TOP

Platforma kybernetické bezpečnosti

Bezpečnost pro každého (5. díl)

Současný svět je zajímavý ve spoustě ohledů. Jedním z nich je i pohled na peníze. Dnes už není módou mít peněženku nabitou spoustou barevných papírků nebo kulatých kousků kovu (často nazývaných peníze). Dnes je v módě (a někdy i nutnost) mít v peněžence spoustu barevných plastových kartiček (takzvané platební karty), které umožňují platit, případně vybírat z tajemných skříněk.

Ale umíme s platebními kartami zacházet? Žijeme ještě stále v dobách, kdy jsme v peněžence měli peníze. Obdobně jako u mobilních telefonů je potřeba se s nimi naučit správně nakládat. Kdo si dnes vlastně uvědomuje a dostatečně zná nebezpečí, která na něj s bankovními kartami číhají? A dokážeme se s nimi vypořádat?

Trocha historie nikoho nezabije

Přestože si valná většina lidí spojuje bankovní karty s moderní dobou, situace je trochu odlišná. První karty s embossmentem, tedy s vyraženým (reliéfním) vzorem se objevily již v roce 1959. Původně šlo o klubové karty, které pro svoji identifikaci používali členové klubu. Následně se začalo využívat k tomu, že členové klubu nemuseli platit v hotovosti, ale použili pouze potvrzení platby pomocí této karty. V té době se jednalo o obrovskou změnu. Další změnu přinesl v roce 1970 magnetický proužek, v roce 1986 se objevily první čipové karty (standard EMV vznikl až v roce 1994). V roce 2005 začaly první bezkontaktní platební karty, v současnosti přichází možnost platit mobilem. Jaká jsou rizika těchto řešení?

Reliéfní značení dnes patří již k minulosti. Zpravidla je pomocí něj vyraženo číslo karty, jméno a platnost. Ještě nedávno bylo možné se potkat s tzv. žehličkami, které umožňovaly reliéf protisknout na účtenku, kterou zákazník podepsal. V dnešní době je lepší se těmto údajům na platební kartě vyhnout. Díky krádežím údajů o platebních kartách je riziko jejich zneužití vysoké.

Magnetický proužek obsahuje číslo karty, vlastníka, dobu platnosti, typ poplatků a dle vydavatele karty pak kód karty nebo v dávných dobách dokonce PIN (naštěstí se jedná o doby dávno minulé). V současnosti se tento způsob Evropě používá vzácně, můžete se s ním ještě občas setkat při otevření dveří vedoucích k místnosti s bankomatem v nočních hodinách. Na druhou stranu je to ve Spojených státech stále ten nejdůležitější způsob placení, přístup k platebním kartám a jejich možnému zneužití je zde odlišný. Přechod na čipové karty je velice bolestivý (čti nákladný a procesně složitý), proto do doby, než k tomuto přechodu dojde, bude magnetický proužek stále ještě běžnou výbavou platebních karet. Jako zajímavost k této technologii uveďme, že již existuje, alespoň experimentálně, zařízení, které umožní přesvědčit bankomat, že karta je vybavena pouze magnetickým proužkem. Takové zařízení má velikost přibližně kovové desetikoruny.

Čipové karty mají bohatší možnosti. Obsahují velké množství údajů, naštěstí je většina z nich uložena zašifrovaně. Přesto jsou i zde možnosti, jak uvedeného zneužít, ale banky se naštěstí snaží omezit případné zneužití a své ztráty. Zde je největším rizikem zapůjčení platební karty nebo takzvaný skimming, neboli „zkopírování obsahu“ a vytvoření „klonu karty“.

Bezkontaktní karty, které se začínají masově prosazovat, a banky se vám je snaží vnutit, jsou obecně dobrý nápad. Jejich obrovskou výhodou je odstranění kontaktních ploch, které jsou nejčastější příčinou problémů při placení kontaktními kartami. Výhoda se platí nevýhodou a novým rizikem. Velkou část informací posílají terminálu nešifrované (výjimkou jsou ověřovací údaje, tedy PIN). V takovém případě jste schopní si s anténou a vybavením za pár tisíc korun „číst“ komunikaci těchto karet s terminálem v nejbližším okolí. A proč je to na pováženou? Přestože se většina bank, alespoň na evropském kontinentu, snaží proti zneužití karet bránit, stále jsou možnosti jak uvedená data „zpracovat“ jinde. Co je horší, s použitím obyčejného telefonu (samozřejmě musí podporovat NFC) je možné načíst velké množství údajů o vlastní kartě. A co lépe charakterizuje v současnosti jakéhokoliv člověka než jeho finanční operace, které tu jsou volně dostupné (kdy, ID obchodníka, částka, měna). Tyto údaje jsou vyčtitelné z karty bez jakéhokoli ověření! Klasický telefon zvládne uvedené načíst do vzdálenosti zhruba 1 cm, s drobnými úpravami se dostanete na zhruba 0,4 m. Kontrola platebních operací pomocí načtení obsahu karty přes NFC mezi nedůvěřivými partnery je patrně to nejmenší riziko, cílený sběr informací např. v obchodním centru už podstatně horší.

Poslední novinku využívá telefon, který by měl bezkontaktně komunikovat s platebním terminálem. Jedná se o relativně novou technologii, která zatím z bezpečnostního hlediska není moc prozkoumaná. Z těchto důvodů není možné bezpečnost moc hodnotit. Velkou slabinou by mohlo být to, že tento protokol není navržen tak, aby byla vyžadována autentizace platby. Otázkou ovšem je, zda je možné se k mobilnímu telefonu, který lze napadnout nějakým škodlivým softwarem, chovat jako k peněžence. Hrozí zde riziko, že zloděje si budeme nosit s sebou. Každý svého vlastního.

