Az ESET biztonsági cég kutatói szerint ezek a kártyák továbbra is alkalmasak klónozásra vagy adatlopásra, bár az ilyen bűncselekmények elkövetése nagyobb kihívást jelent a bűnözők számára, mint a mágnescsíkos kártyák esetében. Közben pedig az érintésmentes fizetések egyre gyakoribbak – de vajon biztonságosabbak, mint a hagyományos fizetési módok?
Az NFC-szabvány
A 2010-es évek második felében új fizetési szabványként jelent meg a rádiófrekvenciás azonosításból (RFID) kifejlesztett, közelmezős kommunikáció (NFC). Ezzel a technológiával az eredeti, chipalapú kártyák még felhasználóbarátabbá váltak, mivel ahelyett, hogy a fizetési terminálokba és ATM-ekbe kellene behelyezni őket, a pénz küldéséhez elég egy NFC-kompatibilis fizetési eszközhöz tartani a kártyát.
Hogy mi lehet fizetési eszköz? Az érintésmentes kártyák mellett ma már a telefonok is képesek ezt a funkciót ellátni olyan szolgáltatásokon keresztül, mint az Apple Pay vagy a Google Pay, amelyek a kártyaadatok feltöltése után lehetővé teszik, hogy a telefonnal fizessünk.
A folyamat, amelyen keresztül az NFC-fizetés történik, nagyon hasonlóan működik a Bluetooth vagy más, vezeték nélküli kommunikációs rendszerekhez, mivel rádióhullámokat használ a továbbított információk aktiválásához és hitelesítéséhez. Ezt az adatot aztán egy antenna dekódolja. Pontosabban fizetés esetén a terminál információt kap a telefontól, amelyet aztán feldolgoz és továbbít az elfogadó bank felé, egyszerűsítve a tranzakciót.
Mennyire biztonságos az NFC?
Mivel elsődleges alkalmazása az érintés nélküli tranzakciók megkönnyítése, feltételezhetnénk, hogy az NFC teljesen biztonságos, igaz? Valahogy így is van. Az ESET kiberbiztonsági szakértői szerint a vezeték nélküli kommunikáció más módjaival összehasonlítva sokkal nehezebb feltörni, mivel működtetéséhez kis távolságra van szükség.
Ez viszont nem jelenti azt, hogy teljesen elkerülhetőek a kibertámadások.
Hogy miként próbálják a kiberbűnözők a bankkártyáinkról megszerezni a pénzünket, erről szól a Hackfelmetszők – Veled is megtörténhet, az ESET kiberbiztonsági podcastjének legújabb adása is, amelyben szóba kerültek a Magyarországon legelterjedtebb csalásformák, például a callcenteres csalások és az adathalász SMS-ek, az AI egyre erőteljesebb szerepe a csalásokban, valamint az, hogy mely esetekben fizetnek a bankok kártérítést ügyfeleiknek.
A biztonság nem magától értetődő
Noha az NFC-technológia biztonságosabb, különösen a fizetési műveletek során, ez nem jelenti azt, hogy sérthetetlen. A támadók ugyanis kihasználhatnak bizonyos sebezhetőségeket, hogy megszerezzék, amit akarnak.
Egy kutató például 2021-ben bemutatott egy támadást, amelyben egy Android-alkalmazást fejlesztett. Az appot használva a telefonjával egyszerűen „integetett” az NFC-kompatibilis ATM-eknek, így kártyaadatokhoz és érzékeny információkhoz jutott hozzá. Ez az említett gépek bizonyos szoftverhibái miatt volt lehetséges, és ez a fizetési terminálok más típusainál is előfordulhat.
Mivel az NFC-fizetések a kényelmi szempontokra épülnek, bizonyos összeghatár és tranzakciószám alatt használatuk során nincs szükség további hitelesítésre (például PIN-kódra), amit egy hagyományos chipalapú kártya megkövetelne. Tehát ha valaki megszerzi a bankkártyánkat, könnyen lophat a kártyánkkal fizetve anélkül, hogy (egy meghatározott értékig, itthon ez vásárlásonként 15 000 forint és öt tranzakció) kódot kérne a rendszer.
Biztonságosabbak a telefonos fizetések?
Ahogyan már említettük, az NFC a telefonokon is használható. De vajon ez a módszer biztonságosabb, mint a kártyás fizetés? Tekintettel arra, hogy az Apple Pay vagy a Google Pay további biztonsági megoldásokat követel meg PIN-kód, ujjlenyomat, arcszkennelés vagy egyéb, a telefonon rendelkezésre álló funkció formájában, valóban ad némi extra biztonságot. Emellett mindkét fizetési szolgáltatás csak akkor működik, ha engedélyezve van az eszközön, így kisebb az esélye annak, hogy valaki spontán kezdeményezzen tőlünk fizetést. Ahogy a plasztikkártyák esetében, úgy az Apple vagy a Google Pay használatával sem továbbítjuk a számlánk adatait, és ha elveszítjük a készülékünket, ezeket a szolgáltatásokat könnyen letilthatjuk távolról.
Hogyan tehetjük biztonságosabbá az érintés nélküli fizetéseket?
Csizmazia-Darab István, az ESET-termékeket forgalmazó Sicontact Kft. IT-biztonsági tanácsadója összegyűjtött néhány módszert, amelyekkel biztonságosabbá tehetjük az érintésmentes fizetéseket
- Állítsunk be alacsony fizetési limiteket – a bankon keresztül, akár online a pénzintézet applikációján keresztül is beállíthatunk egy maximális limitösszeget, amennyiért vásárolhatunk.
- Használjunk telefonos fizetést – bár ezeknek az alkalmazásoknak is lehetnek hibáik, az extra hitelesítési követelmények által mégis biztonságosabbak, mint az NFC-s kártyák.
- Használjunk egyszer használatos vagy virtuális kártyát: ne adjuk meg a saját, bankszámlánkhoz tartozó kártyaadatokat online fizetéskor, hanem használjunk egyszer használatos vagy olyan virtuális kártyát, amelyre csak a vásárlás pillanatában töltjük fel a szükséges összeget.
Természetesen egyetlen biztonsági megoldás sem adhat százszázalékos garanciát, de már kis, egyszerű lépésekkel is sokat tehetünk azért, hogy csökkentsük a balesetek valószínűségét.