A mágnescsíkos bankkártyák nagyjából 20 évvel ezelőtt jöttek divatba, de amellett, hogy az aláírások szükségessége megnehezítette a tranzakciókat, nem rendelkeztek megfelelő adattitkosítással. Biztonsági szempontból egyértelmű előrelépést jelentettek utódaik, a chipalapú kártyák, melyek az adattitkosítás révén fokozott biztonságot nyújtanak.
Az ESET biztonsági cég kutatói szerint ezek a kártyák továbbra is alkalmasak klónozásra vagy adatlopásra, bár az ilyen bűncselekmények elkövetése nagyobb kihívást jelent a bűnözők számára, mint a mágnescsíkos kártyák esetében. Közben pedig az érintésmentes fizetések egyre gyakoribbak – de vajon biztonságosabbak, mint a hagyományos fizetési módok?
A 2010-es évek második felében új fizetési szabványként jelent meg a rádiófrekvenciás azonosításból (RFID) kifejlesztett közelmezős kommunikáció (NFC). Ezzel a technológiával az eredeti chipalapú kártyák még felhasználóbarátabbá váltak, mivel ahelyett, hogy a fizetési terminálokba és ATM-ekbe kellene behelyezni őket, a pénz küldéséhez elég egy NFC-kompatibilis fizetési eszközhöz tartani a kártyát.
Hogy mi lehet fizetési eszköz? Az érintésmentes kártyák mellett ma már a telefonok is képesek ezt a funkciót ellátni olyan szolgáltatásokon keresztül, mint az Apple Pay vagy a Google Pay, amelyek a kártyaadatok feltöltése után lehetővé teszik, hogy a telefonnal fizessünk.
A folyamat, amelyen keresztül az NFC-fizetés történik, nagyon hasonlóan működik a Bluetooth vagy más vezeték nélküli kommunikációs rendszerekhez, mivel rádióhullámokat használ a továbbított információk aktiválásához és hitelesítéséhez. Ezt az adatot aztán egy antenna dekódolja. Pontosabban, fizetés esetén a terminál információt kap a telefontól, amelyet aztán feldolgoz és továbbít az elfogadó bank felé, egyszerűsítve a tranzakciót.
Mivel elsődleges alkalmazása az érintés nélküli tranzakciók megkönnyítése, feltételezhetnénk, hogy az NFC teljesen biztonságos, igaz? Valahogy így is van. Az ESET kiberbiztonsági szakértői szerint a vezeték nélküli kommunikáció más módjaival összehasonlítva sokkal nehezebb feltörni, mivel működtetéséhez kis távolságra van szükség.
Ez viszont nem jelenti azt, hogy teljesen elkerülhetőek a kibertámadások.
Hogy miként próbálják a kiberbűnözők a bankkártyáinkról megszerezni a pénzünket, erről szól a Hackfelmetszők – Veled is megtörténhet, az ESET kiberbiztonsági podcastjének legújabb adása is, melyben szóba kerültek a Magyarországon legelterjedtebb csalásformák, például a callcenteres csalások és az adathalász sms-ek, az AI egyre erőteljesebb szerepe a csalásokban, valamint az, hogy mely esetekben fizetnek a bankok kártérítést ügyfeleiknek.
Noha az NFC-technológia biztonságosabb, különösen a fizetési műveletek során, ez nem jelenti azt, hogy sérthetetlen. A támadók ugyanis kihasználhatnak bizonyos sebezhetőségeket, hogy megszerezzék, amit akarnak.
Egy kutató például 2021-ben bemutatott egy támadást, amelyben egy Android-alkalmazást fejlesztett. Az appot használva a telefonjával egyszerűen "integetett" az NFC-kompatibilis ATM-eknek, így kártyaadatokhoz és érzékeny információkhoz jutott hozzá. Ez az említett gépek bizonyos szoftverhibái miatt volt lehetséges, és ez a fizetési terminálok más típusainál is előfordulhat.
Mivel az NFC-fizetések a kényelmi szempontokra épülnek, bizonyos összeghatár és tranzakciószám alatt használatuk során nincs szükség további hitelesítésre (például PIN-kódra), amit egy hagyományos chipalapú kártya megkövetelne. Tehát, ha valaki megszerzi a bankkártyánkat, könnyen lophat a kártyánkkal fizetve anélkül, hogy (egy meghatározott értékig, itthon ez vásárlásonként 15000 forint és 5 tranzakció) kódot kérne a rendszer.
Ahogyan már említettük, az NFC a telefonokon is használható. De vajon ez a módszer biztonságosabb, mint a kártyás fizetés? Tekintettel arra, hogy az Apple Pay vagy a Google Pay további biztonsági megoldásokat követel meg PIN-kód, ujjlenyomat, arcszkennelés vagy egyéb, a telefonon rendelkezésre álló funkció formájában, valóban ad némi extra biztonságot. Emellett mindkét fizetési szolgáltatás csak akkor működik, ha engedélyezve van az eszközön, így kisebb az esélye annak, hogy valaki spontán kezdeményezzen tőlünk fizetést. Ahogy a plasztikkártyák esetében úgy az Apple vagy a Google Pay használatával sem továbbítjuk a számlánk adatait, és ha elveszítjük a készülékünket, ezeket a szolgáltatásokat könnyen letilthatjuk távolról.
Hogyan tehetjük biztonságosabbá az érintés nélküli fizetéseket?
Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. IT-biztonsági tanácsadója összegyűjtött néhány módszert, amelyekkel biztonságosabbá tehetjük az érintésmentes fizetéseket
Természetesen egyetlen biztonsági megoldás sem adhat 100 százalékos garanciát, de már kis, egyszerű lépésekkel is sokat tehetünk azért, hogy csökkentsük a balesetek valószínűségét.
Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!