Vynaliezavosť zlodejov nepozná hraníc. Jaroslav sa s nami podelil o skúsenosť z bratislavskej Hlavnej stanice, kde sa stal obeťou veľmi zaujímavého podvodu. Prišiel k nemu pán, ktorý na neho začal rozprávať cudzími jazykmi a bolo veľmi náročné sa s ním dohodnúť.
Pred očami mu pritom mával lístkom na vlak. Keďže Jaroslavovi už prichádzal vlak, nijako sa nedohodli a nastúpil doň. Ráno však zistil, že z jeho účtu odišli nejaké peniaze, transakcia pochádzala z Budapešti. Kartu ihneď zablokoval a začal rozmýšľať, ako k tomu došlo.
- NAY Android Roka 2022: Hlasujte za najlepšie Androidy a vyhrajte množstvo cien!
- 4ka Android Code 2022: Vyberte najlepšie slovenské aplikácie a vyhrajte Google Pixel 7
Potom si uvedomil, že pán zo včerajška pri ňom počas konverzácie stál veľmi blízko. Až tak, že to bolo nekomfortné, tak si dával pozor na batoh. Jaroslav si uvedomil, že pod lístkom musel pravdepodobne držať nejakú čítačku kariet, terminál, prípadne telefón. A toto zariadenie držal veľmi blízko jeho telefónu. A práve v tejto chvíli pravdepodobne prebehla spomínaná transakcia.
Dôležité informácie na začiatok
Ako iste viete, smartfóny v dnešných časoch bežne slúžia aj ako nástroje na platenie. Niektorí používatelia už svoje platobné karty ani nenosia, pretože ich majú bezpečne uložené v smartfóne. Za všetkým stojí technológia NFC.
A práve toto zlodej pravdepodobne využil. Poškodený Jaroslav si jasne spomína, že sa snažil vyslovene dostať k jeho telefónu, ktorý bol v tom čase zapnutý, displej rozsvietený. A práve rozsvietený displej znamená, že zariadenie je pripravené na prenos.
Ak idete svojím smartfónom s operačným systémom Android platiť v obchode bezkontaktne, pri zhasnutom displeji to nepôjde. Musíte ho rozsvietiť. Ak ho len rozsvietite, no neodblokujete (nezadáte kód či odtlačok prsta), zaplatiť je možné len do výšky limitu karty pre bezkontaktné platby bez nutnosti zadať PIN. V minulosti do bolo 20 eur, nedávno sa táto suma kvôli COVIDu a častým bezkontaktným platbám zvýšila na 50 eur.
Ak vlastníte iPhone, platbu je potrebné vyžiadať dvojitým stlačením zapínacieho tlačidla a následným overením prostredníctvom FaceID. Toto však nebol Jaroslavov prípad, pretože vlastní smartfón s Androidom.
Ako sa to mohlo stať?
Zlodej to mal premyslené už od začiatku. Pred poškodeným Jaroslavom mával s lístkom, za ktorým mal pravdepodobne schovaný terminál, smartfón alebo iné zariadenie, ktoré je schopné prečítať údaje z karty pomocou NFC. A keďže displej telefónu poškodeného bol v tom čase rozsvietený, “platba” prebehla.
Teoreticky by sa to mohlo stať aj s platobnou kartou, tá však bola v tom čase na mieste, ku ktorému sa zlodej nemohol dostať. Jaroslav spomína, že zlodej išiel vyslovene po telefóne a snažil sa k nemu dostať čo najskôr. Škoda je síce len vo výške ani nie 7 eur, no ak toto útočník urobí párkrát denne, môže si prísť na celkom slušné peniaze.
Incident sa stal pred 10:00 hod, avšak transakcia pochádza z Budapešti a zaznamenaná bola o 12:49. Práve v tomto čase išiel jeden vlak z Bratislavy do Budapešti, príchod do maďarského hlavného mesta mal o 12:20. Zlodej pravdepodobne odišiel týmto vlakom.
Zlodej teda musel mať nejaké zariadenie terminálového typu, s ktorým bol schopný vyžiadať platbu v spomínanej výška, ktorá nakoniec prešla.
Opýtali sme sa slovenských bánk aj polície
Polícia slovenskej republiky sa zatiaľ s týmto typom podvodu nestretla, teda nedostala o ňom žiadne hlásenie. To ale neznamená, že sa nemohol stať. VÚB banka hovorí, že takáto situácia je takmer nerealizovateľná. Akýkoľvek terminál (aj ten v mobile) nemôže len tak dostať fyzická osoba, ale len právnická. To by celý pokus o podvod značne skomplikovalo. VÚB banka ďalej hovorí, že oveľa jednoduchšie je oklamať ľudí priamo na internete bez toho, aby niekto riskoval fyzický kontakt.
