A mágnescsíkos bankkártyák nagyjából 20 évvel ezelőtt jöttek divatba, de amellett, hogy az aláírások szükségessége megnehezítette a tranzakciókat, nem rendelkeztek megfelelő adattitkosítással. Biztonsági szempontból egyértelmű előrelépést jelentettek utódaik, a chipalapú kártyák, melyek az adattitkosítás révén fokozott biztonságot nyújtanak. Igaz ezek a kártyák továbbra is alkalmasak klónozásra vagy adatlopásra, bár nagyobb kihívás, mint a mágnescsíkos kártyák esetében. Közben pedig az érintésmentes fizetések egyre gyakoribbá váltak.

De vajon biztonságosabbak, mint a hagyományos fizetési módok? A 2010-es évek második felében új fizetési szabványként jelent meg a rádiófrekvenciás azonosításból (RFID) kifejlesztett közelmezős kommunikáció (NFC). Ezzel a technológiával az eredeti chipalapú kártyák még felhasználóbarátabbá váltak, mivel ahelyett, hogy a fizetési terminálokba és ATM-ekbe kellene behelyezni őket, a pénz küldéséhez elég egy NFC-kompatibilis fizetési eszközhöz tartani a kártyát.

Az érintésmentes kártyák mellett ma már a telefonok is képesek ezt a funkciót ellátni olyan szolgáltatásokon keresztül, mint az Apple Pay vagy a Google Pay, amelyek a kártyaadatok feltöltése után lehetővé teszik, hogy a telefonnal fizessünk.

A folyamat, amelyen keresztül az NFC-fizetés történik, nagyon hasonlóan működik a Bluetooth vagy más vezeték nélküli kommunikációs rendszerekhez, mivel rádióhullámokat használ a továbbított információk aktiválásához és hitelesítéséhez. Fizetés esetén a terminál információt kap a telefontól, amelyet aztán feldolgoz és továbbít az elfogadó bank felé, egyszerűsítve és megkönnyítve a tranzakciót.

Az ESET kiberbiztonsági szakértői szerint a vezeték nélküli kommunikáció más módjaival összehasonlítva sokkal nehezebb feltörni, mivel működtetéséhez kis távolságra van szükség. Ez viszont nem jelenti azt, hogy teljesen elkerülhetőek a kibertámadások.

Noha az NFC-technológia biztonságosabb, a támadók különösen a fizetési műveletek során kihasználhatnak bizonyos sebezhetőségeket, hogy megszerezzék, amit akarnak. Egy kutató például 2021-ben bemutatott egy támadást, amelyben egy Android-alkalmazást fejlesztett. Az appot használva a telefonjával egyszerűen "integetett" az NFC-kompatibilis ATM-eknek, így kártyaadatokhoz és érzékeny információkhoz jutott hozzá. Ez az említett gépek bizonyos szoftverhibái miatt volt lehetséges, és ez a fizetési terminálok más típusainál is előfordulhat.

Mivel az NFC-fizetések a kényelmi szempontokra épülnek, bizonyos összeghatár és tranzakciószám alatt használatuk során nincs szükség további hitelesítésre (például PIN-kódra), amit egy hagyományos chipalapú kártya megkövetelne. Tehát, ha valaki megszerzi a bankkártyánkat, könnyen lophat a kártyánkkal fizetve anélkül, hogy (egy meghatározott értékig, itthon ez vásárlásonként 15000 forint és 5 tranzakció) kódot kérne a rendszer.

Az NFC a telefonokon is használható, és a biztonság érdekében ehhez az Apple Pay és a Google Pay további biztonsági megoldásokat követel meg PIN-kód, ujjlenyomat, arcszkennelés vagy egyéb, a telefonon rendelkezésre álló funkció formájában.

Emellett mindkét fizetési szolgáltatás csak akkor működik, ha engedélyezve van az eszközön, így kisebb az esélye annak, hogy valaki spontán kezdeményezzen tőlünk fizetést. Ahogy a plasztikkártyák esetében úgy az Apple vagy a Google Pay használatával sem továbbítjuk a számlánk adatait, és ha elveszítjük a készülékünket, ezeket a szolgáltatásokat könnyen letilthatjuk távolról.
https://www.makeuseof.com/how-to-remotely-disable-apple-pay-after-losing-your-iphone-or-apple-watch/

Hogyan tehetjük biztonságosabbá az érintés nélküli fizetéseket?
- Állítsunk be alacsony fizetési limiteket: a bankon keresztül, akár online a pénzintézet applikációján keresztül is meg tehetjük ezt egy limitösszeggel, amennyiért maximum vásárolhatunk.
- Használjunk telefonos fizetést: bár ezeknek az alkalmazásoknak is lehetnek hibáik, az extra hitelesítési követelmények által mégis biztonságosabbak, mint az NFC-s kártyák.

- Használjunk egyszer használatos vagy virtuális kártyát: ne adjuk meg a saját, bankszámlánkhoz tartozó kártyaadatokat online fizetéskor, hanem használjunk egyszer használatos, vagy olyan virtuális kártyát, melyre csak a vásárlás pillanatában töltjük fel a szükséges összeget.

Természetesen egyetlen biztonsági megoldás sem adhat 100 százalékos garanciát, de már ezekkel az egyszerű lépésekkel is sokat tehetünk azért, hogy csökkentsük az incidensek valószínűségét. És hogy milyen módszerekkel dolgoznak a csalók, hogy megszerezzék a bankkártya adatokat, erről a Hackfelmetszők - Veled is megtörténhet! legutóbbi adásában volt szó részletesebben.