E momentul să răspundem la întrebarea: chiar credem tot ce ne servesc băncile sau cercetăm noi care e realitatea? Anul acesta am aflat că băncile au început din ce în ce mai mult să ofere astfel de carduri și chiar Carrefour îți dă o Cola de 0.25 gratis dacă faci plata printr-un astfel de card.

Studenți cărora li se fac carduri la început de facultate, bătrâni cărora li se fură banii din conturi, angajați care cred că sunt în siguranță chiar dacă stau cu cardul în portofel, șefi de bănci care ajung la pușcărie înaintea angajaților, sau taximetriști care nu te-ntreaba dacă plătești cu cardul. Știi și tu câțiva, prietenii tăi știu și ei câțiva. Asta inseamna că nu suntem chiar așa protejați de atacuri informatice.

Cu contactless ai acum si mai multa putere sa furi datele…

contactless

PS: Orice asemănare cu o oarecare reclamă e strict întâmplătoare.

Bineînțeles că a făcut și o plângere către banca în cauza BRD și răspunsul primit a fost următorul:

Stimate Domn (Doamnă) (oare nu puteau oferi un răspuns personalizat?)

Referitor la avizul de refuz de plată întocmit pentru o operațiune de eliberare numerar din data de 30/12/2011 în valoare de 1000 RON efectuată la ATM BRD […]

vă facem cunoscut faptul că s-au întreprins măsurile necesare în vederea soluționării contestației Dvs., însă, pe baza jurnalului și a balanței ATM-ului mai sus menționat a rezultat faptul că această operațiune a fost finalizată. ATM-ul eliberând numerarul solicitat.

Menționăm faptul că această tranzacție a fost efectuată în mediu electronic (ATM) cu un card electronic. În această situație tranzacția nu putea fi efectuată decât prin utilizarea simultană a cardului și a codului PIN, care este unic și care trebuie cunoscut doar de Dvs.

În aceste condiții considerăm contestația Dvs. nejustificată și ca urmare contul Dvs. a fost debitat cu suma de 6 RON, reprezentând comisionul aferent pentru inițierea nejustificată a unui refuz de plată.

Bineînțeles că banca nu mai are imaginile de la ATM și nici nu s-a sinchisit măcar să facă investigații mai amănunțite. Știrea e mai jos:

Întâmplarea face să am și eu un card ca al doamnei în cauză. Cardul respectiv e cu chip EMV care, cu un reader banal poate fi citit și se pot vedea informațiile stocate pe el. Informațiile nu pot fi șterse sau modificate întrucât e necesar un certificat de securitate.

Așadar, dacă banca ar fi fost interesată să afle cu adevărat ce s-a întâmplat ar fi putut cere și cardul pentru a verifica ce s-a întâmplat. Pe acest chip sunt trecute câteva informații ajutătoare:

Application Transaction Counter (ATC) și Last Online ATC Register – prima informație arată câte citiri ale chip-ului au fost făcute, iar ultima câte tranzacții (inclusiv citiri) au fost sincronizate cu serverul. Cu alte cuvinte, eu daca citesc o singură dată acest chip, valoarea ATC va fi valoarea LOATC + 1. După ce merg și îl pun într-un bancomat, valorile vor fi egale.

Mai mult decât atât, pe chip există inclusiv un log cu ce tranzacții au fost făcute, valoarea, data și modalitatea de autentificare (dacă a fost folosit PIN-ul spre exemplu). Iată ce am eu:

Transaction Log:
Log Format:
Cryptogram Information Data (1 byte)
Amount, Authorised (Numeric) (6 bytes)
Transaction Currency Code (2 bytes)
Transaction Date (3 bytes)
Application Transaction Counter (ATC) (2 bytes)
Upper Cumulative Domestic Offline Transaction Amount (6 bytes)
Log Record(s):
Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 00 20 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 06 22
Application Transaction Counter (ATC): 01 17
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00
Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 04 00 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 05 28
Application Transaction Counter (ATC): 01 14
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00
Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 16 00 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 05 21
Application Transaction Counter (ATC): 01 13
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00

Astea sunt doar câteva exemple, că logul e plin. Să luăm a2a înregistrare:

Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 04 00 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 05 28
Application Transaction Counter (ATC): 01 14
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00

Am facut o tranzactie de valoare 400, în moneda RON, pe data de 28-05-2012, tranzactie cu codul 14. Ultima valoare indică cât mi se poate lua într-o tranzacție offline (de exemplu când plătesc la un POS din avion, în timpul zborului, când nu există conexiune directă cu serverul).

Upper Cumulative Domestic Offline Transaction Amount: Issuer specified data element indicating the required maximum cumulative offline amount allowed for the application before the transaction goes online.

Totodată mai observați că între prima și a2a tranzacție, contorul sare de la 14 la 17, ceea ce înseamnă că am avut câteva tranzacții de tipul Card Not Present, în cazul meu fiind vorba de tranzacții online. Dar chiar și acestea au fost înregistrate undeva, deci contorul nu a sărit de la 14 la 15.

Din păcate astea sunt băncile de la noi, iar BRD-ul dă încă odată dovadă de nepricepere, durere în fund, servicii proaste.

