Dušan Petričko Bezpečnostný expert v SLSP

Stratia platobné karty zmysel? Apple pay používajú desiatky tisíc Slovákov

Aké je poslanie projektu?

Bezpečnosť mobilu určuje jeho používateľ.

Kde sú tie časy, keď boli mobilné telefóny určené výhradne na telefonovanie? A kde je tá doba, kedy sa citlivé informácie nedali ukradnúť cez telefón? Napriek tomu smartfóny ponúkajú výrazne viac úžitku a nebezpečné sú len do tej miery, do akej im to dovolíte.

Ak vám niekto ukradne smartfón s aktívnym Apple Pay, bez PIN kódu, odtlačku prsta alebo skenovania tváre nemôže platbu vykonať.

Lukáš Štefanko, ESET

K zoznamu kontaktov do telefónov postupne pribudli e-maily, pripojenie na internet aj kvalitný fotoaparát, až sa stali vhodnými na komunikáciu, zábavu aj prácu. Napriek tomu im stále niečo chýbalo a boli len akýmsi doplnkom každodenného života. Zmenilo sa to až tým, ako do nich pribudli platobné nástroje.

Vďaka technológiám Apple Pay a Google Pay už so sebou nemusíme nosiť hotovosť ani platobnú kartu, zmysel dokonca prestala dávať aj samotná peňaženka.

Stačí mobilný telefón alebo hodinky, ktoré podporujú operačný systém iOS a môžete platiť. Možno to pôsobí ako zbytočná vychytávka, kým si neuvedomíte, že peňaženku si zabúdame omnoho častejšie ako mobil. Ako je to však s mobilnými platbami v prípade bezpečnosti? Netreba sa ich báť?

Prvé tri týždne od spustenia Apple Pay

„Kto si raz vyskúša zaplatiť mobilom, pochopí všetky výhody. Je to rýchle aj pohodlné, navyše bezpečnejšie ako platenie kartou,“ hovorí Zdeněk Románek, člen predstavenstva Slovenskej sporiteľne zodpovedný za retailové bankovníctvo.

Apple Pay využíva na komunikáciu s platobným terminálom technológiu NFC, čiže bezkontaktný prenos dát na krátke vzdialenosti. Platobné údaje si šifruje samostatne. Apple tak nezbiera údaje o žiadnych kartách, ich iPhony sú pri platení len obyčajným telefónom.

„Ku každej platbe vzniká špecifické číslo, ktoré sa dočasne uloží v zariadení. Vďaka tomu používateľ neplatí priamo cez fyzickú kartu, ale cez jej tokenizovanú verziu v zariadení. Všimnúť si to môžete na bločkoch, na ktorých je posledné štvorčíslie iné ako číslo samotnej karty,“ vysvetľuje bezpečnostný expert Slovenskej sporiteľne Dušan Petričko.

Apple Pay skombinovalo jednoduchosť a bezpečnosť platieb, pričom umožňuje mať v jednej aplikácii viacero kariet. A to nielen na Slovensku, ale aj v zahraničí.

„Ukazuje sa, že Slováci majú radi technologické novinky a využívajú ich v maximálnej miere. Preto sme sa rozhodli spustiť ich hneď, ako to bolo možné, podobne ako pri Google Pay,“ hovorí Románek.

Potvrdzujú to aj čísla Slovenskej sporiteľne. Za prvé tri týždne od spustenia si Apple Pay aktivovalo vyše 22-tisíc ľudí.

„Už po prvých dňoch používania vidíme na našich klientoch, že je to obrovská zmena v komforte denného bankovníctva. O službu je enormný záujem,“ dodáva Románek.

Platobnú kartu chráni lepšie ako majiteľ

Rozdiel medzi kartou a telefónom je v tom, že karta funguje aj odomknutá. Pri malých bezkontaktných platbách je teda použiteľná okamžite a kýmkoľvek. Pri Apple Pay to však nie je možné.

Apple chráni platby tým, že zariadenie musí byť zamknuté napríklad odtlačkom prsta, skenovaním tváre či PIN kódom. Bez týchto prvkov ochrany nie je možné používať Apple Pay ani nahrať kartu do systému.

„Ak vám niekto ukradne smartfón s aktívnym Apple Pay, bez PIN kódu, odtlačku prsta alebo skenovania tváre nemôže platbu vykonať. Môžeme to porovnať s krádežou bezkontaktnej platobnej karty, v prípade ktorej zlodej nepotrebuje pri platbách do 20 eur zadávať PIN,“ hovorí analytik škodlivého kódu spoločnosti ESET Lukáš Štefanko.

Nebezpečný internet?

Pri platbe fyzickou kartou nehrozí takmer žiadne riziko. To sa objavuje až v situácii, keď sa rozhodnete platiť ňou cez internet.

Pri strate mobilu je riziko krádeže peňazí nižšie ako v prípade odcudzenej karty.

