Pozor na platby mobilem, varují banky. Jediná chybná SMS vás může připravit o statisíce
Když se před pár lety rozšířily bezkontaktní platby, objevily se i první poplašné zprávy. Stačí prý přiložit telefon k cizí kapse v tramvaji a máte hotovo – data karty jsou vaše. Realita je naštěstí složitější. EMV čip, který dnes najdete v každé platební kartě, generuje při každé transakci unikátní kryptogram – jednorázový kód, který nelze zkopírovat a použít znovu. Představa, že někdo pouhým pípnutím NFC získá vše potřebné k vybílení vašeho účtu, patří spíše do kategorie městských legend než reálných hrozeb.
To ale neznamená, že můžete klidně spát. Útočníci totiž dávno pochopili, že nejslabším článkem není technologie, ale člověk. A právě na něj – tedy na vás – se zaměřují s chirurgickou přesností.
Co NFC skutečně prozradí
Pojďme si ujasnit, co lze z bezkontaktní karty přečíst. Specializované aplikace dokážou přes NFC získat číslo karty, datum expirace a jméno držitele. Jsou to takzvaná statická data – informace, které se nemění. Jenže k provedení platby online potřebujete ještě CVC/CVV kód (ty tři číslice na zadní straně karty) a pro výběr z bankomatu PIN. A tady nastává zásadní problém pro útočníky: tyto údaje z karty přes NFC získat nelze.
Proto vznikají falešné aplikace, které se tváří jako užitečné nástroje – správci financí, bezpečnostní skenery, pomocníci pro správu karet. Jejich skutečným účelem je jediné: přimět vás, abyste PIN a CVC zadali sami. Pod záminkou ověření identity nebo aktivace nových funkcí vás aplikace požádá o údaje, které by po vás žádná legitimní služba nikdy nechtěla. A překvapivě často to funguje.
Anatomie podvodu
Jakmile falešná aplikace získá vaše data, okamžitě je odesílá na server útočníků. Komunikace bývá šifrovaná – ne proto, aby chránila vás, ale aby aktivity zločinců splynuly s běžným internetovým provozem a unikly detekci. Data mohou putovat přes zdánlivě nevinné kanály: sociální sítě, e-maily, někdy jsou dokonce ukryta v obrázcích.
K tomu se přidává spoofing telefonních čísel. Útočník vám zavolá a na displeji se zobrazí číslo vaší banky. Hlas na druhé straně zní profesionálně, mluví o podezřelé transakci, žádá ověření údajů. Telekomunikační operátoři sice investují do detekčních systémů, ale úplné zamezení spoofingu je technicky téměř nemožné. Je to nekonečná hra na kočku a myš.
Proč tokenizace útočníkům nefunguje
Nabízí se otázka: co kdyby útočník zkusil přidat vaši kartu do své digitální peněženky? Naštěstí je tento scénář vysoce nepravděpodobný. Proces tokenizace vyžaduje dodatečné ověření – jednorázový kód zaslaný na vaše telefonní číslo, potvrzení v mobilním bankovnictví, někdy i hovor s bankou. Bez přístupu k těmto kanálům útočník neuspěje. Samotný pokus o tokenizaci navíc může být pro banku varovným signálem.
Jak se škodlivá aplikace dostane do telefonu
Bezpečnostní prvky Androidu i iOS jsou robustní. Aplikace běží v izolovaném prostředí, oprávnění musíte explicitně schválit. Jenže útočníci spoléhají na lidskou nedbalost. Falešné aplikace se šíří především mimo oficiální obchody – stáhnete APK soubor z pochybného webu, povolíte instalaci z neznámých zdrojů a je hotovo. Někdy se škodlivý software dostane i do Google Play, maskovaný jako legitimní nástroj.
Požadovaná oprávnění vypadají nevinně: přístup k síti, úložišti, někdy ke kontaktům nebo SMS. Většina uživatelů nerozumí významu jednotlivých oprávnění nebo je prostě ignoruje ve snaze aplikaci rychle nainstalovat. Důvěra v doporučení přátel nebo falešné recenze udělá zbytek.
Jak se banky brání
Finanční instituce nejsou v tomto boji pasivní. Využívají behaviorální analýzu, která sleduje vaše obvyklé platební vzorce. Platba za letenku do Malajsie, když jste nikdy necestovali? Desítky malých transakcí v rychlém sledu? Systém vyvolá alarm. Geolokace pomáhá odhalit, když se karta objeví na druhém konci světa, zatímco vy jste doma.
U online plateb funguje silné ověření zákazníka – 3D Secure vyžaduje potvrzení v bankovní aplikaci nebo SMS kód. A díky dynamickým kryptogramům z EMV čipu dokážou banky rozlišit legitimní transakci od pokusu o zneužití. Replay attack – pokus zopakovat transakci s dříve zachycenými daty – jednoduše neprojde.
Co si z toho odnést
Technologie bezkontaktních plateb je bezpečnější, než by se z poplašných zpráv mohlo zdát. Skutečné nebezpečí představuje kombinace sociálního inženýrství a lidské důvěřivosti. Pravidlo je prosté: žádná banka, operátor ani důvěryhodná instituce po vás nikdy nebude chtít zadání PIN kódu nebo CVC do aplikace, e-mailu či přes telefon.
Instalujte aplikace pouze z oficiálních obchodů. Kontrolujte požadovaná oprávnění. A když vám někdo volá z banky a žádá citlivé údaje, zavěste a zavolejte na oficiální linku sami. Vaše bdělost je v digitálním světě tou nejlepší ochranou – a na rozdíl od technologických řešení ji žádný útočník nedokáže obejít.
