Karty chipowe: Koniec kłopotów czy początek końca?
Banki wiele obiecują sobie po kartach płatniczych z chipami, licząc na ich mocne zabezpieczenia. Mają nadzieję, że wyłudzenia z użyciem danych skopiowanych z plastikowych pieniędzy rychło odejdą w niepamięć. Ale nie ma się co łudzić - wojna z karcianymi oszustami wcale się nie skończyła.
Skimming to słowo wywołujące zgrzytanie zębów bankowców i uzasadniony niepokój posiadaczy kart płatniczych. Zjawisko istniało od dawna, lecz dopiero w ciągu ostatniej dekady stało się prawdziwą plagą powodującą wyciek milionów dolarów z systemu bankowego. A wszystkiemu winny pasek magnetyczny znajdujący się na karcie i postęp technologiczny, który umożliwił coraz łatwiejsze i tańsze odczytywanie danych na nim zawartych.
Pasek magnetyczny zawiera informacje identyfikujące kartę i jej właściciela. Odczytanie tych danych nie jest i właściwie nigdy nie było zbyt trudne - dawniej konstruowanie czytników stanowiło zabawę dla młodych adeptów elektroniki, obecnie takie urządzenia są powszechnie dostępne w każdym niemal sklepie. Skopiowanie informacji z paska magnetycznego daje już pewne możliwości dokonywania wyłudzeń, np. stworzenie duplikatu karty do transakcji bezgotówkowych bez użycia kodu PIN (płatności w Internecie czy przez telefon). Jednak w porównaniu do wyciągnięcia żywej gotówki z bankomatu są to metody nieefektywne, wymagające współpracy z obsługą w punktach sprzedaży (kasjerami, kelnerami itd.) czy upłynniania wyłudzonych towarów.
Nie dziwne więc, że przestępcy wzięli na cel bezpośredni dostęp do pieniędzy z użyciem sfałszowanych kart. Czytnik wystarczy przecież zamontować na bankomacie tak, by nie wzbudzał podejrzeń, a zarazem pozwalał użytkownikowi na wypłatę środków. Dlatego najczęściej narzędzie oszustów pojawia się pod postacią niepozornej nakładki na prawdziwe gniazdo kart bankomatu.
Jednak same informacje z paska nie wystarczają do dokonania przestępstwa. Do pełni szczęścia, czyli wyłudzenia pieniędzy, brakuje kodu PIN. I tu z pomocą fałszerzom przychodzi nowoczesna technika, dzięki której zdobycie czterech magicznych cyferek staje się proste: potrzebna jest tylko mała kamera umieszczona nad klawiaturą i rejestrująca wciskane klawisze, bateria zasilająca i nadajnik albo pamięć do przechowywania nagrań. Kilkanaście lat temu stworzenie takiego zestawu wymagało sporego nakładu finansowego, zaś efekt końcowy miał spore wymiary i wagę: przechwycony w 1995 roku przez wrocławską policję polski zestaw do skimmingu oraz kradzieży PIN-ów był na tyle duży, że do jego transportu używano samochodu. W skład chałupniczo wykonanej konstrukcji - pierwszego urządzenia tego typu wykrytego w Europie i jednego z pierwszych w świecie - wchodził m.in. magnetowid, monitor, odbiornik radiowy oraz ogromna przetwornica, która po podłączeniu do samochodowego akumulatora wytwarzała napięcie 220 V. O postępie technologicznym, jaki nastąpił w ciągu 15 lat od owego sukcesu polskiej policji, najlepiej świadczą poniższe dane:
- w roku 2000 kamera z nadajnikiem (a więc bez własnej pamięci) kosztowała ok. 2000 dol.,
- w roku 2005 wykorzystanie aparatu cyfrowego z pamięcią 1 GB stanowiło wydatek ok. 400 dol.,
- dwa lata później (2007) można było posłużyć się telefonem komórkowym z pamięcią 0,5-1 GB za ok. 100-200 dol.,
- dzisiejsza kamera umieszczona w obudowie długopisu ma pamięć 4 GB i kosztuje raptem 50 dol.
Do przestępczego procederu wykorzystywane są też tak pospolite obecnie urządzenia jak odtwarzacze MP3 czy palmtopy - tanie, wyposażone w baterie i pojemną pamięć, a często i łączność bezprzewodową.
Dostępność sprzętu w niskiej cenie spowodowała lawinowy wzrost liczby wyłudzeń z użyciem sklonowanych kart i kodów PIN. Według danych różnych banków na przestrzeni ostatnich 3 lat liczba ataków skimmingowych sukcesywnie spadała w punktach sprzedaży, natomiast drastycznie wzrosła w przypadku bankomatów. Banki podjęły działania prewencyjne w celu ograniczenia strat, umieszczając na bankomatach ostrzeżenia o potencjalnych zagrożeniach i zabezpieczając urządzenia przed montażem nakładek. Świadomość istnienia pułapek spowodowała także, iż posiadacze kart stali się bardziej czujni i uważniej zaczęli przyglądać się bankomatom, a ponadto wyrobili sobie nawyk zakrywania klawiatury jedną dłonią.
Oczywiście takie rozwiązania na dłuższą metę nie zdałyby egzaminu, dlatego banki w pośpiechu rozpoczęły wymianę kart płatniczych na wersje chipowe. Skopiowanie informacji z tych kart nie jest łatwe, lecz pamiętać trzeba, że na każde zabezpieczenie zawsze znajdzie się metoda - to tylko kwestia czasu i opłacalności przedsięwzięcia. Zresztą do pierwszych wpadek systemu EMV używanego w chipach już doszło: w październiku 2008 kilka tysięcy terminali wyprodukowanych w Chinach po drodze do odbiorców w Belgii, Irlandii, Holandii i Anglii zostało wyposażonych w dodatkową płytkę z modemem GSM, który przesyłał kody PAN i PIN do miasta Lalhore w Pakistanie. Terminale pracowały przez 9 miesięcy, choć każdy z nich był cięższy od nieprzerobionego o 100 g.
Straty wyniosły kilkadziesiąt milionów funtów. W 2006 roku wykradziono kody PIN ze stacji benzynowych Shell w Wielkiej Brytanii, a kwota wyłudzeń sięgnęła miliona funtów. W lutym bieżącego roku zaś naukowcy z brytyjskiego uniwersytetu w Cambridge udowodnili możliwość ominięcia kodu PIN: w terminalu płatniczym umieścili atrapę karty i połączyli ją przez urządzenie pośredniczące z kartą rzeczywistą (np. skradzioną). Owo urządzenie pośredniczące powodowało, że terminal przyjmował dowolny PIN.
Co gorsza, karty chipowe wciąż wyposażone są w pasek magnetyczny, który używany jest w szczególnych przypadkach, lecz nadal może być sklonowany. A że w kartach chipowych kod PIN podawać trzeba praktycznie zawsze (terminale bez obsługi EMV są rzadkością, w przeciwieństwie do bankomatów), niezmiernie łatwo go przechwycić - trudno zachować czujność w każdym punkcie sprzedaży takim jak sklep czy restauracja, a kamery przemysłowe są wszechobecne.
Dopóki więc pasek magnetyczny nie zostanie całkowicie wyeliminowany, a użytkownicy kart nie będą wsparci dodatkowym zabezpieczeniem, np. skanowaniem odcisku palca, skimming nadal będzie występował, choć zapewne w dużo mniejszej skali. A na jego celowniku pojawią się kolejne technologie takie jak PayPass i PayWave do transakcji zbliżeniowych.
Darek Rzeźnicki