Britská výzkumná skupina ukázala, že je možné obejít limit 25 eur na bezkontaktních kartách. Pro společnost Visa však neexistují žádná skutečná rizika
Bezkontaktní kreditní karty z okruhu Visa mohou mít bezpečnostní problémy. Takový je alespoň názor bezpečnostních výzkumníků, kterým se ve spolupráci s britskou redakcí časopisu Forbes podařilo provést platby nad 25 eur bez zadání PIN.
Karty by bylo možné hacknout zejména pomocí útoků typu "man in the middle", které by umožnily "vybrat" více peněz, než umožňuje bezpečnostní práh. Podle experimentů, které výzkumníci provedli "v laboratoři", neexistuje žádný limit pro částku, kterou lze z karty pomocí tohoto systému vybrat, a proto je riziko podvodu velmi vysoké. Ačkoli byl tento podvod simulován ve Spojeném království, je možný všude, protože by byl založen na zranitelnosti, která je vlastní způsobu provádění bezkontaktních transakcí. Společnost Visa se však v reakci pro Forbes domnívá, že uživatelům a jejich bezkontaktním kartám nehrozí žádné skutečné nebezpečí, a proto žádnou "nápravu" neprovádí.
Jak podvod s bezkontaktními kartami funguje
Pro odblokování bezkontaktních karet pro platby bez PIN nad 25 eur použili výzkumníci speciálně zkonstruovaný hardware, který zachytil a upravil komunikaci mezi kartou a čtečkou. Například lze kartu přesvědčit, že ověření, například zadání PIN, není nutné, i když požadovaná částka přesahuje 30 liber (tento podvod byl vyzkoušen ve Velké Británii, ale funguje všude na světě). Tímto způsobem čtečka karet autorizuje transakce v libovolné výši.
Krátkodobě je možné použít také chytrý telefon k poklepání na kartu a jejímu naklonování: chytrý telefon dokáže z karty zachytit takzvaný "platební kryptogram", který zaručuje pravost budoucích plateb. Kryptogram lze poté odeslat do druhého telefonu, který simuluje mobilní platbu prostřednictvím klonované karty. Hackeři pak mohou překročit maximální částku stejným výše popsaným útokem typu man-in-the-middle.
VISA: žádné reálné riziko
Mluvčí společnosti VISA potvrzuje existenci této zranitelnosti v obvodu, ale výrazně bagatelizuje riziko pro držitele bezkontaktních karet: "Klíčovým omezením tohoto typu útoku je, že vyžaduje fyzicky odcizenou kartu, která ještě nebyla nahlášena vydavateli karty. Kromě toho musí transakce projít validací a detekčními protokoly vydavatele. Tento přístup k podvodům, který obvykle používají zločinci v reálném světě, není škálovatelný."