Wojna z gotówką: Plastik z szyfrem

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

nbs.09.2011.foto.029.a.450xW 1994 r. stowarzyszenie bankowców we Francji jako pierwsze w Europie zarekomendowało swoim członkom wykorzystanie karty elektronicznej do weryfikacji PIN-u w trybie off-line.

Dzięki wdrożeniu tych kart nastąpił systematyczny spadek nadużyć w czasie transakcji. Francuzi byli z tego „wynalazku” zadowoleni na tyle, że dopiero niedawno zdecydowali się na wprowadzenie standardu EMV, a więc nie jako pierwsi… Na świecie powszechnie już wdrażane są karty elektroniczne autoryzowane w trybie on-line. Głównym uzasadnieniem jest dramatyczny w ostatnich latach wzrost nadużyć na kartach magnetycznych, przeniesienie na banki odpowiedzialności za skutki przestępstw transakcyjnych (Liability Shift), a także dążenie do ograniczenia kosztów autoryzacji w trybie on-line.

Mikrokomputer do płatności

Banki w Wielkiej Brytanii przeszły na karty mikroprocesorowe, aby ograniczyć straty z lawiny fałszerstw na kartach z paskiem magnetycznym, które kosztowały podatników ponad 500 mln funtów rocznie. Brytyjczycy postanowili zainwestować w migrację kart do standardu EMV ponad miliard funtów, wydatki te zwróciły się im po trzech latach. W Polsce straty z tytułu fałszerstw kartowych są stosunkowo niewielkie, trzy może nawet cztery razy niższe niż średnio w Unii Europejskiej, jednak banki, nie czekając na uderzenie „migrujących fałszerstw”, zainwestowały już ogromne środki w technologie mikroprocesorowe.

Karty z chipem to wielofunkcyjne karty płatnicze: ich sercem jest mikroprocesor, który działa jak miniaturowy komputer. Z jednej strony daje wysoki poziom bezpieczeństwa drobnych transakcji (bez podpisu lub PIN-u) i umożliwia dokonywanie błyskawicznych płatności zbliżeniowych, z drugiej zaś pozwala bankom łączyć na karcie różne dodatkowe aplikacje, nie tylko płatnicze, a także indywidualizować obsługę klienta.

Mikroprocesor zapamiętuje do kilku tysięcy razy więcej informacji niż tradycyjny pasek magnetyczny i jest – w przeciwieństwie do paska, z którego dane są wyłącznie odczytywane – dynamicznym nośnikiem informacji, tj. posiada zdolność samodzielnego ich przetwarzania, czyli działania jak mikrokomputer. Może np. sam autoryzować transakcje do wysokości zadanego limitu bez konieczności łączenia się z bankiem, co znacznie przyspiesza transakcję i zmniejsza koszty telekomunikacyjne (połączenia autoryzacyjne) placówki handlowej czy usługowej.

nbs.09.2011.foto.030.a.450xSuperszpieg z Allegro

Wdrożenie instrumentów pieniądza elektronicznego trwa długo, o wiele krótszy jest cykl łamania ich kodów przez przestępców. Zdaniem dr. Jacka Biskupskiego z Biura Ekspertyz Specjalistycznych pasek magnetyczny nigdy nie stanowił dostatecznego zabezpieczenia karty, jest swego rodzaju kodem kreskowym służącym wyłącznie temu, aby wpisywać dane do systemu bankowego. Niewątpliwie to wzrost nadużyć na kartach magnetycznych spowodował zainteresowanie emitentów kartami chipowymi, w których nie jest aż tak łatwe kopiowanie (skimming) zawartości karty dla celów przestępczych.

