Praha - Bezkontaktní platební kartu lze snadno zneužít. Za pár set korun může zloděj koupit zařízení, díky němuž přečte nejen údaje o držiteli karty a uskutečněných platbách, ale i potřebná data pro internetové platby.
Tak lze ve stručnosti shrnout nejnovější varování týkající se nové generace platebních karet, kterou i v Česku používá čím dál více lidí. Na možné zneužití upozornilo občanské sdružení Iuridicum Remedium, zaměřující se už deset let mimo jiné právě na oblast ochrany soukromí.
Jak jednoduše lze získat přístup ke jménu držitele karty, číslu karty, datu její expirace či transakční historii, ukazuje video, které sdružení natočilo. Stačilo mu přitom investovat pár set korun do čtecího řízení, které je na internetu běžně dostupné. A získalo tak údaje, se kterými je možné zaplatit na některých e-shopech.
Při zmíněném pokusu sice nedošlo k načtení CVV/CVC kódu ze zadní strany karty, který slouží jako další potvrzovací znak při platbě kartou na většině internetových obchodů. Podle Jana Vobořila, ředitele Iuridicum Remedium, ale tento potvrzovací kód nevyžaduje třeba světový gigant mezi e-shopy Amazon.
Podle experta osloveného online deníkem Aktuálně.cz však tento pokus nepředstavuje zásadní průlom. Možnost zneužití je podle něj v praxi nepatrná a není potřeba propadat panice.
„Nechceme poskytovat jakýkoli návod k zneužití karet, ten už je v odborné veřejnosti znám. Rádi bychom ale na riziko spojené s užíváním bezkontaktních platebních karet upozornili i širokou veřejnost," říká ředitel sdružení Iuridicum Remedium Jan Vobořil.
„Samotné čtení karty uložené třeba v peněžence v kapse lze provést zcela nepozorovaně ve zlomku sekundy. Do karty není třeba se vlamovat, protože údaje nejsou nijak šifrovány, ani jinak zabezpečeny," dodává Vobořil.
Nebezpečí? Asi jako jízda autem
Uznávaný expert na platební karty Dalibor Z. Chvátal, šéfredaktor serveru Měšec.cz, však obavy mírní. „Popisovaná metoda není žádný objev, z bezkontaktní karty lze skutečně vyčíst základní údaje. Podobně jako je lze vyčíst u běžné karty jen tím, že kartu předáte obsluze k zaplacení. Takto natočené video však u lidí může vzbudit zbytečnou hysterii," podotýká.
Varování od občanského sdružení připodobňuje Chvátal k používání osobního automobilu. „Představte si na jedné straně video o tom, jak vás auto pohodlně zaveze z bodu A do bodu B. A na druhé straně naopak video ukazující vážné dopravní nehody se smrtelnými následky způsobené používáním automobilu. Obojí je pravda, ale přestanete jezdit autem?" ptá se.
Platební karty podle Chvátala opravdu nejsou na samém vrcholu kryptografie, protože karetní společnosti a banky musí najít kompromis mezi jejich použitelností a bezpečností. „Ovšem i zneužití má své meze a únosnou míru proveditelnosti. Zkuste si s chytrým telefonem s NFC, nebo jinou NFC/RFID čtečkou sahat třeba na zadní kapsu kalhot, pokud v ní máte tlustou peněženku a v ní bezkontaktní kartu. Nic se nestane, snímač kartu nedokáže přečíst," vysvětluje Chvátal.
I kdyby údaje skutečně z karty někdo přečetl, bude možnost zneužití podle něj mizivá. „Jednak obchodů nevyžadujících CVC/CVV kód je jako šafránu a pokus o nákup by mohl úspěšně narazit na první takzvané fraud monitoring transakci. A jednak případné zneužití tohoto typu podvodu by bylo úspěšně reklamovatelné," pokračuje Chvátal.
Zneužití karty lze předejít například tím, že lidé budou aktivně využívat možnosti nastavení limitů pro placení kartami. Banky dnes umožňují jejich online nastavování. Kdo tedy potřebuje zaplatit na internetu, může si limit dočasně zvýšit a hned po uskutečnění platby ho vrátí na nulu. Získá tak jistotu, že ani kdyby měl podvodník všechny údaje o kartě, na internetu s ní nezaplatí.
„Pro 'paranoiky' pak doporučuji používat ochranný obal, ten lze vyrobit snadno z obyčejného staniolu," dodává Chvátal.
Jen pár desítek reklamací
Bezkontaktní funkcí už je v Česku vybavena zhruba každá pátá platební karta. A například podle Miroslava Lukeše, šéfa českého zastoupení společnosti MasterCard, ji budou do tří let "umět" takřka všechny karty. Postupně všechny banky totiž při pravidelných obnovách platební karty začínají automaticky posílat lidem nové typy s bezkontaktní funkcí.
Bezkontaktní funkce, která zrychluje placení kartou a umožňuje bez zadání PIN kódu platit v obchodech částky do 500 korun, je dalším trumfem bank a karetních asociací v „boji s hotovostí". Ta je pro banky drahá, navíc z útrat platební kartou získávají od obchodníků poplatky.
Češi se bezkontaktně platit naučili rychle, banky si pochvalují, že roste celková útrata kartami a že lidé jimi platí častěji. Například u karet s bezkontaktní funkcí od České spořitelny lidé zaplatí v průměru o desetinu více peněz než s "klasickými" kartami.
Když Česká spořitelna v červnu 2013 hlásila, že už vydala milion bezkontaktních karet (celkově má 3,1 milionu karet), tak veřejnost znovu ujistila o jejich bezpečnosti. „Za více než rok a půl od zavedení těchto karet jsme evidovali jen pár desítek reklamací na zneužití karty bezkontaktní platbou, přičemž celkové počty reklamací se pohybují v řádech tisíců ročně," říká Miloslav Křečan, ředitel Kartového centra České spořitelny.
Bezkontaktní kartu odmítají klienti České spořitelny jen v sedmi procentech případů vydání nových karet. Při automatické výměně na konci platnosti karty odmítnou lidé jen dvě z tisíce vydaných karet.