Smartfon z Androidem i sekunda. Tyle wystarczy, by sczytać dane z cudzej karty

mm Michał Derej Artykuły 2018-04-09

Karty płatnicze są obecnie jednym z najpopularniejszych sposobów płatności i nic nie wskazuje na to, by sytuacja ta miała się wkrótce zmienić – te plastikowe urządzenia praktycznie zawsze nosimy przy sobie, a zakup danego produktu dzięki nim to kwestia przyłożenia karty do terminala. Pomimo wszystkich rygorystycznych zasad bezpieczeństwa warto jednak wiedzieć, jak szybko możemy uzyskać dostęp do cudzych danych za pomocą zwyczajnego smartfona z Androidem oraz prostej i bezpłatnej aplikacji. W tym artykule przedstawię Wam, jak można to zrobić, a następnie opiszę, czy jest to realny problem.

Wystarczy jedna prosta aplikacja i kilka sekund

Karty płatnicze działają na zasadzie technologii NFC (jest to skrót od Near-Field-Communication), która pozwala na szybkie przekazywanie informacji na niewielkich odległościach (są one rzędu kilku centymetrów). Okazuje się, że skoro karty informacje przesyłają poprzez NFC, to smartfon wyposażony w tę technologię jest w stanie je poprawnie odebrać. Do tego celu wystarczy prosta i bezpłatna aplikacja, którą pobrać możemy bezpośrednio ze sklepu Google Play – „Czytnik kart bankowych NFC”.

Zobacz także: Jeśli korzystasz z komunikatorów internetowych, to uważaj na tego wirusa.

Co jednak z bezpieczeństwem naszych danych podczas korzystania z tego programu? Na całe szczęście są one bezpieczne – aplikacja nie posiada dostępu do Internetu, a kod źródłowy narzędzia jest otwarty, więc możemy go samodzielnie przejrzeć na portalu GitHub. Program w teorii służyć ma do kontrolowania własnych kart płatniczych, lecz w praktyce przestępcy mogą wykorzystać go do niecnych celów. Po uruchomieniu czytnika urządzenie poprosi nas o przyłożenie smartfona do karty – oczywiście rozwiązanie możemy przetestować na własnej karcie (jednak jaki jest tego cel?), lecz równie dobrze dane sczytać można z cudzej karty płatniczej (co oczywiście jest przestępstwem). Program przetestowałem na własnej skórze i pomyślnie udało mi się pobrać informacje na temat karty znajomego (który oczywiście wyraził zgodę na udział w eksperymencie), która znajdowała się w jego portfelu. Wystarczy zatem, że portfel przechodnia znajdować będzie się np. w tylnej kieszeni, by sczytanie informacji dla przestępcy stało się możliwe.

Jakie informacje możemy odczytać w programie „Czytnik kart bankowych NFC”? Jest ich bardzo wiele – przede wszystkim możemy poznać numer karty, jej datę ważności, a także historię transakcji wraz z dokładnymi kwotami oraz nawet ilość błędnych prób wpisania kodu PIN. Warto pamiętać, że dane te pozwolą nam już zapłacić w wielu internetowych sklepach, np. na Amazonie.

Czy jest to realny problem?

O ile co jakiś czas usłyszeć można o oszustwach polegających na sczytaniu informacji z karty, to znacznie poważniejszym problemem jest jej sklonowanie, na które jednak androidowe aplikacje nie pozwalają. Jakie jest zatem wyjście z sytuacji? Przede wszystkim wystarczy nie panikować i przechowywać kartę w bezpiecznym miejscu, żeby zminimalizować ryzyko jakiegokolwiek typu kradzieży. Co więcej, warto co jakiś czas monitorować transakcje na swoim koncie – w razie nadużycia jesteśmy chronieni przez firmę odpowiedzialną za usługę.



  • Marek Kisiel

    Czy naprawdę sam numer karty wystarczy aby zapłacić na Amazonie?Jesli tak to nieco dziwne to jest bo dobrej pory nie spotkałem się z taką praktyką, a na Amazonie nic nie kupowałem

    • as007

      Tak, wystarczy sam numer karty plus data ważności karty.

  • Kamil Klecha

    Nie siejcie paniki… takimi danymi w internecie nie zapłacicie. Aplikacja nie sczytuje na szczęście kodu CVV.