Chiar și în condițiile de mai sus e foarte posibil ca banca tot să nu-și fi recunoscut vinovăția întrucât câți știu că pe chip se scriu loguri?

Ca recomandări:

• folosiți o bancă mai serioasă – până acum cea mai sigură pentru mine e ING
• activați notificare prin mesaje scrise pentru tranzacțiile ce depășesc o anumită sumă
• setați pragul maxim așa cum considerați pentru tranzacțiile la POS, ATM, făcute atât la banca proprie cât și la alte bănci
• schimbați PIN-ul lunar
• țineți sumele mari într-un alt cont ce nu are atașat un card

BRD fură, BRD face fraudă, BRD înșeală clienții, BRD are comisioane mari, BRD are cele mai dotate fătuci la front-office.

UPDATE: câteva precizări noi găsți aici.

Vorbind de oferte, cea de la BRD este copilăroasă întrucât ei practic emit doar un sticker ce poate fi lipit pe orice vrei tu şi astfel faci plăţi. Dacă suma de plată e până în 100 RON, atunci nu mai este necesar PIN-ul.

– se desprinde cardul miniatural;
– se introduce în suportul de plastic cu numărul de card şi data expirării la vedere;
– se dezlipeşte folia de protecţie de pe suport şi se aplică pe telefon, portofel, MP3 player etc.

La BCR în schimb se emite un card special, ce are incorportată tehnologia contactless şi în plus e stocată şi aplicaţia de plată a biletelor în mijloacele de transport din Bucureşti.

Cardul are CIP încorporat şi aplicaţia contactless. Cumpărăturile în sistem contactless se efectuează pentru valori de maxim 100 lei / tranzacţie.
Cardul are încorporată şi aplicaţia de transport RATB

Cea mai mare problemă e atunci când ţi-ai pierdut cardul şi nu ai observat imediat acest lucru (câţi o fac?). Oricine se poate folosi de el şi efectua plăţi fara a introduce PIN-ul tocmai pentru că nu e cerut la o tranzacţie mai mică de 100 RON. De-a lungul timpului au fost ceva bănci care au încercat să mă convingă cât e de sigur să îmi fac un astfel de card, dar în momentul în care întrebam dacă îmi anulează eventualele plăţi dinaintea anunţării pierderii mi se răspundea sec că nu se poate.

O altă problemă e tocmai tehnologia wireless folosită. Oricine cu un cititor poate citi informatiile de pe card printr-o simplă apropiere. Un cititor de tip contactless costă undeva pe la 60$ cu tot cu transport inclus. În mod normal cardul trebuie să se afle undeva la max 2-3 cm pentru a fi citit, însă se poate construi destul de uşor un dispozitiv cu o putere mai mare astfel încât să meargă şi de la 20 cm de exemplu, mai ales că e o tehnologie always-on.

La conferinţa Shmoocon a fost chiar o prezentare a lui Kris Paget în care vorbeşte despre securitatea cărţilor de credit contactless.

Sunt câteva aspecte importante de reţinut:

1. NFC, contactless, RFID – toate se bazează pe acelaşi lucru

2. Dacă pe telefon putem dezactiva emiterea semnalului, nu acelaşi lucru se întâmplă şi cu un card

3. Nu există un simbol unic pentru a reprezenta tehnologia contactless, astfel încât e posibil să aveţi un astfel de card fără să ştiţi

4. Luate pe rând, cardul, cititoarele, protocolul de comunicaţie între cele 2 sunt oarecum sigure – se poate face reverse engineering însă costurile sunt mult prea mari pentru a merita. Puse împreună la un loc, lucrurile nu mai stau aşa.

5. Atacul s-a făcut foarte simplu: folosind un cititor menţionat anterior, se citesc informaţiile de pe un card contactless. Cititorul îşi face treaba, criptând acest schimb de date dintre el şi card, însă rezultatul de după citire e plaintext. Tocmai la acest lucru se referă faptul că, odate puse împreună, apar probleme de securitate.

6. Un astfel de atac e mult mai simplu: informaţiile sunt citite prin simpla apropiere de o persoană ce deţine un astfel de card, tot ce trebuie să ai e suficientă putere pentru a le citit de la distanţă

7. Mai multe citiri rezultă în mai multe plăţi, cu condiţia ca acestea să se facă exact în ordinea citirii (FIFO). Dacă între timp a fost făcută o plată de către posesorul cardului, atunci toate datele citite anterior devin invalide.

8. Soluţiile de protecţie disponibile pe piaţă sunt o glumă şi nu împiedică cu adevărat citirea

9. La bază, terminalele POS trebuie să ştie de plăţile bazate pe banda magnetică, astfel încât indiferent că e folosit un card contactless sau unul cu cip EMV, totul se reduce în final la banda magnetică – aţi văzut vreun card care să nu aibă această bandă?

10. Sistemul suspendă plăţile contactless dacă sunt făcute mai multe plăţi consecutive către acelaşi comerciant. Am aşa o vagă impresie că la noi nu se întâmplă asta.

Sunt curios dacă aţi descoperit, urmărind prezentarea, că aveţi un card contactless şi nu ştiaţi.