Pravijo, da je bilo v zadnjem času zabeleženih že več kot 230 tatvin in da število narašča. Preverili smo, ali je kaj takega res mogoče.
»Še posebej če se odpravljate na dopust, bodite pozorni. Po e-pošti nas je Bine namreč obvestil o novi metodi kraje, za katero sploh ni vedel! Niso mu ukradli zlatnine, dragocenih predmetov ali gotovine ... denar so mu ukradli kar z njegove bančne kartice,« povedo v uvodu e-sporočila.
V nadaljevanju izvemo, da se je Binetu med fotografiranjem lepot Hvara nekdo približal s prenosnim čitalnikom RFID in mu z računa snel 14 evrov. »Z brezstično kartico lahko opravite od tri do štiri zaporedne nakupe v znesku do 15 evrov, ne da bi morali vpisati kodo PIN. Brezstična kartica deluje s tehnologijo RFID, ki po radijskih frekvencah pošlje vaše podatke POS-terminalu, kar omogoča, da lahko plačate svoj nakup v trgovini samo s približanjem svoje kartice POS-terminalu,« pojasnjujejo.
V podjetju Signal Shield, v katerem prodajajo zaščitne kartice, ki preprečujejo tovrstno krajo, pravijo, da so možnost takšne kraje preizkusili tudi sami in da je dejansko izvedljiva. »Že z navadnim čitalnikom RFID, ki ga lahko z eBaya naročimo že za šest evrov, in s primernim programom lahko v samo štirih sekundah preberemo vse potrebne podatke z brezstične kartice! In to medtem ko je kartica 'varno' v vašem žepu. Na potovanju, sprehodu, na kavi ali avtobusu! Kjer koli ste, vam lahko ukradejo podatke vaše bančne kartice, ne da bi se vas dotaknili!« opozarjajo in zraven omenijo anketo, v kateri so ugotovili, da kar 67 odstotkov ljudi, starih od 25 in 60 let, sploh ne ve, da ima pri sebi brezstično kartico. »Še večji pa je bil odstotek ljudi, ki se ne zavedajo nevarnosti in zaradi tega niso pozorni na krajše stike s tujci, ki jih lahko stanejo od 15 evrov naprej.«
Na policiji opozoril niso izdajali
Ker je bilo v sporočilu omenjeno, da policija svari pred tovrstnimi krajami, smo zadevo najprej preverili pri njih. Drago Menegalija, predstavnik Policije za odnose z javnostmi za področje kriminalitete, odgovarja: »Na policiji nimamo podatkov, da bi bila do zdaj prijavljena zloraba brezstične plačilne kartice, pri čemer bi bili njeni podatki pridobljeni s kakršno koli napravo. Glede na splošno znane informacije o sistemu delovanja brezstičnih plačilnih kartic in POS-terminalov, ki delujejo s tovrstno tehnologijo (RFID, NFC), je kopiranje (tako imenovani skimming) podatkov s kartic zaradi varnostnih mehanizmov izredno težko izvedljivo.«
Brezstične bančne kartice so velika neumnost!
O možnosti kraje sem povprašala znanca, zelo sposobnega programerja in strokovnjaka za informatiko. Sicer želi ostati anonimen, je pa vseeno povedal, da kraja, ki jo omenjamo, ni nemogoča, če imamo brezstične kartice, s katerimi lahko plačujemo brez vnosa PIN-a.
»S čitalnikom RFID se da poskenirati kartico in dobiti osnovne podatke, vendar pa samo z njim ni mogoče prekopirati čipa na kartici. V tem čipu je vsa potrebna logika za dvigovanje denarja, ta pa začne 'normalno delovati' oziroma dvigovati denar šele po vnosu pravilnega PIN-a. Moj odgovor bi torej bil, da ni mogoče, da ti nekdo od zadaj s pomočjo RFID-a pobere denar, če je vmesno varovalo vnos PIN-a. Sem pa osebno zelo proti pametnim bančnim karticam. Kmalu se bo plačevalo s telefonom, pravzaprav je to mogoče že zdaj, kar je prav tako velika napaka,« opozarja in mimogrede omeni, da bi morale bančne kartice uporabljati višjo stopnjo varnosti, še posebej kadar govorimo o brezstičnih karticah z dodatnim vtipkavanjem PIN-a.
»Kako se tega lotijo, je odvisno od banke do banke. Informacije o tem, katere podatke kartica najprej sporoča, javnosti niso na voljo. Že to, da sporoča svojo številko (kartice) brez potrebnega vnosa PIN-a, je neumno urejen varnostni protokol. Skoraj tako, da kartice kar vabijo 'pokradite me'. Veliko varnejši boste, če brezstičnih kartic, ki omogočajo kakršen koli nakup brez vnosa PIN-a, ne boste uporabljali! Če pa plačujete z vnosom PIN-a, potem vam za takšne kraje ni treba skrbeti,« pravi.
