Kradzieże z kart zbliżeniowych w autobusie. Nie dajcie się nabrać

Wystarczy zbliżyć się do kogoś z terminalem płatniczym obsługującym transakcje bezdotykowe, żeby ukraść z jego konta pieniądze – alarmują internauci, pokazując zdjęcia przedstawiające przestępców w akcji w komunikacji publicznej.

To nie pierwszy raz, gdy internet daje powody do paniki – we wrześniu 2016 przestępcy mieli grasować w Wielkiej Brytanii, w lutym tego samego roku pierwsze doniesienia o kradzieżach z kart zbliżeniowych w zatłoczonym metrze dotarły z Rosji.

Pomysł na kradzież jest prosty – zakupy na mniejsze kwoty (w Polsce jest to granica 50 zł) nie wymagają podawania kodu PIN, wystarczy zbliżenie karty do terminala płatniczego. Wystarczy więc zaopatrzyć się w takie urządzenie, zaprogramować kwotę 49 zł i korzystając z tłoku w środkach komunikacji publicznej pobierać opłaty z kart znajdujących się w portfelach chowanych w kieszeniach, torbach i torebkach.

Wystarczy w godzinach szczytu okraść w ten sposób 100 osób, żeby zdobyć niemal 5000 zł. Taka gratka to zachęta dla przestępców, w autobusach, tramwajach i metrze powinno więc roić się od złodziei.

Komisja Nadzoru Finansowego informuje jednak, że nie otrzymała nawet jednego sygnału o takiej kradzieży. Złodzieje mogą więc zadawać sobie pytanie – co poszło nie tak?

Nie tak łatwo zdobyć działający terminal

O ile zakupienie terminalu POS (point of sale) jest relatywnie łatwe i wymaga wydania około 1500 zł, o tyle zdobycie możliwości pobierania za jego pośrednictwem opłat wymaga umowy z centrum autoryzacyjnym.

Podpisać ją mogą tylko legalnie działające przedsiębiorstwa. Oznacza to, że zawsze znane są dane firmy (i stojących za nią osób), na które trafiają płatności pobierane w trybie zbliżeniowym. Ustalenie tożsamości przestępcy trwałoby więc zaledwie kilka sekund.

Można oczywiście założyć firmę na fałszywe dane osobowe – te jednak będą sprawdzane podczas podpisywania umowy z centrum autoryzacyjnym. Jak widać, kradzież pieniędzy z karty zbliżeniowej jest niemożliwa z biznesowego punktu widzenia – a to nie koniec problemów, z jakimi musieliby sobie poradzić przestępcy.

Prosta metoda, skomplikowana technologia

Za każdym razem, gdy zbliżamy kartę (lub inny środek płatności bezdotykowych, na przykład naklejki, telefony czy nawet pierścionki) do terminala, generowany jest unikalny kod dynamiczny potwierdzający transakcję.

Ten kod rzeczywiście można przechwycić korzystając ze specjalnego czytnika – tyle tylko, że generowany jest on z uwzględnieniem danych o terminalu, w którym przeprowadzona jest transakcja. Nagranie, a potem odtworzenie takiego kodu przy innym terminalu płatniczym nie da więc żadnego efektu – dane nie będą się po prostu zgadzać.

Twórcy systemu płatniczego podają, że przeprowadzenie ataku na kartę zbliżeniową i wykradzenie z niej pieniędzy teoretycznie jest możliwe – w praktyce proces jest jednak tak skomplikowany, że nie da się go przeprowadzić.

Wymaga on współpracy dwóch przestępców – zadaniem pierwszego z nich jest zrobienie zakupów, drugi zaś ma przejąć kod dynamiczny z karty zbliżeniowej ofiary. Złodzieje muszą połączyć swoje telefony przez internet – aplikacja na smartfonie w sklepie łączy się z terminalem i przesyła żądanie kodu do telefonu w autobusie, które przekazuje je do karty.

Otrzymany sygnał transmitowany jest z powrotem do sklepu i przedstawiany terminalowi – w praktyce telefony pośredniczą tylko w dokonaniu transakcji, która wygląda dla centrum autoryzacyjnego na prawidłowo wykonaną.

Problemem, przed jakim stają przestępcy jest odpowiednie zsynchronizowanie działania, tak by dokładnie w chwili przykładania pierwszego telefonu do terminalu drugi znalazł się w sąsiedztwie karty.

Dodatkowym zabezpieczeniem przed tego rodzaju kradzieżą jest ograniczenie czasu dawanego karcie na wysłanie sygnału – zanim żądanie trafi przez internet do telefonu w autobusie, a odpowiedź zostanie przesłana z powrotem, transakcja może już zostać anulowana.

Skąd wzięła się panika?

Zdjęcie, które jest wykorzystywane do zilustrowania ostrzeżeń przed kradzieżami z kart zbliżeniowych zostało wykonane w lutym 2016 w Rosji przez Olega Gorobetsa, pracownika Kaspersky lab odpowiedzialnego za pozycjonowanie jest stron w internecie.

Rosjanin uznał, że osoba trzymająca w wagonie metra włączony terminal POS używa go do okradania pasażerów i umieścił tę informację na swoim profilu na Facebooku. To wystarczyło, żeby potencjalnie sensacyjną wiadomość podjęły – bez prób zweryfikowania tych wiadomości – niektóre internetowe media.

Ostrzeżenia o takich kradzieżach trafiły także do Polski. Zanim jednak nabierzecie się na apel o ostrzeżenie wszystkich swoich znajomych o niebezpieczeństwie przez pokazanie im alarmującego artykułu, lepiej podzielcie się z nimi wiedzą o faktach. Ten tekst nadaje się do tego idealnie.