Jedním z nejznámějších a nejvyužívanějších mobilních platebních systému je Apple Pay. Služba, kterou poskytuje společnost s emblémem nakousnutého jablka, je v „plné síle“ zavedena ve Spojených státech, Velké Británii, Kanadě a Austrálii. Další plánovanou zastávkou je Čína a v dohledných měsících pravděpodobně i Francie. Její uživatelé by však měli být na pozoru, službu lze totiž velice snadno zneužít ke krádeži. Jak? Stačí k tomu jen pár minut surfování na internetu.
Na „mouchy“ služby Apple Pay se jako poslední zaměřila americká bezpečnostní firma Pindrop. Hlavním problémem je komunikace platebního systému s klientskou bankou. Ukázalo se, že v této oblasti je v některých případech zabezpečení naprosto minimální, tudíž je snadné použít ukradené informace a totálně vysát účet poškozeného.
Dle informací magazínu Forbes existuje ve Spojených státech možnost zakoupení informačních údajů ukradených platebních karet, a to už od pouhých 2 dolarů. Děje se tak na speciálních stránkách (tzv. „carding sites“), které v podstatě fungují jako velký trh s odcizenými informacemi. Tento způsob dokonce vytlačil tzv. „klonování“, které se díky existenci čipových karet v rámci celosvětového standardu EMV (zkratka „Europay, Mastercard, Visa) stalo mnohem složitější než pouhé okopírování magnetického proužku.
Fintech Daily: Apple expanduje v Číně, blockchain v politice – Roklen24.cz https://t.co/HAoIccbW6t prostřednictvím @roklen24 #Apple #FinTech
— Roklen24.cz (@roklen24) 18. února 2016
Celý proces probíhá následovně. Jakmile podvodník získá potřebné informace o ukradené kartě, nahraje je do systému Apple Pay. Ve chvíli, kdy v aplikaci proběhne registrace, její provozovatel kontaktuje příslušnou banku, aby ověřila, zda tento krok opravdu provedl majitel karty. Společně s tím jsou odeslány veškerá vložená data a k tomu i některé další informace ohledně telefonu, ze kterého bylo přihlášení učiněno.
V tu chvíli jsou kostky vrženy a začíná čekání. Proces ověření je totiž u každé banky jiný. V některých případech postačí zadání verifikačního kódu, jenž byl odeslán na konkrétní mobilní číslo či email, případně je proveden ověřovací telefonát, který má poskytnout další informace o klientovi. A právě to je kámen úrazu.
David Dewey, jeden ze zaměstnanců společnosti Pindrop, požádal své kolegy, aby mu poskytli data o svých platebních kartách, která pak následně nahrál na svůj Apple Pay účet. Jakožto pomyslný podvodník tak otestoval celkem čtyři americké banky. Výsledek? První z nich po něm požadovala číslo karty, její ověřovací kód a datum expirace, tedy informace snadno dostupné na většině „kriminálních“ webů. V dalším případě banka ověřovala registraci pouze tehdy, když jméno držitele karty nesouhlasilo se zakladatelem účtu Apple Pay. Jakmile však bylo jméno změněno, žádná další kontrola se již nekonala. U poslední banky nakonec přišel kontrolní telefonát spojený s ověřovacími otázkami, avšak jejich úroveň byla taková, že odpovědi šlo pomocí Googlu dohledat během okamžiku.
V návaznosti na tento výsledek magazín Forbes obvolal známé americké banky, aby objasnily úroveň zabezpečení propojení platební karty s účtem Apple Pay. Jednou z dotázaných byla Wells Fargo, u které se s dodatečnými ověřovacími otázkami můžete setkat, ale není jasně specifikované za jakých podmínek. U American Express je v rámci ověření v některých případech požadován verifikační kód, ale opět není jasné, kdy se tak stane, a jestli vůbec. Stejná odpověď nakonec přišla i z Bank of America.
Takto chatrné zabezpečení je především dílo samotných bank. Na druhou stranu, Dewey upozornil, že ani Apple není bez viny. Obdobný platební systém jako Apple Pay poskytuje i společnost Samsunsg, tzv, Samsung Pay, a Google se svým Android Pay. Oba zmiňované systémy byly podrobeny stejnému testu a výsledky byly prokazatelně lepší.
Apple Pay tak ve spolupráci s bankami výrazně pohořel. Situaci navíc ještě umožnil fakt, že v rámci používaní aplikace neexistují žádné limity, přes které by platby nemohly být dále provedeny. V době, kdy byl zveřejněn výsledek šetření společnosti Pindrop, Apple nereagoval žádným oficiálním komentářem. Pravdou ale je, že mezera takového kalibru by, už jen vzhledem k celosvětovému množství uživatelů, měla být řešena co nejdříve.
Pojem „fintech“ je v podstatě zkrácení a spojení slov „finance“ a „technologie“. Jedná se o fúzi správy financí s technologickým sektorem, který zahrnuje internet, mobilní a sociální technologie, cloud computing a mnoho dalších. Tedy de facto všechno, co inovuje současný finanční systém.
Do archivu článků FinTech Daily se podívejte ZDE
Disclaimer: Tento článek má pouze informativní charakter a nemá sloužit jakož návod k jakémukoliv nezákonnému jednání.
