E momentul să răspundem la întrebarea: chiar credem tot ce ne servesc băncile sau cercetăm noi care e realitatea? Anul acesta am aflat că băncile au început din ce în ce mai mult să ofere astfel de carduri și chiar Carrefour îți dă o Cola de 0.25 gratis dacă faci plata printr-un astfel de card.

Studenți cărora li se fac carduri la început de facultate, bătrâni cărora li se fură banii din conturi, angajați care cred că sunt în siguranță chiar dacă stau cu cardul în portofel, șefi de bănci care ajung la pușcărie înaintea angajaților, sau taximetriști care nu te-ntreaba dacă plătești cu cardul. Știi și tu câțiva, prietenii tăi știu și ei câțiva. Asta inseamna că nu suntem chiar așa protejați de atacuri informatice.

Cu contactless ai acum si mai multa putere sa furi datele…

contactless

PS: Orice asemănare cu o oarecare reclamă e strict întâmplătoare.

Mai mult, România a fost chiar o ţară pilot pentru lansarea acestor plăţi, în cadrul unui proiect al ING. Iată o ştire din 2008:

ING Bank in colaborare cu Mastercrad testeaza serviciul de plata prin telefonul mobil, ING Mobile Payments.
Solutia bazata pe sistemul MaestroPayPass va fi testata timp de sase luni, pe 500 de persoane in 30-40 de locatii printre care SensiBlu, Inmedio, Eurest, Hollywood Multiplex si ProCinema, apoi rezultatele vor fi analizate.

Platile prin sistemul ING Mobile Payments se pot face numai pe un telefon mobil compatibil cu o tehnologie speciala, Near Filed Communication (NFC), cu acces la serviciile GPRS oferite de o companie de telefonie mobila, agreata de ING Bank, respectiv Orange si Vodafone, se arata in comunicatul ING Bank.

Clientii ING selectati pentru prima faza a programului pilot vor primi un telefon Nokia 6121 cu tehnologie NFC, tehnologie ce asigura atat securitatea platii electronice cat si comunicarea wireless cu terminalele comerciantilor.

Serviciul poate fi utilizat pentru sume de pana la 80 lei(valoarea maxima a unei tranzactii).

Sumele care pot fi incarcate sunt 10 RON, 50 RON, 100 RON, 200 RON si 300 RON. Limitele de incarcare sunt 300 RON pe zi, 600 RON la 4 zile si 1.000 RON maxim cat incape in portofel – contul Maestro PayPass.

În plus, cineva a făcut chiar o înregistrare:

De ce nu au continuat acest proiect nu îmi pot da seama. La fel cum nu îmi pot da seama de ce Nokia nu a dezvoltat o aplicaţie asemănătoare Google Wallet. Probabil au făcut aceeaşi greşeală de a nu vedea explozia de smartphone-uri touch. Pe site-ul ING nu există nicio informaţie despre acest produs.

În continuare nu înţeleg de ce nimeni nu dezvoltă o aplicaţie în care să poţi adăuga detaliile cardului şi plăţile să fie contactless.

La ce mai este utilizat NFC? La cartelele de transport ale RATB, la interfoane, la cardurile pentru acces într-o anumită locaţie şi multe altele.

Oare ar merge modificarea datelor pentru călătorii gratuite? 

Există însă posibilitatea de a o instala chiar dacă nu eşti în US. Nu, nu e prin a avea conexiune de US întrucât, la deschidere, aplicaţia detectează reţeaua de telefonie mobilă în care eşti. Pentru asta trebuie instalată o altă aplicaţie, Market Enabler pe numele ei, ce schimbă reţeaua anunţată, mai exat setează gsm.sim.operator.numeric la un alt cod al ţării şi reţelei. Din păcate pentru asta e nevoie de root. Procedura întreagă de instalare o găsiţi aici – click me.

După ce am rootat telefonul şi instalat Google Wallet, am primit chiar 10$ bonus pentru a-i folosi. Aceşti bani sunt pe un card preplătit virtual, pe care îl puteţi alimenta cu cardul vostru – orice card folosit pentru PayPal va funcţiona. Se pot adăuga inclusiv detaliile de pe un card real, însă momentan Google acceptă doar cardul de la Citi Mastercard US plus ceva Gift card.

Nu prea credeam că va funcţiona vreo tranzacţie deoarece eu pe cardul prepay am dolari americani, iar plata o fac în lei. Ei bine, azi am avut ocazia să testez funcţionalitatea plăţii.

Ştiam că există destul de multe magazine ce au un dispozitiv special pentru plăţile contactless şi, dacă tot am ieşit la cumpărături, am mers până la InMedio. Am cerut un pachet de ţigări şi am specificat că vreau să fac plata prin contactless. Am scos telefonul din standby şi l-am apropiat – bip şi gata!

