Čipové karty nejsou tak bezpečné, jak se předpokládalo

Věra Tůmová | rubrika: Co se děje | 30. 4. 2010 | 7 komentářů
Čipové karty nejsou tak bezpečné, jak se předpokládalo
Držitelé čipových karet očekávají, že jejich platební karta je zabezpečena tak, že téměř znemožňuje zneužití při ztrátě. I u tohoto typu karet ovšem existuje bezpečnostní chyba. Tuzemské banky se jí už zabývají.

Čipové platební karty v Česku mají auru téměř dokonale bezpečného platebního prostředku. Na rozdíl od těch s magnetickým proužkem jsou z mnoha ohledů bezpečnější, ale i čipové karty mají bezpečnostní mezeru. Kvůli tomu by za určitých okolností mohly být zneužity podvodníky. To se zatím nestalo.

Na chybu u čipových karet banky upozornil zhruba před dvěma měsíci britský vědec Steven Murdoch s týmem z University of Cambridge a jeho nález před více než měsícem ověřili i čeští bezpečnostní experti z Raiffeisenbank. Ti o testech informovali také ostatní tuzemské banky.

Chyba, na kterou profesor Murdoch upozornil, má zatím jen teoretický rozměr. Nicméně se jedná o slabé místo, které, pokud by nebylo do budoucna ochráněno, může představovat způsob možného zneužití organizovanými skupinami podvodníků. Jde o chybu v nedostatečném zakódování potvrzení o správném či nesprávném PIN, které po zadání klientem posílá karta zpět na terminál u obchodníka při placení. Pokud by vám podvodník ukradl kartu a dokázal ke kartě přiložit u obchodníka jednoduchý přístroj, mohl by zadat jakýkoliv PINa na terminál by přesto pak přišla informace, že PIN je v pořádku. Pak by vám snadno vyluxoval účet.

Foto: Dreamstime

Sestrojení takového přístroje by podle expertů z Raiffeisenbank mohl poměrně snadno zvládnout i absolvent střední školy s elektrotechnickým vzděláním a za relativně pár korun. Složitá by však pro něj nejspíš byla miniaturizace tak, aby přístroj byl co nejméně nápadný. To už by ovšem nemusel být problém pro organizované skupiny podvodníků. Využití nedostatečného zabezpečení je ale možné pouze u transakcí, kdy se PIN neověřuje online přímo z banky a PINje ověřen pouze offline, tedy mezi platebním terminálem a kartou.

Bezpečnostní mezera ve fungování čipové karty podle zástupců českých bank nepředstavuje pro držitele těchto karet žádnou aktuální hrozbu. „Je velmi nepravděpodobné, aby se něco podobného (tento způsob zneužití karty, pozn. red.) mohlo na českém trhu uskutečnit. Jedná se o obejití ochrany pouze za určitých podmínek, ke kterým jsou lepší předpoklady v Anglii než u nás,“ tvrdí například Denisa Salátková z Poštovní spořitelny.

Všechny tuzemské banky přiznaly, že o tomto problému se zabezpečením vědí a že se jej snaží řešit. Řada z nich se ale zdráhá k problematice blíže vyjadřovat a klientům jen doporučují dodržovat známá pravidla pro používání platebních karet. „O problému samozřejmě víme, je analyzován a přesto, že potenciální riziko bylo vyhodnoceno jako nízké, připravujeme určité úpravy autorizačního systému, které by umožnily odhalení podvodu již v počáteční fázi,“ podotýká Pavla Langová z České spořitelny. „Popsaná chyba je chybou protokolu, je tedy globální a i oprava musí být globální. Navíc daná chyba představuje jen minimální riziko pro klienta, je rizikem banky,“ dodává k tomu Markéta Dvořáčková z GE Money Bank.

Anketa

Zneužili již někdy podvodníci vaši platební kartu?