SLSP sa pre portál MôjAndroid vyjadrila, že vystopovanie takéhoto zlodeja by bolo bez problémov možné bankou, ktorej terminál patrí. Musí mať totiž s bankou uzatvorenú zmluvu. Zároveň však potvrdzuje informáciu, o ktorej sme vedeli. Čiže na “zaplatenie” stačí mať odblokovaný, respektíve rozsvietený Android telefón.
mBank hovorí, že s týmto podvodom sa ešte nestretli. V teoretickej rovine sa však niečo takéto stať môže. Pokiaľ je telefón odomknutý a priloží sa k nemu terminál, transakcia štandardnej prebehne.
Len pripomíname, že išlo o osobu zo zahraničia, rovnako aj účet, z ktorého zmizla spomínaná suma, nepatrí slovenskej banke.
Ako sa brániť?
Používanie telefónu ako prostriedku na platenie je stále bezpečné. No nič nie je na 100 % a toto je toho skvelým príkladom. Obeť si v tom momente ani len nepredstavila, že cudzincovi môže ísť o peniaze, ktoré sa bude snažiť vytiahnuť z jej telefónu.
Jedným zo spôsobov, ako tomu predchádzať, je vypnutie funkcie NFC a jej zapnutie len počas platenia. Takto máte absolútnu istotu, že sa nič podobné nestane. Avšak toto môže byť pomerne nepohodlné, nie každému sa chce pri každej platbe ručne aktivovať a potom deaktivovať NFC.
Pokiaľ by Jaroslav nemal počas rozhovoru svoj telefón zapnutý, teda nemal by rozsvietený displej, zlodej by nemal šancu. Ak sa nachádzate v priestoroch, kde sa pohybuje veľa ľudí, na rozsvietený displej svojho telefónu by ste si mali dávať obzvlášť pozor. A hlavne nepúšťať si cudzích ľudí príliš blízko k sebe.
práve pre toto už nenosím klasickú kartu a výlučne platím telefónom alebo hodinkami..akurát teda používam Apple Pay čiže niečo takéto sa mi nemôže stať..prípadne nosím záložnú kartu (keby niečo), na ktorej mám vypnuté bezkontaktné platby..
boze toto su dristy… staci mat penazenku co odtieni citacku a v telefone vypnute nfc… a vo ‘a la ziadny problem…
to je tvoj pohľad, ja nič také nepotrebujem
ak mas zapnute nfc nepretrzite v telefone ty genius tak si info o tvoje karte dokaze precitat hocikto s citackou blizko tvojho vrecka.
nedokáže..na iPhone určite nie a šunty s deravým Androidom ma nezaujímajú..kto si kúpi šrot a dá si tam citlivé údaje, tak môže čakať že mu ich niekto zneužije
Vidíš aký si ignorant a hlupák? Ja osobne používam Apple výrobky ale už plne chápem prečo vznikol pojem I-ovca… Je úplne jedno na akom telefóne ale ak máš zapnuté NFC tak z neho dokáže prečítať čítačka údaje…
ak priložím iPhone s vypnutým displejom k terminálu, nič sa nestane a teda zariadenie si nič neprečíta..a ak by si aj prečítalo, tak platba prebieha cez Apple Pay a je unikátna (tokenizovaná), čiže k pravým údajom o karte sa nikto nedostane..ale aj to je treba potvrdiť cez FaceID
Lenže aj na androide google pay pri platbach kvoli bezpečnosti využíva tzv virtuálnu kartu ktorá sa pri každej platbe mení a teda keby aj niekto načítal tvoje údaje sú to len jednorazove údaje
Ale toto máš aj na androide ty atómový fyzik pokiaľ máš vypnutú obrazovku alebo zamknutú tak nezaplatíš. Ale je rozdiel medzi autorizáciou platby a prečítaním údajov karty uloženej v mobile.
na Androide ti stačí rozsvietený displej, zariadenie nemusí byť odomknuté a dokážeš zaplatiť do 50 eur jak oči
Pohonil si, tak teraz šup dopísať domácu úlohu, vycikať a spať
Údaje prečítaš až pri zapnutom displeji. Takže podľa mňa stále relatívne safe, lebo keď mám zapnutý displej mam mobil v ruke a tu nfc nepresvieti.
Informáciu prečítať dokážeš aj keď je displej vypnutý. Len keď platíš v obchode musíš mať displej zapnutý. Ak ho máš vypnutý alebo zamknutú obrazovku tak nezaplatíš. Ale to je len autorizácia platby. Prečítať údaje z čipu keď máš zapnuté NFC sa dá aj bez toho.