– A mers?
– Da, acum vă dau chitanţa

WOW! Superb, mai vreau încă un pachet însă acum voi înregistra. Vânzătoarea a fost de acord şi iată ce a ieşit:

Am mai stat puţin de vorbă cu ea şi i-am explicat cum funcţionează, după care asta a fost tot. M-am făcut cu 2 pachete de ţigări pe gratis – mulţumesc Google Chitanţele arată astfel:

Abia după vreo oră am putut vedea exact câţi bani mi-au fost luaţi. Ei bine, rata de schimb e cu mult mai avantajoasă decât cea oficială. Rata oficială e de 3.4110, iar eu am fost tarifat cu o rată de 3.3430 (11.5 RON / 3.44 USD). Din ce am citit, e posibil ca la alte bănci să fie o diferenţă mai mare şi mai bună pentru cumpărător.

Iată şi ceva imagini cu aplicaţia şi tranzacţiile făcute.

Până acum nu mai ştiu alte persoane care să fi făcut asta în România. Mă gândesc să îmi alimentez contul Wallet şi să văd dacă la alte bănci e mai convenabil cursul.

Plăţi plăcute!

Vorbind de oferte, cea de la BRD este copilăroasă întrucât ei practic emit doar un sticker ce poate fi lipit pe orice vrei tu şi astfel faci plăţi. Dacă suma de plată e până în 100 RON, atunci nu mai este necesar PIN-ul.

– se desprinde cardul miniatural;
– se introduce în suportul de plastic cu numărul de card şi data expirării la vedere;
– se dezlipeşte folia de protecţie de pe suport şi se aplică pe telefon, portofel, MP3 player etc.

La BCR în schimb se emite un card special, ce are incorportată tehnologia contactless şi în plus e stocată şi aplicaţia de plată a biletelor în mijloacele de transport din Bucureşti.

Cardul are CIP încorporat şi aplicaţia contactless. Cumpărăturile în sistem contactless se efectuează pentru valori de maxim 100 lei / tranzacţie.
Cardul are încorporată şi aplicaţia de transport RATB

Cea mai mare problemă e atunci când ţi-ai pierdut cardul şi nu ai observat imediat acest lucru (câţi o fac?). Oricine se poate folosi de el şi efectua plăţi fara a introduce PIN-ul tocmai pentru că nu e cerut la o tranzacţie mai mică de 100 RON. De-a lungul timpului au fost ceva bănci care au încercat să mă convingă cât e de sigur să îmi fac un astfel de card, dar în momentul în care întrebam dacă îmi anulează eventualele plăţi dinaintea anunţării pierderii mi se răspundea sec că nu se poate.

O altă problemă e tocmai tehnologia wireless folosită. Oricine cu un cititor poate citi informatiile de pe card printr-o simplă apropiere. Un cititor de tip contactless costă undeva pe la 60$ cu tot cu transport inclus. În mod normal cardul trebuie să se afle undeva la max 2-3 cm pentru a fi citit, însă se poate construi destul de uşor un dispozitiv cu o putere mai mare astfel încât să meargă şi de la 20 cm de exemplu, mai ales că e o tehnologie always-on.

La conferinţa Shmoocon a fost chiar o prezentare a lui Kris Paget în care vorbeşte despre securitatea cărţilor de credit contactless.

Sunt câteva aspecte importante de reţinut:

1. NFC, contactless, RFID – toate se bazează pe acelaşi lucru

2. Dacă pe telefon putem dezactiva emiterea semnalului, nu acelaşi lucru se întâmplă şi cu un card

3. Nu există un simbol unic pentru a reprezenta tehnologia contactless, astfel încât e posibil să aveţi un astfel de card fără să ştiţi

4. Luate pe rând, cardul, cititoarele, protocolul de comunicaţie între cele 2 sunt oarecum sigure – se poate face reverse engineering însă costurile sunt mult prea mari pentru a merita. Puse împreună la un loc, lucrurile nu mai stau aşa.

5. Atacul s-a făcut foarte simplu: folosind un cititor menţionat anterior, se citesc informaţiile de pe un card contactless. Cititorul îşi face treaba, criptând acest schimb de date dintre el şi card, însă rezultatul de după citire e plaintext. Tocmai la acest lucru se referă faptul că, odate puse împreună, apar probleme de securitate.

6. Un astfel de atac e mult mai simplu: informaţiile sunt citite prin simpla apropiere de o persoană ce deţine un astfel de card, tot ce trebuie să ai e suficientă putere pentru a le citit de la distanţă

7. Mai multe citiri rezultă în mai multe plăţi, cu condiţia ca acestea să se facă exact în ordinea citirii (FIFO). Dacă între timp a fost făcută o plată de către posesorul cardului, atunci toate datele citite anterior devin invalide.

8. Soluţiile de protecţie disponibile pe piaţă sunt o glumă şi nu împiedică cu adevărat citirea

9. La bază, terminalele POS trebuie să ştie de plăţile bazate pe banda magnetică, astfel încât indiferent că e folosit un card contactless sau unul cu cip EMV, totul se reduce în final la banda magnetică – aţi văzut vreun card care să nu aibă această bandă?

10. Sistemul suspendă plăţile contactless dacă sunt făcute mai multe plăţi consecutive către acelaşi comerciant. Am aşa o vagă impresie că la noi nu se întâmplă asta.

Sunt curios dacă aţi descoperit, urmărind prezentarea, că aveţi un card contactless şi nu ştiaţi.