Technologicky vzato jsou za zajištění bezpečnosti transakcí s kartou odpovědné podle zástupců všech bank karetní asociace, které vydávají technické standardy a samy certifikují jejich dodržování v platebních aplikacích. Londýnská centrála evropského zastoupení společnosti VISA se ale k uvedenému problému odmítá vyjadřovat. Na ani jednu z otázek Peníze.cz neodpovědělo ani vedení konkurenční společnosti Mastercard. Společnost pouze uvedla, že „V souladu s obecným pravidlem bezpečnosti by se měli držitelé karet v případě jakýchkoliv pochybností ohledně svého účtu nebo při zjištění podezřelých plateb hrazených prostřednictvím jejich platební karty obrátit na instituci, která jim jejich platební kartu vydala. Byla-li platební karta použita podvodně, je držitel karty chráněn a částka mu bude nahrazena.“

Pro úplnost je třeba dodat, že ani jedna z tuzemských bank dosud nezaznamenala pokus o zneužití čipové platební karty tímto způsobem, tedy v průběhu offline potvrzení PIN. Žádná hlášení o takovémto zneužití platební čipové karty nepřišla ani ze zahraničí. Proti již zmiňované chybě čipových karet jsou podle experta RaiffeisenbankTomáše Rosy klienti v Česku i v zahraničí zcela chráněni tedy zatím jen u online autorizací PIN.

Daleko větší problém než u mezery v bezpečnosti čipových karet, kdy banky jsou schopny zpětně dohledat, zda a jak bylo zadáno PIN(podvodné zadání jiného PIN tak jsou vydavatelé karet schopni rozpoznat a prokázat, že PIN ověřen ve skutečnosti nebyl), představuje pro klienty podle Tomáše Rosy takzvaný skimming. Ten hrozí u platebních karet s magnetickým proužkem, kdy si podvodníci pomocí speciálního skenovacího zařízení nainstalovaného přímo na bankomat kopírují data o platebních kartách. Díky tomu se pak mohou pokusit odcizit peníze z účtu navázaného na kartu.

 

Jaké zkušenosti se zneužíváním platebních karet máte vy nebo vaši blízcí?

Držíte se udržitelnosti?

Držíte se udržitelnosti?

Generali Česká pořádá soutěž SME EnterPRIZE, která oceňuje udržitelné podnikání. Přihlásit se můžete do 5. dubna.

Sdílejte článek, než ho smažem

Líbil se vám článek?

+10
AnoNe
Vstoupit do diskuze
V diskuzi je celkem 7 komentářů

Nejlevnější aplikace na trhu. Zpracujte si daňové přiznání pro fyzické osoby v roce 2024 v jednoduché online aplikaci. Pro naše čtenáře exkluzivní sleva 10 %.

DníHodinMinutVteřin
Slevový kód: PENIZE1O
Vyplnit přiznání

Pokud chcete řešit daně po staru, máme pro vás chytré formuláře.

A tohle už jste četli?

PŘEHLEDNĚ: Změny, které byste jako držitelé platebních karet měli znát

29. 10. 2009 | Věra Tůmová | 2 komentáře

PŘEHLEDNĚ: Změny, které byste jako držitelé platebních karet měli znát

Zablokujete-li kartu kvůli ztrátě, nebudete za to od listopadu nic platit. To je jedna ze změn, které se dotknou majitelů i vydavatelů platebních karet díky novému Zákonu o platebním... celý článek

Proč se útrata kartou odepíše z účtu až za několik dnů

27. 5. 2009 | Věra Tůmová | 11 komentářů

Proč se útrata kartou odepíše z účtu až za několik dnů

Útrata placená kartou se jednou strhne z účtu držitele karty ve stejný den, jindy až za řadu dní. Každý, kdo si nastavuje příjmy i výdaje tak, aby se nedostal do mínusu na účtu, z toho... celý článek

Češi stále u karet i účtů podceňují ochranu hesel a PIN

16. 1. 2009 | Věra Tůmová | 15 komentářů

Češi stále u karet i účtů podceňují ochranu hesel a PIN

Poznamenat si PIN do blízkosti platební karty či do mobilního telefonu je krátkozraké a může dotyčného přijít draho. Mnoho Čechů to ale ještě pořád často dělá, upozorňuje finanční arbitr... celý článek

Které benefity kreditních karet mají a nemají smysl

26. 6. 2008 | Věra Tůmová | 8 komentářů

Které benefity kreditních karet mají a nemají smysl

Body, slevy, pojištění či služby navíc nebo i podpora charity, to vše může souviset s vaší kreditní kartou. Některé výhody „kreditek“ se mohou vyplatit, jiné mohou být naopak zanedbatelné... celý článek

Má smysl pojistit bezpečnou kartu s čipem?

16. 10. 2007 | Věra Tůmová

Má smysl pojistit bezpečnou kartu s čipem?

Měsíčně se v Česku ztratí či ukradne tisíce platebních karet. Majitele karet před zneužitím ztracené karty chrání pojištění. Nové čipové karty jsou relativně bezpečné. Je proto otázka,... celý článek

Partners Financial Services