FinTech Daily o tom, jak lze snadno krást pomocí Apple Pay


14:22 • 2. března 2016

Tagy: FinTech, FinTech Daily, Apple, Apple Pay, Mobilní platby

Jedním z nejznámějších a nejvyužívanějších mobilních platebních systému je Apple Pay. Služba, kterou poskytuje společnost s emblémem nakousnutého jablka, je v „plné síle“ zavedena ve Spojených státech, Velké Británii, Kanadě a Austrálii. Další plánovanou zastávkou je Čína a v dohledných měsících pravděpodobně i Francie. Její uživatelé by však měli být na pozoru, službu lze totiž velice snadno zneužít ke krádeži. Jak? Stačí k tomu jen pár minut surfování na internetu.

Na „mouchy“ služby Apple Pay se jako poslední zaměřila americká bezpečnostní firma Pindrop. Hlavním problémem je komunikace platebního systému s klientskou bankou. Ukázalo se, že v této oblasti je v některých případech zabezpečení naprosto minimální, tudíž je snadné použít ukradené informace a totálně vysát účet poškozeného.

Dle informací magazínu Forbes existuje ve Spojených státech možnost zakoupení informačních údajů ukradených platebních karet, a to už od pouhých 2 dolarů. Děje se tak na speciálních stránkách (tzv. „carding sites“), které v podstatě fungují jako velký trh s odcizenými informacemi. Tento způsob dokonce vytlačil tzv. „klonování“, které se díky existenci čipových karet v rámci celosvětového standardu EMV (zkratka „Europay, Mastercard, Visa) stalo mnohem složitější než pouhé okopírování magnetického proužku.

Celý proces probíhá následovně. Jakmile podvodník získá potřebné informace o ukradené kartě, nahraje je do systému Apple Pay. Ve chvíli, kdy v aplikaci proběhne registrace, její provozovatel kontaktuje příslušnou banku, aby ověřila, zda tento krok opravdu provedl majitel karty. Společně s tím jsou odeslány veškerá vložená data a k tomu i některé další informace ohledně telefonu, ze kterého bylo přihlášení učiněno.

V tu chvíli jsou kostky vrženy a začíná čekání. Proces ověření je totiž u každé banky jiný. V některých případech postačí zadání verifikačního kódu, jenž byl odeslán na konkrétní mobilní číslo či email, případně je proveden ověřovací telefonát, který má poskytnout další informace o klientovi. A právě to je kámen úrazu.

David Dewey, jeden ze zaměstnanců společnosti Pindrop, požádal své kolegy, aby mu poskytli data o svých platebních kartách, která pak následně nahrál na svůj Apple Pay účet. Jakožto pomyslný podvodník tak otestoval celkem čtyři americké banky. Výsledek? První z nich po něm požadovala číslo karty, její ověřovací kód a datum expirace, tedy informace snadno dostupné na většině „kriminálních“ webů. V dalším případě banka ověřovala registraci pouze tehdy, když jméno držitele karty nesouhlasilo se zakladatelem účtu Apple Pay. Jakmile však bylo jméno změněno, žádná další kontrola se již nekonala. U poslední banky nakonec přišel kontrolní telefonát spojený s ověřovacími otázkami, avšak jejich úroveň byla taková, že odpovědi šlo pomocí Googlu dohledat během okamžiku.

V návaznosti na tento výsledek magazín Forbes obvolal známé americké banky, aby objasnily úroveň zabezpečení propojení platební karty s účtem Apple Pay. Jednou z dotázaných byla  Wells Fargo, u které se s dodatečnými ověřovacími otázkami můžete setkat, ale není jasně specifikované za jakých podmínek. U American Express je v rámci ověření v některých případech požadován verifikační kód, ale opět není jasné, kdy se tak stane, a jestli vůbec. Stejná odpověď nakonec přišla i z Bank of America.

Takto chatrné zabezpečení je především dílo samotných bank. Na druhou stranu, Dewey upozornil, že ani Apple není bez viny. Obdobný platební systém jako Apple Pay poskytuje i společnost Samsunsg, tzv, Samsung Pay, a Google se svým Android Pay. Oba zmiňované systémy byly podrobeny stejnému testu a výsledky byly prokazatelně lepší.

Apple Pay tak ve spolupráci s bankami výrazně pohořel. Situaci navíc ještě umožnil fakt, že v rámci používaní aplikace neexistují žádné limity, přes které by platby nemohly být dále provedeny. V době, kdy byl zveřejněn výsledek šetření společnosti Pindrop, Apple nereagoval žádným oficiálním komentářem. Pravdou ale je, že mezera takového kalibru by, už jen vzhledem k celosvětovému množství uživatelů, měla být řešena co nejdříve.

Pojem „fintech“ je v podstatě zkrácení a spojení slov „finance“ a „technologie“. Jedná se o fúzi správy financí s technologickým sektorem, který zahrnuje internet, mobilní a sociální technologie, cloud computing a mnoho dalších. Tedy de facto všechno, co inovuje současný finanční systém.

Do archivu článků FinTech Daily se podívejte ZDE

Disclaimer: Tento článek má pouze informativní charakter a nemá sloužit jakož návod k jakémukoliv nezákonnému jednání.

Napsat autorovi RSS

Absolvent Vysoké školy ekonomické, Národohospodářské fakulty. Dříve studoval na Gymnáziu Voděradská. Když se rozhodoval o zaměstnání, Roklen pro něho byla jasná volba. Mezi jeho záliby patří ekonomie, finanční trhy, rybaření a vaření.



Přejít na diskusi

Přihlašte se, nebo zaregistrujte


Přihlásit se


Zapomněli jste heslo?




Pokud nemáte ještě účet, můžete si ho vytvořit zdarma.

Přihlašte se, nebo zaregistrujte

Tato sekce je dostupná zdarma pouze přihlášeným uživatelům.



Přihlásit se

Zapomněli jste heslo?




Pokud nemáte ještě účet, můžete si ho vytvořit zdarma.