E momentul să răspundem la întrebarea: chiar credem tot ce ne servesc băncile sau cercetăm noi care e realitatea? Anul acesta am aflat că băncile au început din ce în ce mai mult să ofere astfel de carduri și chiar Carrefour îți dă o Cola de 0.25 gratis dacă faci plata printr-un astfel de card.

Studenți cărora li se fac carduri la început de facultate, bătrâni cărora li se fură banii din conturi, angajați care cred că sunt în siguranță chiar dacă stau cu cardul în portofel, șefi de bănci care ajung la pușcărie înaintea angajaților, sau taximetriști care nu te-ntreaba dacă plătești cu cardul. Știi și tu câțiva, prietenii tăi știu și ei câțiva. Asta inseamna că nu suntem chiar așa protejați de atacuri informatice.

Cu contactless ai acum si mai multa putere sa furi datele…

contactless

PS: Orice asemănare cu o oarecare reclamă e strict întâmplătoare.

The researchers conducted an attack that succeeded in tricking a card reader into authenticating a transaction, even though no valid PIN was entered. In a later test, they managed to authenticate transactions, without the correct PIN, with valid cards from six different card issuers.
In particular, the terminal can record that a PIN verification has taken place, while the card itself receives a verification message that does not specify that a PIN has been used. The resultant authorization by the terminal is accepted by the bank, and the transaction goes ahead.

This means that while a PIN must be entered, any PIN code would be accepted by the terminal, the researchers said in a paper entitled Chip and PIN is Broken.

Asta înseamnă că atât pe acea chitanță cât și în jurnalele băncii va apărea faptul că a fost o tranzacție verificată cu PIN. Vedeți și demo cu tot cu explicații plus explicațiile stupide ale băncilor:

Acum mai demonstrează că nu tu ai scos banii.

Alții au afirmat că fără poliție nu poți face nimic, că mai întâi trebuie să faci o plângere la poliție. Mai mult sau mai puțin adevărat. Iată un răspuns venit chiar din partea BRD în care spune cum fac ei investigațiile, de aici:

Aici trebuie precizat ca notiunile de neglijenta, rea-credinta sau intentie de frauda sunt interpretate de banca, impreuna cu procesatorul de carduri (MasterCard, Visa), cu ajutorul politiei.

Legal, într-adevăr, banca este acoperită, conform normelor BNR în care se precizează următorul lucru:

Art. 26. – Prin derogare de la prevederile art. 25, detinatorul nu este raspunzator pentru tranzactiile executate, daca instrumentul de plata electronica a fost utilizat fara a fi prezentat fizic sau fara identificarea electronica a acestuia (PIN, coduri de acces).

… conform Regulament BNR nr. 6 din 11/10/2006 privind emiterea și utilizarea instrumentelor de plată electronică și relațiile dintre participanții la tranzacțiile cu aceste instrumente. Așadar, teoretic, chiar dacă ați face o tranzacție în țară iar după câteva minute o alta într-o altă țară, atâta timp cât aceste tranzacții au fost verificate cu PIN, singurul răspunzător ești tu! Consider că acest regulament ar trebui adaptat la noile tipuri de atacuri existente în acest moment.

Banca ar fi putut face mai multe investigații? Cu siguranță! Dar de ce să îți pese de client?

Observând asta, am contactat banca şi am cerut mai multe detalii. După aproximativ 40 zile de aşteptare, în care singurul răspuns primit a fost că voi fi eu contactat cândva, lucru care nu s-a întâmplat, am trimis o sesizare către AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL, ANSPDCP, în care am detaliat ce se întâmplă. Am primit răspuns cu numărul sesizării şi cam asta a fost. În luna februarie din acest an am contactat din nou ANSPDCP, întrebând dacă au vreun rezultat al investigaţiei. Mi s-a spus că încă cerceteaza şi că în curând voi primi răspunsul.

Ei bine, astăzi a venit şi acest răspuns:

Faţă de constatările efectuate, s-a dispus sancţionarea contravenţională a Băncii Comerciale Române în baza art. 32 din Legea nr. 677/2001, deoarece dezvăluie CNP- ul persoanelor vizate, respectiv al plătitorilor sau beneficiarilor unor plăţi, prin extrasele de cont emise, fără consimţământul expres al persoanelor vizate în acest sens şi fără ca această dezvăluire să fie prevăzută în mod expres de o dispoziţie legală.

De asemenea, prin Decizia Preşedintelui ANSPDCP nr. 25 din 26 martie 2012 s-a dispus ştergerea de către Banca Comercială Română a CNP-ului persoanelor vizate, respectiv al plătitorilor sau beneficiarilor unor plăţi, din extrasele de cont pe care le emite.

