Tylko organizacja MasterCard wprowadziła do swoich specyfikacji rozwiązanie chroniące karty zbliżeniowe przed atakiem typu relay – twierdzi Steven J. Murdoch, badacz z University College London. Zaprezentowana przez naukowców 9 lat temu luka w bezpieczeństwie plastików nadal może być wykorzystywana.
Atak typu relay polega na użyciu urządzenia, które pełni rolę przekaźnika pomiędzy oryginalną kartą płatniczą a terminalem. Wyobraźmy sobie, że jako ofiara płacimy w kawiarni wyposażonej w kontrolowany przez przestępców terminal. Przesyła on dane z naszej karty np. na smartfona współpracującego przestępcy, który dokładnie w tym samym czasie, gdy my regulujemy rachunek, płaci zbliżeniowo telefonem w odległym sklepie np. za znacznie większe zakupy. W efekcie nasz rachunek obciąża transakcja, której nie wykonaliśmy.
Brytyjscy badacze zaprezentowali tego rodzaju atak z użyciem stykowej karty mikroprocesorowej w 2007 roku. Użyli do niego samodzielnie skonstruowanej podrobionej karty oraz zmodyfikowanego terminala płatniczego. Uznano wówczas, że lukę można wykorzystać, ale w praktyce kradzież oparta na takim schemacie będzie niezwykle trudna do przeprowadzenia. Najważniejszym problemem z punktu widzenia oszustów byłoby dokładne zgranie w czasie dwóch transakcji – odczytu prawdziwej karty oraz przekazania pochodzących z niej danych do karty-fałszywki.
Smartfony ułatwią atak
Zdaniem Stevena J. Murdocha z University College London, dziś tego rodzaju atak można przeprowadzić znacznie łatwiej. Wystarczą dwa smartfony wyposażone w moduły NFC (standard komunikacji zbliżeniowej) oraz odpowiednie oprogramowanie. Przestępcy nie muszą fizycznie posiadać karty ofiary – wystarczy zbliżyć się do niej na odległość wystarczającą do zainicjowania transakcji. Smartfon służący do odczytu oryginalnej karty może natychmiast przekazać dane do smartfona służącego do dokonania kradzieży. Drugi z oszustów będzie płacił w sklepie za pomocą telefonu, co w czasach aplikacji do m-płatności nikogo już nie dziwi. Z komentarzy pod wpisem badacza wynika, że odpowiednia aplikacja (NFCGate) jest dostępna jako oprogramowanie open source.
Badacze, którzy ostrzegali przed kartowymi atakami typu relay zaproponowali mechanizm, który mógłby służyć do zabezpieczenia się przed oszustwami. Nazwano go „distance bounding” i polega on na pomiarze czasu, jaki upływa od wysłania zapytania do karty przez terminal do otrzymania odpowiedzi. W przypadku typowej transakcji czas ten powinien być bardzo krótki. Atak relay wydłuża reakcję karty (konieczna jest komunikacja z oryginalną kartą ofiary) i dzięki temu można zidentyfikować podejrzaną transakcję. Brytyjscy naukowcy twierdzą, że do tej pory wyłącznie organizacja MasterCard włączyła do swojej specyfikacji płatności zbliżeniowych ten mechanizm obronny.
Czynnikiem, który może zniechęcić przestępców do eksperymentów z atakami relay na karty płatnicze jest limit kwotowy pojedynczych płatności zbliżeniowych bez użycia numeru PIN. Przypomnijmy, że w Polsce wynosi on obecnie 50 zł dla kart Visa Paywave i MasterCard PayPass. Przeprowadzenie udanej kradzieży jest też nadal stosunkowo trudne organizacyjnie. Technologia kart płatniczych powinna jednak wyprzedzać rozwój złodziejskiego fachu i chronić przed nawet stosunkowo mało prawdopodobnymi zagrożeniami.