Pierwszy skimmer pojawił się na europejskim rynku w 2005 r. – duże gabarytowo urządzenie połączone z akumulatorem, kamerą i anteną było instalowane na bankomacie, oszuści siedzieli obok w samochodzie, skimmer przekazywał im na bieżąco obraz. Przestępcy widzieli więc, jak wygląda PIN, a drugie niezależnie działające urządzenie zainstalowane na bankomacie dokonywało odczytu paska. Cały ten skimmer kosztował kilka tysięcy dolarów.

Dzisiaj to już historia, przestępcom wystarczy kamera cyfrowa zdalnie podłączona do telefonu komórkowego, aby uzyskać nawet ośmiogodzinny zapis naszych PIN-ów i kart magnetycznych. Sprzęt do skimmingu jest stosunkowo łatwo dostępny w internecie. Kamerę szpiegowską ukrytą w długopisie z dobrze działającym podsłuchem można zakupić na Allegro już za dwieście złotych. Najnowsze pomysły na skimming przywożą do Polski… obywatele Rumunii. Jak twierdzi policja, zorganizowane grupy przestępcze posiadają aktualne wykazy bankomatów, które nie funkcjonują zgodnie ze standardem EMV i te głównie wybierają sobie za cel.

Sposobem na lusterko

Złodzieje mają wiele sposobów, by zgarnąć z bankomatu naszą gotówkę. Stosują różne metody bardziej lub mniej skomplikowane, między innymi: n na lusterko lub kamerę bądź sprytnie zamontowany system kilku lusterek, by odczytać PIN. n z kamerą i skanerem – w belce nad klawiaturą bankomatu umieszczona jest kamera. Złodzieje „kradną” dane z paska magnetycznego, wykonują kopię karty i uzyskują dostęp do konta. n z nakładką – na bankomacie montują nakładki podobne do prawdziwych elementów bankomatu. Na oryginalnej klawiaturze znajduje się fałszywa, a przy otworze bankomatu czytnik pasków magnetycznych. Nakładka na klawiaturze zapamiętuje nasz PIN, a czytnik pasków kopiuje dane z paska karty.

Z danych policji wynika, że popularne wśród bankomatowych opryszków jest montowanie blokady w otworze bankomatu, przez który odbieramy pieniądze. W tym przypadku transakcja przebiega normalnie do momentu ich wypłaty – wtedy na ekranie pojawia się komunikat o błędzie. Zdezorientowany klient szuka pomocy w placówce banku, a złodziej spokojnie odbiera pozostawione w bankomacie pieniądze. Tymczasem po zgłoszeniu awarii bankomat pozostaje nieczynny aż do momentu przyjazdu serwisantów i dopiero wówczas wiadomo, co tak naprawdę się stało.

Niedawno krakowska policja zatrzymała 35-latka, który przez kilka lat okradał bankomaty w całym kraju. Znaleziono przy nim sześć kart własnej produkcji, dzięki nim „zarobił” 700 tys. zł. Złodziej pracował wcześniej jako informatyk programista. Na okradanych przez siebie bankomatach montował „dodatkowe wyposażenie”: kamerę, która obserwowała klawiaturę i wpisywane numery PIN, oraz czytnik pozwalający skopiować pasek magnetyczny wsuwanej do bankomatu karty. To pozwalało mu na stworzenie kopii oryginalnej karty – i użycie jej później do pobierania gotówki. Ofiarami przestępcy byli klienci praktycznie wszystkich banków. 35-latek jeździł po największych miastach Polski i przebywając tam po kilka dni, dokonywał kradzieży.

KARTA KIBICA SGB

Gospodarczy Bank Wielkopolski S.A. wdrożył projekt unikatowej Karty Kibica. Technologia bezstykowa MasterCard PayPass to szybkie płatności, bez PIN-u i podpisu (w przypadku niskich kwot). Funkcje standardowe spełnia karta przedpłacona z możliwością doładowywania za pomocą przelewu na rachunek, w kasie banku, na poczcie i na stadionie. Kartą Kibica można dokonywać płatności standardowych oraz zbliżeniowych w punktach handlowych, służy ona również do wypłat z bankomatów, zapewnia serwis SMS, tj. pozwalający sprawdzać salda i historię transakcji. Klienci posiadający ROR zarządzają płatnościami poprzez serwis bankowości internetowej.