  • Martina Neumayer

    Najlepsze w tym wszystkim jest to, że nfc wcale już takie „near” nie jest. Przy odrobinie wiedzy i w sumie niewielkim wysiłku można jego zasięg znacznie poszerzyć. Ba! Nawet da się go ukierunkować. Vide systemy „reklamowe” stosowane do niedawna przez Lidl’a, Edekę, czy Aldi w de oraz w nl.

  • Janusz Grudzień

    A jaką mamy pewność, że ta aplikacja „Czytnik kart bankowych NFC” nie przesyła danych zeskanowany kart. Może to jest sprytny nie winny sposób na wyłudzenie danych z kart.

  • Krzysiek Pietrzak

    Kod CVV ktory jest na odwrocie karty, jest potrzebny do platnosci np. na amazonie, sam numer karty i data waznosci nie da nam możliwości skorzystania z cudzych pieniedzy.

    • as007

      Na Amazonie nie jest potrzebny kod CVV.

  • aPoCoMiLogin

    O ile co jakiś czas usłyszeć można o oszustwach polegających na sczytaniu informacji z karty, to znacznie poważniejszym problemem jest jej sklonowanie, na które jednak androidowe aplikacje nie pozwalają.

    Nie da się sklonować zbliżeniowych kart. Żeby dokonać płatności bez kogoś wiedzy, trzeba mieć zarejestrowany terminal; rejestracja takiego terminala jest skrupulatna na słupa tego nie zrobisz. Nawet jak ci się uda, pieniądze od razu nie trafiają na twoje konto, tylko przez kilka dni są zablokowane; jeżeli w tym czasie ktoś zgłosi chargeback, wszystkie kwoty z tego okresu są poddawane weryfikacji indywidualnej, jak coś jest nie tak, cała kasa przepada a właściciel terminala może liczyć się z konsekwencjami.

    Przestańcie powielać mity i nieprawdę. Jedyne co taka aplikacja na smartfownie może zrobić, to odczytać ostatnich kilka transakcji, o ile karta w ogóle udostępnia taką możliwość. Tutaj dodatkowe informacje: https://zaufanatrzeciastrona.pl/post/bzdury-mity-i-klamstwa-na-temat-platnosci-zblizeniowych/ tutaj również: https://niebezpiecznik.pl/post/czy-mozna-kogos-zblizeniowo-okrasc-w-autobusie-i-tramwaju/

    • aPoCoMiLogin

      Dodatkowo jakby tego było mało, masz możliwość w każdym jednym banku wypełnić formularz chargeback, który banki zazwyczaj przyjmują, bo są zmuszani do tego przez wydawców kart (visa, mastercard etc). Jak nie przyjmą tego, można iść wyżej i wtedy bank zwróci kasę + dodatkowo zapłaci wydawcy karty za to że nie przyjął.

      Miałem kiedyś taki problem że podpiąłem kartę w serwisie z którego chciałem korzystać, wszystko pięknie i ładnie ale okazało się że była blokada regionalna i interesujące rzeczy nie były dostępne dla polski. Zrezygnowałem z okresu testowego, po 2 tygodniach i tak dostałem informacje że pobrali kasę. Zgłaszałem się do nich przez 2 dni, mieli jakieś problemy które mnie nie interesowały, zgłosiłem sprawę do banku i odzyskałem te ~20zł w przeciągu kilku godzin.

  • Kamil

    Zczytanie numeru karty i daty ważności w sumie wystarczy, potrzeba jeszcze trzech cyfr z tylu dla potwierdzenia. Dla chcącego nic trudnego.
    Dlatego warto włączyć weryfikację dwuetapową, mój bank np to udostępnia, każda transakcję karta przez internet muszę potwierdzić w apce banku, podajac pin apki lub przykladajac palec do czytnika odcisków w telefonie.
    Pisanie artykułu i w zasadzie podawanie recepty na kradzież jest troche nie mile, część Januszy biznesu już weszy pomysł na biznes.

    • AdamP

      Niestety nie wszystkie sklepy obsługują 3-d secure, więc nie jest to 100% zabezpieczenie.

      • Kamil

        Ale zawsze odrobinę bezpieczniej niż bez tego. Znam kilka osób które nie zdawały sobie sprawy, że samo fizyczne pokazanie komuś karty może skutkować kradzieżą, więc myślę że warto pisać o takich rzeczach.

