Branża bankowości wkłada wiele wysiłku, czasu i pieniędzy w ochronę kart bankowych. Przez wiele lat ich zabezpieczenia składały się z wytłaczanych cyfr i pól z podpisem; teraz stosowane są inteligentne czipy i hasła jednorazowe.
Nowe karty z czipem i PIN-em (standard EMV) obiecywały większe bezpieczeństwo niż zwykłe karty z paskiem magnetycznym, lecz zanim je wdrożono, cyberprzestępcy potrafili już poradzić sobie z ich ochroną. Na szczęście testują je nie tylko ci, którzy mają nieczyste zamiary — sprawdzają je również eksperci zajmujący się bezpieczeństwem. Badacze skrupulatnie wyszukują luki w sprzęcie i architekturze systemów płatności, a także ostrzegają twórców w razie potrzeby, tak aby mogli je wyeliminować, zanim zrobią z nich użytek cyberprzestępcy.
Na konferencji Black Hat badacze zasiali ziarno zarówno strachu, jak i nadziei: przestępcy mogą ukraść pieniądze z karty czipowej — ale ludzie mogą się przed tym chronić. Dwaj pracownicy NCR Corp. — firmy, która tworzy terminale płatności i bankomaty — zademonstrowali atak na terminale powszechnie używane w sklepach i na stacjach paliw. Wykorzystując mały i niedrogi komputer Raspberry Pi, uzyskali dostęp do komunikacji pomiędzy komputerem głównym sklepu (kasą) i modułem płatności (klawiaturą do wprowadzania PIN-u).
Mówiąc ogólnie, komunikacja pomiędzy tymi dwoma systemami powinna być odpowiednio szyfrowana, lecz w wielu przypadkach konfiguracja terminala wykorzystuje słabe mechanizmy, umożliwiając przestępcom przeprowadzenie ataku man-in-the-middle: przechwytują oni dane przesyłane pomiędzy modułem płatności a komputerem głównym i deszyfrują je.
Podczas ataku nie można przechwycić danych, bo chronią ją podstawowe zabezpieczenia karty czipowej. Niektóre dane, np. kod PIN, są zaszyfrowane w czipie i nigdy nie są transmitowane w otwarty sposób. Jednak atakujący może uzyskać z czipu inne informacje — te, które są zazwyczaj zapisywane na pasku magnetycznym.
W ten sposób przestępca może dowiedzieć się, kto jest właścicielem karty i poznać jej numer, a następnie użyć tych danych w celu dokonania płatności online przy użyciu karty ofiary. W tym przypadku oczywiście przestępcy potrzebują także kodu CVV2 lub CVC2, znajdującego się na odwrocie karty — kod ten jest zazwyczaj chroniony podczas przesyłania danych. Lecz sprytny oszust może spróbować sprawić, aby właściciel sam podał mu tę informację.
Poza standardowymi komunikatami typu „Włóż kartę” i „Wprowadź PIN” terminale płatności mogą wyświetlać wiele innych nowych żądań, np. „Wprowadź swój kod CVV2 (lub CVC2)”.
Istnieje jeszcze inny ciekawy pomysł: przestępca może dodać komunikat w stylu „Wystąpił błąd, wprowadź ponownie PIN” — a wtedy terminal może potraktować to jako żądanie otwartej, niezabezpieczonej informacji i wysłać chronione dane jako niezabezpieczone, co umożliwi przestępcom uzyskanie kodu PIN ofiary.
Dla posiadaczy kart, którzy chcą zadbać o swoje bezpieczeństwo, badacze mają dwie porady. Pierwsza zasada mówi, że nigdy nie należy wprowadzać kodu PIN dwukrotnie podczas transakcji. Gdy zostanie wyświetlony komunikat o błędzie z żądaniem ponownego wprowadzenia kodu, anuluj transakcję, wyjmij kartę, włóż ją ponownie i dopiero wtedy wprowadź ponownie swój PIN (ale tylko raz). Zachowaj czujność i ignoruj wszelkie niestandardowe pytania, wyświetlane przez terminal płatności — zwłaszcza gdy zobaczysz pytanie „Jaki jest Twój kod CVC2/CVV2?”.
Druga zasada nie jest dostępna we wszystkich krajach, lecz jest ona niemniej interesująca. Eksperci z firmy NCR, która jest światowym liderem technologii transakcji konsumenckich, mają dobrą opinię na temat bezpieczeństwa mobilnych systemów płatności (typu Apple Pay), zatem płacenie przy użyciu zegarka lub telefonu może być bezpieczniejszą opcją niż przy użyciu karty.
Oczywiście najlepszym sposobem jest płacenie starą, dobrą gotówką — wtedy oszustwa bankowe i wykorzystujące karty nie będą Ci straszne.