Výběr peněz z bankomatů

Co je vlastně bankomat? Je to trezor, ve kterém je mimo peněz počítač, který komunikuje s platební kartou a bankou. Bohužel, existují levné a drahé modely. Drahý, kvalitní model, je téměř po všech stránkách zabezpečen. Navíc, kontejner s penězi zpravidla obsahuje barvu, která peníze v případě fyzického útoku znehodnotí. Bohužel, ne každý bankomat je takto odolný, dnešní doba přeje šetření na různých místech. Mimo vlastních fyzických slabin tohoto trezoru, lze například použít útok pomocí vložení vlastní čtečky karet. Možným cílem je i komunikace s bankou. Čemu se jako uživatel můžete bránit je hlavně ochrana před zneužitím pomocí výše zmíněných čteček, tzv. skimming. Co to vlastně je?

Skimming funguje jako samostatný počítač. Útočník ho vloží do přístroje na čtení karet a většina uživatelů nemá šanci uvedené poznat. Některá zařízení jsou dokonce ve formě krytů, které útočník nasadí přímo na originální ochranu vstupu pro kartu. Pokud půjdete vybrat peníze, bankomat si potřebuje z vaší karty načíst identifikaci. Následuje požadavek k vložení karty do bankomatu a ouvej. Útočníkovo vložené (skimovací) zařízení načte informace o vaší platební kartě a následně si je útočník při další obchůzce vyzvedne. K získání vašeho PINu se takové zařízení může rozšířit o falešné klávesnice nebo kamery nad klávesnicí. A ani bezkontaktní karty proti této technologii nejsou odolné. Konec konců, na internetu je možné na toto téma získat spoustu informací včetně obrázků.

Obrana před zneužitím

Když znáte rizika, je obrana možná a relativně jednoduchá. V současnosti to především znamená vyhnout se platebním kartám s vyraženými informacemi. Magnetický proužek má každá karta, ale objevují se snahy o jeho odstranění. Bohužel předtím je nutný plný přechod terminálů na použití čipových karet, což nebude dříve než koncem roku 2017 (hlavním důvodem je nedůvěra trhu ve Spojených státech, kde do konce tohoto roku mají velké obchodní řetězce začít podporovat čipové karty), tedy magnetický proužek tu rozhodně ještě nějaký čas bude.

Čipové karty jsou vcelku rozumné řešení, bohužel čip je nutné napájet a někdy kontaktní plošky zlobí, proto je vhodné nosit alespoň minimální objem hotovosti. S bezkontaktními kartami je ale nutné pracovat rozumně a obezřetně. Je to technologie, která se stále vyvíjí. To v tuto chvíli znamená využívat ochranná pouzdra, pracující jako Faradayovy klece (což znamená znemožnění čtení údajů z karty, pokud je vložena v takovém pouzdře) a nastavení limitu pro finanční operace vyžadující zadání PINu. Používání těchto karet pro operace po internetu je riskantní, každý si musí sám zvážit, jak moc bude ochoten svoje peníze riskovat, databáze platebních karet jsou častým cílem útočníků.

Co se týká skimmingu, zde je každá rada drahá. Při výběru peněz si zakrývejte klávesnici rukou, některá zařízení v okamžiku vložení karty budou monitorovat vaše pohyby po klávesnici. Zkontrolujte bankomat, zda nemá viditelné poškození, zda kryty nemají „zvláštní otvory“, umožňující záběr na klávesnici (dnešní kamery mohou být velké jako hlavička od zápalky), zvláštní příslušenství, které jste jinde neviděli, můžete zkontrolovat i otvor pro vstup karty. Zpravidla zde bývá divná či odlišná krytka, nebo se vám nebude něco líbit. Pokud se do této situace dostanete, můžete se sami rozhodnout. Buď to risknete, nebo si raději vyberete jiný bankomat.

Nejdůležitější ochranou karty je PIN. Je vhodné ho změnit po zaslání karty, přestože se jedná o automatizovaný proces, nikdy si nemůžete být jisti. Je vhodné ho měnit přímo na pobočkách bank. Navíc, je vhodné ho alespoň jednou za rok změnit.

Vzdálení příbuzní: podvodné e-maily

Posledním, ale nejdůležitějším článkem bezpečnosti je tzv. phishing, jako samostatná odrůda spamu. Jedná se o podvodné e-maily, které žádají o zaslání čísla bankovní karty, PINu, přihlášení se na portál banky atd. Uvedený e-mail je téměř stoprocentně podvrh, žádná banka NIKDY nebude chtít zaslat vaše údaje po internetu. Jednak je má k dispozici (kvůli ověřování), jednak by vás zbytečně vystavovala riziku úniku informací. Odesílatel těchto zpráv je zpravidla nějaká podivná adresa (občas je podobná názvu instituce, ale odlišná „překlepy“). Přihlášení na útočníkův falešný portál je zpravidla dnes už velice slušně zpracováno a s výjimkou některých amatérských pokusů (obsahujících překlepy a jiné chyby) působí důvěryhodně. Bohužel, často v takovém případě umožníte útočníkovi nejenom přístup k vašemu účtu, ale zároveň si do počítače ještě zanesete nákazu, která bude velice bedlivě sledovat vaše případné aktivity. Proto pokud neznáte odesílatele, v klidu zprávy smažte nebo zařaďte do nevyžádané pošty. Staré pravidlo říká, na odkazy v e-mailu se nekliká.

 

Zdroje:

https://samy.pl/magspoof/

https://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf

https://www.emvco.com/download_agreement.aspx?id=1055

https://nethemba.com/sk/update-bezpecnostna-analyza-platobnych-nfc-kariet/

 

Autor: Jan Dušátko