Mă bucur că cei de la ANSPDCP au investigat problema semnalată şi chiar au constat că este o problemă. Nu mă interesează suma cu care cei de la Banca Comercială Română au fost sancţionaţi întrucât aceste sancţiuni sunt prea mici, ci mă bucură faptul că s-a făcut dreptate şi BCR-ul va trebui să şteargă CNP-ul din extrasele de cont atât cele vechi cât şi cele care vor fi emise în continuare.

Justice has been done!

Vorbind de oferte, cea de la BRD este copilăroasă întrucât ei practic emit doar un sticker ce poate fi lipit pe orice vrei tu şi astfel faci plăţi. Dacă suma de plată e până în 100 RON, atunci nu mai este necesar PIN-ul.

– se desprinde cardul miniatural;
– se introduce în suportul de plastic cu numărul de card şi data expirării la vedere;
– se dezlipeşte folia de protecţie de pe suport şi se aplică pe telefon, portofel, MP3 player etc.

La BCR în schimb se emite un card special, ce are incorportată tehnologia contactless şi în plus e stocată şi aplicaţia de plată a biletelor în mijloacele de transport din Bucureşti.

Cardul are CIP încorporat şi aplicaţia contactless. Cumpărăturile în sistem contactless se efectuează pentru valori de maxim 100 lei / tranzacţie.
Cardul are încorporată şi aplicaţia de transport RATB

Cea mai mare problemă e atunci când ţi-ai pierdut cardul şi nu ai observat imediat acest lucru (câţi o fac?). Oricine se poate folosi de el şi efectua plăţi fara a introduce PIN-ul tocmai pentru că nu e cerut la o tranzacţie mai mică de 100 RON. De-a lungul timpului au fost ceva bănci care au încercat să mă convingă cât e de sigur să îmi fac un astfel de card, dar în momentul în care întrebam dacă îmi anulează eventualele plăţi dinaintea anunţării pierderii mi se răspundea sec că nu se poate.

O altă problemă e tocmai tehnologia wireless folosită. Oricine cu un cititor poate citi informatiile de pe card printr-o simplă apropiere. Un cititor de tip contactless costă undeva pe la 60$ cu tot cu transport inclus. În mod normal cardul trebuie să se afle undeva la max 2-3 cm pentru a fi citit, însă se poate construi destul de uşor un dispozitiv cu o putere mai mare astfel încât să meargă şi de la 20 cm de exemplu, mai ales că e o tehnologie always-on.

La conferinţa Shmoocon a fost chiar o prezentare a lui Kris Paget în care vorbeşte despre securitatea cărţilor de credit contactless.

Sunt câteva aspecte importante de reţinut:

1. NFC, contactless, RFID – toate se bazează pe acelaşi lucru

2. Dacă pe telefon putem dezactiva emiterea semnalului, nu acelaşi lucru se întâmplă şi cu un card

3. Nu există un simbol unic pentru a reprezenta tehnologia contactless, astfel încât e posibil să aveţi un astfel de card fără să ştiţi

4. Luate pe rând, cardul, cititoarele, protocolul de comunicaţie între cele 2 sunt oarecum sigure – se poate face reverse engineering însă costurile sunt mult prea mari pentru a merita. Puse împreună la un loc, lucrurile nu mai stau aşa.

5. Atacul s-a făcut foarte simplu: folosind un cititor menţionat anterior, se citesc informaţiile de pe un card contactless. Cititorul îşi face treaba, criptând acest schimb de date dintre el şi card, însă rezultatul de după citire e plaintext. Tocmai la acest lucru se referă faptul că, odate puse împreună, apar probleme de securitate.

6. Un astfel de atac e mult mai simplu: informaţiile sunt citite prin simpla apropiere de o persoană ce deţine un astfel de card, tot ce trebuie să ai e suficientă putere pentru a le citit de la distanţă

7. Mai multe citiri rezultă în mai multe plăţi, cu condiţia ca acestea să se facă exact în ordinea citirii (FIFO). Dacă între timp a fost făcută o plată de către posesorul cardului, atunci toate datele citite anterior devin invalide.

8. Soluţiile de protecţie disponibile pe piaţă sunt o glumă şi nu împiedică cu adevărat citirea

9. La bază, terminalele POS trebuie să ştie de plăţile bazate pe banda magnetică, astfel încât indiferent că e folosit un card contactless sau unul cu cip EMV, totul se reduce în final la banda magnetică – aţi văzut vreun card care să nu aibă această bandă?

10. Sistemul suspendă plăţile contactless dacă sunt făcute mai multe plăţi consecutive către acelaşi comerciant. Am aşa o vagă impresie că la noi nu se întâmplă asta.

Sunt curios dacă aţi descoperit, urmărind prezentarea, că aveţi un card contactless şi nu ştiaţi.