        • AdamP

          W mojej ocenie najlepszym zabezpieczeniem jest wyzerowanie lub ustawienie bardzo niskich limitów autoryzacyjnych dla transakcji internetowych. I zwiększanie ich tylko na czas robienia zakupów. Np. w mBanku zajmuje to kilka sekund. Niestety nie każdy bank na to pozwala.

          • Kamil

            W PKO BP też można to zrobić, niestety, trzeba zalogować się przez stronę banku i dopiero po przeklikaniu jest do tego dostęp, chwilę to zajmuje, ale masz oczywiście rację, że jest to w zasadzie jedyna sensowna opcja zabezpieczenia.

  • Franciszek Kółkątny

    Ta aplikacja to jeszcze pikuś. Jest w gplay appka, którą możemy sczytać kartę i używać telefonu jako jej.

    • Daniel Poweska

      Daj namiary

    • AdamP

      Tak jest. U mnie od razu była zainstalowana. Nazywa się Google Pay.

  • AdamP

    Szukacie taniej sensacji ;-). Sprytna kasjerka w sklepie może więcej z karty odczytać (łącznie z imieniem i nazwiskiem oraz kodem CVV2), niż ta aplikacja.

  • Artur Figiel

    Autor gra eksperta i straszy, a tymczasem jest oderwany od rzeczywistości Nikt tak sczytana kartą nie zapłaci w amazonie, czy gdziekolwiek, bo brak mu numeru ccv, który jest wymagany do internetowych transakcji.

    • Daniel Poweska

      Sam jesteś oderwany od rzeczywistości, i chyba nigdy nie płaciłeś na amazonie, bo tam nie trzeba tego kodu. Zamiast od razu taki hejt siać lepiej sam sprawdź, a nie głupoty wypisujesz 🙂

      • Marx

        Wielokrotnie placilem w roznych miejscach karta i zawsze musialem wpisac kod. W Amazon, z tego co czytam, bywa roznie. Przy dodawaniu karty do konta chce CVV2. Ale sa tez glosy ze od pewnego czasu nie jest juz wymagany. Troche kiepsko.

  • Kris

    Portfel z ochroną RFID i problem z głowy:)

  • RPP

    Wystarczy trzymać karty w specjalnym etui. Bardzo skuteczne. Sprawdzone na własnej skórze.

    • CezaR

      Owszem mam takie Etui juz od ok 8lat ale to tylko skuteczne w konkretnych sytuacjach jak te opisane wyżej….
      Kartę jednak musisz wyjąc pokazać, możesz ja zgubić itp itd ( dane karty, kod CVV wtedy juz w żaden sposób nie obronisz, dopóki nie zgłosisz do blokady)
      Dlatego o wiele bezpieczniejsza formą jest parowanie z aplikacja banku…

    • R?️©©?️

      Ja wypróbowałem noszenie dwuch kart zbliżeniowych, jedna przy drugiej. Czytnik paypass odczytuje to jako błąd w komunikacji i nie realizuje tranzakcji. Będę musiał sprawdzić jak to odczyta w.w. apka.
      P.S. druga karty ła jest przeterminowana.

  • Paweł Piotrowski

    Najlepiej mieć kartę bez technologii zbliżeniowej. Chyba każdy bank oferuje już wirtualne karty i płatności zbliżeniowe telefonem. Jeśli nie to w Android Pay (dawniej Google Pay) można dodać fizyczną kartę i również płacić telefonem (co najlepsze, przy płatności użyty zostanie numer wirtualny a nie realny numer naszej karty).

    • Linkyop

      Teraz jest Google Pay, dawniej Android Pay.

      • Paweł Piotrowski

        Racja, czeski błąd. Dzięki, poprawiłem.

  • jendrush

    Zdaje się, że chyba bezpieczniej mieć kartę w telefonie i za jego pomocą płacić, tam NFC aktywuje się dopiero po odblokowaniu ekranu.

    • Karol Makowski

      To tak jak z FB i czytaniem smsów i połączeń telefonicznych, każda apka będzie miała dostęp do karty w telefonie
      Najlepiej kupić portfel uniemożliwiający odczytanie karty

      • CezaR

        Nie bardzo rozumiem… jak każda appka?
        Przecież paruje sie kartę z jedna konkretną aplikacją danego banku….

        • Karol Makowski

          Ale w tym świecie każda aplikacja może mieć skrypt czytający dane z naszych urządzeń

      • macwojs

        Jak nie jesteś kretynem i nie dasz innym aplikacją dostępu do karty to nic nie są wstanie zrobić.