Karta SGB służy jako karnet, dzięki niej kibic m.in. otworzy bramkę wejściową na stadion Lecha i opłaci drobne wydatki w punktach handlowo-usługowych, a transakcje są premiowane w ramach programu lojalnościowego. Projekt powstał we współpracy GBW, klubu KKS Lech oraz miasta Poznań. Karta ma być dystrybuowana wśród kibiców od rundy wiosennej rozgrywek ekstraklasy. GBW liczy, że stanie się prawdziwym hitem również podczas Mistrzostw Euro 2012.

Nie kusić złego…

Karty chipowe EMV są kartami hybrydowymi zawierającymi również pasek magnetyczny, przez to nadal podatnymi na skopiowanie. Dlatego, żeby nie popełnić tego samego błędu, z racji coraz częstszych ataków skimmingowych w Polsce, bardzo ważne jest, by poza standardem EMV, bankomaty posiadały zabezpieczenia antyskimmingowe, czyli różnego rodzaju rozwiązania oferowane przez producentów bankomatów utrudniające lub uniemożliwiające skopiowanie karty.

Zdaniem ekspertów Wincor Nixdorf przed skimmingiem skutecznie chronią nakładki na wejście czytnika zintegrowane z elektroniką specjalną lub oprogramowaniem bankomatu. Ingerencja lub usunięcie takiej nakładki przez przestępców powoduje unieruchomienie bankomatu. Podobnym rozwiązaniem jest nakładka na klawiaturę PIN powodująca, że jej klawisze są niewidoczne dla ukrytej przez przestępców kamery. Nakładka ta skutecznie uniemożliwia również instalację fałszywej klawiatury.

Zdaniem dr. J. Biskupskiego, emisji kart elektronicznych musi towarzyszyć globalna współpraca banków w ramach międzynarodowych systemów SEPA. W 1996 r. ustalono wspólną specyfikację EMV, która określa standardy techniczne systemu kart elektronicznych z różnymi aplikacjami płatniczymi (karty debetowe). Specyfikacja ta została pierwotnie zapisana na ok. 200 stronach, jej wersja aktualna liczy sobie aż 800 stron, co świadczy o tym, że technologia produkcji kart komplikuje się zgodnie z przysłowiem: im dalej w las, tym więcej drzew.

Standard EMV do poprawki?

Skopiowanie karty z mikroprocesorem wymaga bardziej skomplikowanych urządzeń od czytników pasków magnetycznych; część danych może być zakodowana i niemożliwa do odczytania bez klucza. Elektroniczny chip w standardzie EMV (wspólnym dla MasterCard i Visa), o ile właściciel nie zdradził się ze swoim numerem PIN, jest dla złodzieja barierą nie do pokonania. Tak się przynajmniej uważało…

Niedawno podważył to mocne przekonanie zespół informatyków z Uniwersytetu w Cambridge, który wykrył metodę dokonywania zakupów i pobierania pieniędzy z karty za pomocą… dowolnej kombinacji PIN. Dzieje się ponoć tak dzięki elektronicznej „dezorientacji” łącza między terminalem w sklepie a serwerem w banku. Wystarczy przechwycić elektroniczną komunikację między kartą a czytnikiem i – za pomocą komputera – przekazać terminalowi informację, że karta zaakceptowała wprowadzony PIN.

Metoda ta na szczęście nie działa w przypadku bankomatów, ponieważ tam weryfikacja PIN dokonuje się na serwerach banku. Brytyjscy naukowcy uważają jednak, że cały standard zabezpieczeń EMV, który zastąpił rozpracowane przez oszustów paski magnetyczne, zawiera wiele luk i wymaga gruntownej modyfikacji.