Údaje prečítaš ale nemôžeš OPAKOVAŤ voči inému terminálu, o to ide
Tebe ide o to aby si prečítal údaje. Potrebuješ naklonovať tú kartu z Google play. Alebo Apple pay. Je to to isté ako keď si to prečítaš z plastovej karty.
to tu popisujem – NIE JE, NENAKLONUJEŠ – terminál zablokuješ prvým hlásením a ostatné Ti je na
ty precitas cislo karty. aj s datumom dokedy plati.
proste DC/CC nie je USB čo si môžeš skopírovať, nenaklonuješ/nezopakuješ inde
to si mimo ale necham ta v tom…. vysvetli mi preco sa teda predavaju penazenky s odtienenim aby si si nemohol z bankovych kariet precitat citackou informacie??
😂😅🤣🥳
1. lebo marketing & lebo zarábať na blbosti niekoho nebolí
2. lebo (prinajlepšom) čosi z karty prečítaš (pohyby, číslo atp.), ale bezkontaktne nepoužiješ a na elektronické použitie potrebuješ PIN/CVC/ePIN a/lebo nedbalú obsluhu terminálu
cvc precitas tiez. je kopa pripadov kedy sa kartami platilo na nete , a nedbalou obsluhou terminalu mas na mysli koho? ked sa da platit do 50e predtym do 20e kartou bez zadania pinu.
payWave nie, ale platba žehličkou alebo internetová zadaním čísla a ostatných vyžadovaných údajov (v závislosti od obsluhy) by mohla prebehnúť
S magnetickým pásikom máš všetky bankové karty. Cez en si “šmýkaš” kartu. Na autorizaciu je vtedy tiež potrebný pin ale z neho /mag.pasika sa dajú bez problémov načítať potrebné dáta. Čip ktorý spomínaš sa aktivuje keď vsúvaš karty do terminálov a zadávaš pin.
Nieco take je mozne, vseobecne sa tomu hovori relay attack. Ale take nieco mi pride pravdepodobnejsie zneuzitim bezkontaktnej platobnej karty ako zapnuteho android telefonu. Navyse android telefon pri zaplateni este zavibruje a na cca 3s vyskoci na obrazovku informacia o zaplateni. Tiez nechapem to ze k tomu doslo na stanici kde su vsade kamery. Celi pribeh mi ze sa niekto snazi ukazat ze sa nieco take da, ako nieco co sa naozaj stalo.
mňa osobne takto obrali, kráčal som práve na hlavnej stanici v tlačenici a až doma som si všimol že mám rezervácie na veľa pár eurových platieb za sebou. Kartu som mal vo vačku pravdepodobne mimo peňaženky pretože som si krátko predtým kupoval lístok pri okienku… Možné to rozhodne je
Môj telefón pri platbe nezavibruje, lebo mám vibrácie vypnuté (vibrujú mi len hodinky a len na hovory alebo SMS). Nevšimnúť si obrazovku potvrdzujúcu platbu je tiež možné, pokiaľ sa v tom čase nepozerám na telefón. Áno, takáto situácia je málo pravdepodobná, no je to možné. A vyzerá to tak, že sa to naozaj stalo :)
u mna je mozne platit len cez curve. takze takyto maju kur*a problem nieco take spravit. navyse nfc zapinam LEN vtedy ked platim.
Kockaté hlavy, najbezpečnejšie sú karty, ktoré nie sú uspôsobené na bezkontaktné platenie a basta…
A čo keby to Google implementoval tak ako Apple, ako sa o tom píše v článku?
Zaujimave, ze ta platba bola pre MAV (madarske lozkove a jedalne vozy)… asi ho okradol casnik a pan Jaroslav ma okno.🤦🤡
Osobne mi to príde ako reklama 🍎 či fáma/legenda; síce ako PoC môže byť, v živote VYSOKO NEPRAKTICKÉ, lebo opakovateľnosť útoku je založená na neoznámení krádeže/ZNEUŽITIA terminálu, ktorého obstarávacia cena (myslím ZMLUVU) je nepomerne väčšia ako lup 🤔
(Dtto všetky reklamy na RFID ochrany, už len 2 karty spolu s navzájom tak rušia, že použiteľnosť/spoľahlivosť krádeže je neekonomická, nazdávam sa)
No povedal by som, že vybavovať si terminál na krádež zahŕňa okrem ceny ešte nepomerne veľké množstvo byrokracie a zo zákona musí banka zozbierať všetky info na identifikáciu, takže možno tak na 1 krádež to vystačí potom si ľahká korisť.
A ktory imbecil tu ma stale zapnute NFC? :-)