Zgodbi, kot je ta o Binetu na Hvaru, pa nič kaj ne verjame. »Običajno se izkaže, da so v takšnih zgodbah lažne informacije. Vedeti je treba, da raste velika industrija okrog denarnic/prevlekic/oblekic za kartice, ki ščitijo pred skeniranjem. Največje orožje za povečanje varnosti plačevanja, ki ga imamo na voljo, je to, da se zavedamo, kako varna so naša plačilna sredstva in kako se jih uporablja. V primeru, ko ti banka ponudi kartico, da boš lahko z njo plačeval 'milijone' brez vnašanja varnostnega PIN-a, in to na razdaljo nekaj metrov (pretiravam, čeprav je tehnološko mogoče), bi nam moral v glavi takoj zazvoniti varnostni alarm. Jaz še najbolj zaupam svoji nogavici. Sranje, zdaj pa veste, kje skrivam denar!«
Bančna kartica ni elektronska denarnica
Za mnenje o kraji smo vprašali še direktorja Inštituta za forenziko informacijskih tehnologij (iFIT) Tadeja Stergarja, ki je še enkrat potrdil, da je to predvsem lažni preplah. »Treba je pojasniti, da bančna kartica ni neke vrste 'denarnica' oziroma 'elektronska denarnica', na kateri bi bil shranjen vaš denar. Posledično ga torej s kartice ni mogoče ukrasti. Kartica je samo plačilni instrument in na njej (na čipu in/ali magnetnem traku) so seveda shranjeni identifikacijski in drugi podatki. S pomočjo ustrezne tehnologije je podatke s kartice mogoče prebrati in jih v nekaterih primerih oziroma na določene načine tudi zlorabiti (tudi z magnetnega traku). Samo z branjem s pomočjo RFID-a je mogoče pridobiti le številko kartice (PAN), ki je na nekaterih karticah (na primer na MasterCardu) natisnjena na sprednji strani kartice, pri Maestru pa na zadnji strani.
Danes je pri oddaljenih nakupih običajno treba poleg številke PAN povsod vnesti še kodo CVC2 ali pa celo dodatno geslo (na primer tehnologija 3DSecure pri MasterCardu). Dodatno geslo veliko bank uporabniku pošlje s sporočilom SMS, kar je dodatna varovalka, ki jo je vzpostavila Evropska unija s pomočjo regulatorjev (ECB in EBA). V nerazvitem svetu (Azija, Južna Amerika) pa se žal še vedno najdejo trgovci (tudi lažni ali namerno zlonamerni), ki ne zahtevajo vseh avtentikacijskih podatkov.«
Prav tako opozori, da samo z branjem podatkov s čitalnikom RFID ni mogoče narediti ponarejene kartice, kot je to mogoče pri skimmingu, še enem načinu kraje denarja z bančnih kartic. »V grobem bi celo lahko rekli, da so takšne kartice za morebitne zlorabe za spletne nakupe celo bolj varne, saj v primeru plačila z brezstično kartico MasterCard in morebitnim skeniranjem RFID ne pridobijo še vaše kode CVC2, ki se jo običajno potrebuje za potrditev plačila prek spleta.
Mogoča bi bila sicer tudi zloraba sistema s pomočjo dejanskega POS-terminala, ko bi nekdo izvedel tako imenovano lažno plačilo blaga oziroma storitev in bi se približal nevednemu lastniku kartice, vendar le do višine zneska, ko za izvedbo transakcije ni zahtevan še vnos PIN-a. Seveda mora biti tak POS-terminal prijavljen v sistemu in je vedno mogoče ugotoviti lastnika tega terminala itn. Običajno je zaradi pohlepa storilcev oškodovancev več. Torej bo tudi reklamacijski zahtevek bistveno lažji in v primeru uspeha bo oškodovanemu znesek povrnjen,« odgovarja.
Očitno se denarja z bančnih kartic kljub preplahu ne da tako preprosto ukrasti. Vseeno pa ne podcenjujmo nepridipravov in poskrbimo za varnost svojega imetja. Stergar svetuje, da varnost med drugimi povečamo z vključitvijo tako imenovanega varnostnega SMS-a, ki ga prejmemo vsakič, ko je bil opravljen dvig z naše bančne kartice, ter da v primeru izgube kartice to takoj prekličemo na svoji banki.