Transakcje kartami coraz bezpieczniejsze

Dołożenie do paska magnetycznego mikroprocesora to największa zmiana w technologii kart płatniczych w ostatnich latach. Dzięki niej zwiększyła się ich funkcjonalność (na mikroczipie można zapisać wiele więcej informacji niż na pasku, więc karta może służyć nie tylko do płatności, ale i może pełnić funkcje wejściówki na stadion czy biletu miejskiego) oraz bezpieczeństwo transakcji. Jeżeli chodzi o zabezpieczenie transakcji płatniczych, największą wadą kart z paskiem magnetycznym była łatwość jego skopiowania. Wystarczyło do tego niewielkie urządzenie i kilka sekund. Dzięki temu przestępcy, działając w porozumieniu z obsługą np. restauracji, mogli skopiować zawarte na karcie dane klienta podczas regulowania rachunku za obiad czy lunch. Również po zamontowaniu odpowiedniego urządzenia w bankomacie złodzieje mogli dobrać się do pieniędzy klienta wypłacającego gotówkę z automatu.

Dodanie mikroprocesora to technologiczny przełom. Dzięki pojemności czipa do potwierdzenia każdej transakcji używa się obecnie tzw. dynamicznej autentykacji autoryzacji (DDA), co oznacza, że przy każdej płatności w sklepie czy też wypłacie pieniędzy w bankomacie mikroprocesor karty kontaktuje się z centrum autoryzacyjnym, szyfrując połączenie przy pomocy innego klucza. Skopiowanie danych zawartych w mikroprocesorze karty spowoduje, że komputer w centrum autoryzacyjnym wykryje przestępstwo i nie potwierdzi transakcji.

W praktyce więc skopiowanie danych z mikroczipa nic nie da. W praktyce dlatego, że teoretycznie jest możliwe złamanie klucza DDA. Wymaga to jednak komputerów o niewiarygodnej mocy obliczeniowej, dostępnych jedynie w warunkach laboratoryjnych.

Dzięki zastosowaniu nowej technologii liczba przestępstw z wykorzystaniem kart płatniczych spada. O ile jeszcze dwa lata temu udział transakcji przestępczych w ogóle wartości transakcji płatniczych wynosił 0,04 proc., o tyle w ubiegłym roku spadł do 0,02 proc. Systematyczne zastępowanie kart z paskiem magnetycznym kartami z mikroprocesorem powoduje, że przestępcy mają coraz mniej możliwości kradzieży pieniędzy.

Zgodnie z przyjętymi założeniami, wszystkie karty funkcjonujące w Polsce oraz wszystkie urządzenia służące do autoryzacji tych transakcji, czyli bankomaty i terminale płatnicze, mają dokonywać transakcji w standardzie EMV, czyli przy pomocy mikroczipa.

Nie oznacza to jednak, że możemy spać spokojnie. Rozwój oprogramowania oraz postęp w technologii komputerowej może w najbliższym czasie doprowadzić do tego, że moc obliczeniowa potrzebna do złamania DDA może stać się powszechnie dostępna. Dlatego specjaliści z organizacji MasterCard i Visa pracują nad nowym standardem szyfrowania danych - CDA. Standard ten ma być jeszcze trudniejszy do złamania niż DDA i powoli pojawia się w naszych kartach.

Ponadto eksperci przypominają, że kradzież pieniędzy z konta przy pomocy karty wciąż jest możliwa w sytuacji, gdy przestępcom uda się fizycznie odebrać nam kartę i poznać PIN. Stosują do tego różne metody. Jedną z nich jest tzw. pętla libańska zakładana w bankomatach. Wykonana z kliszy fotograficznej i zainstalowana w otworze bankomatu powoduje, że po włożeniu karty do otworu i wstukaniu numeru PIN przez właściciela karta nie wyjdzie na zewnątrz, tylko pozostanie w otworze, niewidoczna dla właściciela. W ten sposób przestępcy zdobywają oryginalny plastik, a przy pomocy mikrokamery poznają też do niej PIN, dzięki czemu mogą oczyścić konto z pieniędzy. Eksperci przypominają więc, aby za każdym razem, gdy wybieramy pieniądze z bankomatu, zakrywać podczas wstukiwania PIN-u klawiaturę i nigdy nie nosić kodów w portfelu wraz z kartami.

Zdaniem przedstawicieli organizacji kartowych nie należy obawiać się dokonywania transakcji zbliżeniowo. To nowość na naszym rynku. Wydano już ponad 2 mln kart zbliżeniowych, którymi można płacić w kilkunastu tysiącach punktów, między innymi w niektórych sieciach sklepów i stacji benzynowych. Punktów tych systematycznie przybywa. Jak mówią eksperci, zbliżeniowa metoda transakcji jest równie bezpieczna, jak dokonywanie płatności poprzez wkładanie karty do terminalu. Jedynym zagrożeniem jest sytuacja, gdy karta zostanie nam skradziona. Przypomnijmy, że zbliżeniowo możemy płacić za towary i usługi o niewielkiej wartości, nie podając numeru PIN. Złodziej, jeśli wejdzie w posiadanie naszej karty, może dokonać płatności bez znajomości numeru PIN, ale tylko do wysokości 50 zł. Właściciel karty, nieświadomy jej utraty, może zostać okradziony na małą kwotę. Ryzyko jest jednak niewielkie, gdyż profesjonalnym złodziejom nie zależy na kradzieży tak niewielkich sum.

Postęp technologiczny następuje także w autoryzacji transakcji internetowych. Dziś nie wystarczy już podanie numeru karty i daty jej ważności, by kartą zapłacić w sklepie internetowym. Wymagany jest tzw. securcode. Możemy go uzyskać za pomocą SMS-a lub tokena. Najnowsze rozwiązania zmierzają do tego, by hasła SMS-owe lub z tokena zastąpić hasłami generowanymi przez same karty. Dlatego są one wyposażane w klawiaturę dotykową, dzięki której możemy wystukać PIN, oraz w wyświetlacz LCD, na którym widoczne jest generowane przez mikroprocesor karty hasło jednorazowe, służące do potwierdzenia transakcji w sieci.

@RY1@i02/2011/063/i02.2011.063.214.0001.001.jpg@RY2@

Odsetek przestępstw spada

Jacek Uryniuk

jacek.uryniuk@infor.pl