Neplaťte čipovými kartami u obchodníků, mohli byste na to doplatit

Ve spoustě zemí včetně České republiky banky nutí uživatele nově vydávaných čipových karet zadávat PIN pro potvrzení každé platby u obchodníka. Nevadilo by to, pokud by k tomu byl použit důvěryhodný terminál vlastněný uživatelem karty (např. aplikace v mobilu), nebo jednorázový PIN, např. RSA token nebo jednorázový kód zasílaný pomocí SMS. Banky se však rozhodly ušetřit na úkor bezpečnosti svých zákazníků a nutí je zadávat statický PIN na cizí klávesnici čipového terminálu. Přitom pradávná bezpečnostní zásada je, že na cizí klávesnici se nikdy nemají vkládat citlivé informace.

<

p> Tým odborníků z Univerzity v Cambridge nedávno prokázal, že navzdory tvrzením bank jsou čipové terminály vlastněné obchodníky nedostatečně zabezpečené. Praktickým způsobem (tedy levně a rychle) lze zkompromitovat přinejmenším některé běžně používané terminály a získat z vložených karet PIN a údaje o kartě a účtu uživatele. Tyto údaje lze pak např. použít k vytvoření klonované karty s magnetickým proužkem a díky znalosti PINu pak vybírat peníze z bankomatů v zahraničí.

<

p> Dokument zmiňuje i několik dalších jednodušších způsobů, jak získat zákazníkův PIN, který pak lze zneužít, pokud útočník použitou kartu dokáže ukrást.

<

p> Potvrzuje se tak podezření, že čipové karty se statickým PINem jsou bezpečné pouze z hlediska bank, kterým použití PINu při zneužití ukradené nebo klonované karty umožňuje zbavit se zodpovědnosti tvrzením, že PIN musel být vyzrazen zákazníkem.

<

p> Z hlediska zákazníků čipové karty představují zvýšené riziko a jejich používání pro platby u obchodníků vybavených čipovým terminálem nelze doporučit.