Karty paypass Ataki Bezpieczeństwo w Systemach Komputerowych Skimming Utrata karty Przechwycenie danych karty kredytowej Błędy działania Chargeback 1 2 Historia Historia Początek XX w. pierwsze karty w USA upoważniające do odbioru towaru i zapisanie kredytu na poczet klienta 1914r. Western Union wprowadza karty obciążeniowe 1950r. Firma DinersClub wprowadza karty umożliwiające płacenie w restauracjach i hotelach Lata 50 XX w. AmericanExpress tworzy pierwszy system kart płatniczych, Bank of America zakłada Visa International, grupa banków zakłada MasterCard Koniec lat 60 XX w. - sieci handlowe Pewex, Cepelia oraz wybrane hotele i restauracje akceptują płatność kartami DinersClub - firma Orbis odpowiedzialna za rozliczanie transakcji kartami. Lata 80 XX w. - pierwsze karty identyfikacyjne w Polsce wydane przez Bank Pekao S.A. Lata 80 XX w. - pierwszy bankomat Banku Pekao S.A. 1990r. - powstanie Polcard na bazie działu akceptacji kart firmy Orbis 1991r. wydanie pierwszej karty VISA przez Bank Inicjatyw Gospodarczych S.A. 3 4 wprowadzenie Podział Bankomatowa Charge Debetowe Kredytowe Przedpłacone 5 6 1
wprowadzenie Budowa karty magnetycznej Skimming - skopiowanie zawartości paska magnetycznego 1 ścieżka alfanumeryczna i 2 ścieżki numeryczne 218 znaków nie ma zapisanego PINu (autoryzacja PINu podanego przez użytkownika wymaga połączenia z centrum autoryzacji) łatwość kopiowania danych i ich fałszowania Karta chipowa 100kb pamięci możliwość wewnętrznej autoryzacji z identyfikacją kodu PIN off-line 7 8 Anty Na Antyskimmer 9 10 Na Antyskimmer 11 12 2
Bankomat + Biometria!!! 13 14 inne zagrożenia utrata karty CashTrap 1.04.2014 weszła w życie rekomendacja NBP w sprawie kart zbliżeniowych. Za nieuprawnione transakcje dokonane przed zastrzeżeniem karty klient odpowiada do kwoty 50 euro (dotychczas 150 euro) Nie dotyczy sytuacji, gdyposiadaczowi można przypisać winę za zaistniałą sytuację, np. nienależyte przechowywanie karty, kodu, udostępnienie karty osobie nieuprawnionej 15 16 utrata karty przechwycenie danych karty kredytowej Całkowicie zniesiono odpowiedzialność klienta za transakcje po zastrzeżeniu karty (łącznie z transakcjami z PINem) Nie dotyczy to sytuacji, gdy doszło do transakcji z winy umyślnej: przy przestępstwach bankomatowych musi być zapis z kamery lub fotografia których zapis wskazuje na posiadacza, by udowodnić winę posiadacza. wina umyślna a płatności potwierdzone PINem...? Nie podawaj (telefon, e-mail) danych: numer, kod CVV2/CVC2 Nie spuszczaj karty z oka, płacąc Bo sprzedawca może zapamiętać imię, nazwisko i kod CVV2, natomiast numer karty ma na zestawieniu dobowym!!!! 17 18 3
przechwycenie danych karty kredytowej błędy działania Nie podawaj (telefon, e-mail) danych: numer, kod CVV2/CVC2 Nie spuszczaj karty z oka, płacąc Nie ufasz sklepowi internetowemu? (obawa o dane karty kredytowej) karta wirtualna - samemu ustala się limity wydatków ładując na nią tyle pieniędzy, ile jest potrzebne do zrobienia zakupów. Po opuszczeniu wirtualnego sklepu kartę można rozładować. Karta wirtualna przestaje być obiektem zainteresowań internetowego oszusta, bo nie ma na niej żadnych pieniędzy 3/2008 Posiadacze kart VISA, którzy dokonywali w dniu 14 i 15 stycznia 2008 wypłat z bankomatów mogli się zdziwić niektóre wypłaty były księgowane wielokrotnie pojawiły się znaczne debety Banki prawdopodobnie anulują wypłaty Anulowanie obciążeń - procedura: Umowa o korzystanie z karty: postępowanie reklamacyjne Art. 278 par. 3 Kodeksu Cywilnego: posiadacz rachunku bankowego jest obowiązany zgłosić bankowi niezgodność zmian stanu rachunku lub salda w ciągu 14 dni od otrzymania wyciągu z rachunku 19 20 Chargeback 6/2011 Kupując przez internet i płacąc kartą (kredytową, płatniczą) można... mieć problemy: towar nie dotarł lub dostaliśmy coś innego a rozmowy ze sprzedawcą nic nie dały. Można złożyć w banku reklamację transakcji Bank może zainicjować tzw. procedurę chargeback prowadzącą do odzyskania utraconych pieniędzy. Zgodnie z regulacjami Visa i MasterCard bank ma obowiązek taką reklamację przyjąć. Przykładem zastosowania procedury było bankructwo firmy Air Polonia i złożenie przez klientów reklamacji 21 22 anonimowość (karty przedpłacone) znane także jako elektroniczne portmonetki (ang. electronic purse) Jak rozpoznać kartę pre-paid (anonimową) standard ISO/IEC 14443 technologia PayPass (MasterCard) lub PayWave (Visa) układ elektroniczny z anteną RFID uiszczenie opłaty zbliżenie do czytnika transmisja karta-czytnik jest szyfrowana transakcja do 50 PLN nie wymaga tzw. autoryzacji (podpis, PIN) 23 Kod IBAN dla kont: PL cc BBBB BBBc RRRR RRRR RRRR RRRR c cyfry kontrolne, R kod banku i oddziału, R numer rachunku WBK wydaje karty o kodzie 59 (cc) 1090 0075 (BBBB BBBc) 1090 kod banku 0075 kod oddziału Nie możemy zakładać, że banki będą miały anonimowe rachunki tylko w jednym oddziale 24 4
anonimowość Karty gwarantują anonimowość Zakupiona w banku karta ma ANONIMOWE konto bankowe Zasilanie karty (nie dla każdej karty) wpłata na konto możliwość wykonywania anonimowych transakcji możliwość anonimowego wyłudzania pieniędzy (np. aukcje) Problem nielegalnego wykorzystania jest badany w USA (finansowanie siatek terrorystycznych, prania pieniędzy) 25 26 Electronic pickpocketing Utrata pieniędzy z konta http://www.snopes.com/fraud/identity/pickpocket.asp (12.2010) 08.2014 ZABEZPIECZENIA: Osoba atakująca posiadająca czytnik z anteną: odczyta: imię, nazwisko, numer rachunku, data ważności PINu i CVV nie odczyta zasięg ataku niewielki skupiska ludzkie obrona: odczyt karty przez osobę nieupoważnioną utrudniony, w sytuacji wystąpienia w sąsiedztwie czytnika kilku kart z nadajnikiem RFID, działających na podobnej częstotliwości Kopiowanie zawartości karty czytnikiem RFID jest możliwe z odległości mniejszej niż kilka cm. Do każdej transakcji bezstykowej karta generuje jednorazowy kod CVC Możliwość zdefiniowania autoryzacji online w celu sprawdzenia, czy nie doszło do przekroczenia limitu Co kilka/kilkanaście transakcji terminal żąda potwierdzenia transakcji kodem PIN, nawet jeżeli kwota nie przekroczy 50 PLN 27 28 Podsumowanie : chroń karty pomimo, że jesteś chroniony 29 5