Megbukott a biztonságosnak hitt bankkártya? (videóval)

Chip and pin

A chip and pin kártyák sajátossága, hogy a hagyományos mágnescsík mellett tartalmaznak egy chipkártyát is, amely hitelesíti a kártya birtokosának négyjegyű azonosító kódját (PIN-kód), valamint tartalmaz egy titkos kódot, amely a bankkal lezajló tranzakciót hagyja jóvá.

Az egyesült királyságbeli fizetési szövetség, az Apacs szerint a szigetországban 25 százalékkal csökkent a bankkártyás visszaélések aránya az új kártya üzemelésének első két évében. Az új kártya egyébként az Egyesült Királyságban 2006 februárja óta kötelező.

A biztonságosnak hitt kártya azonban nem tökéletes, Mike Bond, a Cambridge-i Egyetem kutatója szerint több módszer is létezik, amelyet a jelek szerint - sajnálatos módon - ismernek és alkalmaznak is a csalók.

A rendszer kijátszása

Az egyik lehetőség szerint a visszaélésre utazók kitalálták, hogyan lehet klónozni a kártyákban elhelyezett chipeket. Ezeket lehet ugyan másolni, ám a kutató elmondása szerint ez egyelőre túlságosan költséges módszer volna, s egyelőre nincs bizonyíték arra vonatkozóan, hogy olcsóbb módszerre akadtak volna.

Egy másik módszer azonban kisebb költségű, s sokkal inkább elterjedt. Eszerint a chip által tárolt egyéb információkat könnyen le lehet másolni egy másik kártyára, melyet "igen kártyának" is hívnak, az alábbiakban ki is derül, hogy miért.

Az igen kártyákhoz nem szükséges az eredeti PIN-kód ismerete, így az bármilyen PIN-kódra azt mondja, hogy megfelelő. Ugyanakkor, mivel a banki tranzakció jóváhagyásához szükséges kód nincs meg, ez a felhasználási mód limitált. Csak akkor működik, ha az egyes terminálok az SDA elnevezésű biztonsági technikát alkalmazzák, amelynek az az óriási hiányossága, hogy mindaddig, amíg nem kell a bankkal kommunikálni, nem derül ki, hogy másolatról van szó.

Több kártyaleolvasó tehát anélkül hagyja jóvá a tranzakciót, hogy kapcsolatba lépne a bankkal. Az Egyesült Királyságban ilyenek működnek a nagy áruházláncokban, illetve vasútállomásokon is. Persze ezek a kártyák, amennyiben a tranzakciók száma elér egy bizonyos limitet, már kapcsolatba lépnek a hitelintézettel, vagyis csak eddig lehet visszaélni a másolatokkal. Több országban egyébként már éppen emiatt kezdik bevezetni a DDA elnevezést viselő biztonsági rendszert, amelyen keresztül már nem lehet alkalmazni az igen kártyákat.

Létezik egy másik csalási módszer, amely azt használja ki, hogy akadnak olyan ATM-ek, melyek csak a mágnescsíkot képesek leolvasni, illetve az Egyesült Királyságban a chip-olvasás mellett meghagyták ezt a lehetőséget is a külföldről érkező turisták miatt.

Hogy ezt kihasználják a csalók, elég megrongálni, vagy eltávolítani a kártyában megtalálható chipet. A csalók sokkal könnyebben képesek a mágnescsíkokat másolni egy, az ATM-hez csatolható szerkezet segítségével, melyek egy kamerával rögzítik a nyomógombokat, illetve a kártyaleolvasó által tárolt kártyainformációkat.

A csupán mágneskártyát leolvasni képes ATM-ek problémáján igyekszik változtatni az úgynevezett liability shift, mely a gyakorlatban annyit jelent, hogy az Európán belüli nemzetközi forgalomban felmerült visszaélések esetén a kárt az a fél viseli majd, aki nem látja el kártyáit chip-pel, illetve nem biztosítja ATM és POS berendezésein a chip alapú elfogadást.

Tökéletes biztonság nem létezik

Ha mindezen problémákat sikerül kiküszöbölni, az sem jelenti azt, hogy a találékonyság véget érne. Egy évvel ezelőtt ugyanis egy cambridge-i kutatócsoport kamera nélkül feltört egy POS-terminált, s arra programozta be, hogy Tetrist lehessen rajta játszani, erről egyébként videó is készült.