Juraj Bednár, etický hacker

Preto bolo nevyhnutné vymyslieť novú formu ochrany. Ako prvý začal fungovať 3D Secure, v ktorom je treba okrem informácií z karty zadať aj dynamický kód.

„Tento vylepšený spôsob ochrany je postavený na princípe obchodníkov, zatiaľ čo Apple Pay funguje na báze platby. V systéme sa fyzická platobná karta zvirtualizuje a nahrá do mobilu. Vydavateľ karty potom pre danú kartu vytvorí špecifické číslo zariadenia a pri platbe používa ešte aj dynamický kód. Apple to síce nevie dešifrovať, no banka a obchodník s tým dokážu pracovať,“ vysvetľuje Petričko.

Vďaka tomu neexistujú žiadne dáta, ktoré by sa dali skopírovať a viackrát použiť.

Každá transakcia je jedinečná a vďaka dynamickým kódom sa neustále mení. Prípadné pripojenie na internet nie je teda žiadnym ohrozením.

Čo robiť pri strate mobilu

Dôvodom nenahrávať si platobnú kartu do mobilu a neplatiť ním môže byť jeho prípadná strata alebo krádež. Existuje však riešenie aj pre takýto prípad.

„Je dobré mať zapnutú funkciu Find My iPhone, do ktorej sa prihlásite a ukáže vám, kde sa váš telefón práve nachádza. Na diaľku ho môžete prepnúť do módu straty alebo krádeže, kedy sa zablokuje a vypne aj používanie Apple Pay. V prípade absolútnej straty viete zmazať celý obsah v ňom. Dá sa to urobiť cez počítač i telefón niekoho iného,“ radí Petričko.

Ak sa však z nejakého dôvodu k internetu nedostanete, stačí zablokovať kartu a zablokujú sa aj platby cez Apple Pay.

Z pohľadu bezpečnosti je tak prípadná strata telefónu omnoho menším problémom ako strata karty.

„Ak počítame s tým, že používateľ nemá v telefóne jednoduchý PIN kód a primárne používa biometrické prvky, pri strate mobilu je riziko krádeže peňazí nižšie ako v prípade odcudzenej karty. S ňou sa dá totiž častokrát platiť aj bez zadávania PIN kódu, stačí použiť číslo karty,“ prezrádza etický hacker zo spoločnosti Citadelo Juraj Bednár.

Aplikácie sú bezpečné, používatelia už menej

„Väčšinu podvodov realizuje rodinný príslušník. Zneužije kartu, grid kartu, telefón. Je dôležité zrevidovať si, kto má prístup k mobilu, kto sa k nemu môže dostať, kto pozná jeho PIN a či nie je príliš jednoduchý. Pridanie Apple Pay do zariadenia je vhodným momentom na rekapituláciu osôb, ktoré majú prístup k telefónu,“ hovorí Petričko.

Ukladanie hesiel nie je dobrý nápad, zvyšuje to riziká zneužitia.

Ivan Makatura, Asociácia kybernetickej bezpečnosti

Možných rizík zneužitia je však málo.

„Odporúčam vypínať si po bezkontaktnej platbe v smartfóne NFC. Odstránite tým prípadné riziká s nechcenými platbami, čo však súvisí skôr s Google Pay,“ radí Štefanko.

Istou ochranou je podľa neho aj antivírus v mobile. Keďže sa platenie mobilom či transakcie na dennej báze stávajú rutinou, škodlivá aplikácia môže v okamihu nepozornosti získať prihlasovacie údaje k bankovníctvu.

„V prípade, že aktívne využívate smartfóny s Androidom na finančné operácie, odporúčam používať antivírus v mobile. Dokáže zvýšiť bezpečnosť nielen používaných aplikácií, ale aj webových stránok, ktoré navštevujete, a príloh, ktoré otvárate v e-mailoch,“ vysvetľuje Štefanko.

Okrem toho je potrebné dodržiavať aj všeobecne platné štandardy bezpečnosti.

Vyhnúť sa návštevám pochybných webových stránok, minimalizovať použitie verejných wifi prístupových bodov, neklikať na každú adresu, ktorá vám príde od neznámeho odosielateľa a už vôbec sa nesnažiť otvárať prílohy v nevyžiadaných správach. Dôležité je tiež nepodceňovať tvorbu hesiel.

„Je potrebná určitá opatrnosť pri správe identít, čo znamená, že ukladanie hesiel nie je dobrý nápad. Rovnako tak prístup k heslám a používateľským údajom z iných autorizovaných zdrojov je síce pohodlná funkcia, zároveň však zvyšuje riziká zneužitia,“ uzatvára Ivan Makatura z Asociácie kybernetickej bezpečnosti.

Ak vám teda odcudzia smartfón s uloženými údajmi platobnej karty v Apple Pay, postupujte rovnako, ako keby vám ukradli samotnú kartu. Oznámte to vašej banke.

Pravidlá pre spoluprácu medzi inzerentmi a redakciou si môžete pozrieť na tomto odkaze.