        • variete

          innym aplikacją

          Liczba mnoga – „aplikacjom”!

          nie są wstanie

          Nie są w stanie!

        • gumis

          Jeśli nie jesteś kretynem, to posługujesz się słownikiem ortograficznym!

      • Grzegorz Trybus

        Lub nosić dwie karty razem jedna na drugiej, lub wsadzić do portfela ekran w kształcie karty blokujący komunikacje.

    • teges

      Nie odblokowaniu, a podświetleniu. To głupie, ale tak jest.

      • To zależy od telefonu. Moja Xperia musi być odblokowana. Bez tego NFC nie zadziała

        • CezaR

          Nom, niektórzy nie musza odblokowywać inni wręcz przeciwnie. No ale generalnie jakaś akcja musi byc podjęta przez użytkownika by NFC zadziałało i to jest Ok.

        • teges

          Samsung Galaxy A5, LG G2, Mi6 i Mi5 nie musiały. Sporo osób też o tym mówiło czasami, że ich telefony wystarczy podświetlić.

        • jaad75

          Dokładnie. Mój P9 tak samo.

          • Łukasz

            I mój HTC one m8 też tak ma.

      • Adramel

        Według google pay odblokowanie jest konieczne. Nie wystarczy samo podświetlenie.

        • variete

          Przeprowadziłem już chyba setki płatności Android/Google Pay, i ani razu nie odblokowywałem telefonu – zawsze wystarcza samo wybudzenie ekranu.

          • AdamP

            Potwierdzam. Mój telefon również nie wymaga odblokowania, wystarczy samo podświetlenie.

          • Marx

            ale chyba jest jakis limit ilosciowy, tzn (strzelam) ze po okolo 10 platnosciach ponizej 50zl trzeba odblokowac telefon, jesli w miedzyczasie go nie odblokowywales (co jest raczej malo prawdopodobne bo telefon odblokowywuje sie dosc czesto)

        • teges

          Na wielu telefonach testowałem i wiem z doświadczenia, a nie tego co sobie napisali.

          • jaad75

            Ja muszę zawsze odblokować telefon. Nawet przy kwotach poniżej 50 zł.

          • teges

            Kwota chyba nie ma tu znaczenia. Chyba kwestia modelu telefonu z tego co czytam.

          • Adramel

            Na moim OP3T działa to jak trzeba. Jeśli nie odblokuje, to z ekranu blokady nie zapłaci. Muszę odblokować (twarzą lub paluchem czy wzorem) bo inaczej terminal ignoruje mój telefon.
            To raczej błąd systemu że zezwala na płatność bez wstępnej „weryfikacji” użytkownika.
            Może macie włączonego SmartLocka który w jakiś okolicznościach odblokowuje telefon – np przy wykryciu kontaktu z ciałem. Wtedy po wyjęciu z kieszenie tel jest odblokowany i można nim płacić.

          • teges

            Na 100% tak nie jest. No nie wiem. Na 4 różnych tak mam, że wystarczy podświetlić.

          • Adramel

            Sprawdź czy jak wyciągniesz telefon to czy jest odblokowany czy nie. Jak odblokowany to płacenie działa. Jak zablokowany to nie powinno.

          • teges

            Przecież wiem co piszę. Wystarczy podświetlić ekran, telefon zablokowany.

        • as007

          Nexus 4 i ZTE Axon 7 – wystarczy samo wybudzenie urządzenia, czyli podświetlenie ekranu.

      • Linkyop
        • AdamP

          Ale on ma rację. Mój Huawei Mate 10 Pro nie wymaga odblokowania, wystarczy podświetlenie ekranu. Z kolei na Huaweiu P10 musiałem ekran odblokować. Nie wiem od czego to zależy. Może od wersji Androida? Aktualnie mam Oreo.

          • jaad75

            W P9 muszę odblokować.

        • teges

          Polecam skorzystać samemu, a nie czytać głupoty.

          • Linkyop

            Sprawdzane niejednokrotnie. Odmowa płatności na terminalu, na telefonie „Odblokuj telefon, aby kontynuować”.

          • teges

            U mnie przechodzi i nie tylko u mnie.

          • łukasz Jedryszczyk

            Może ty tam masz ją tylko podswietlam

      • 100mek / Katowice

        W S8 Google Pay wymaga podświetlenia ekranu, natomiast płacenie zbliżeniowe aplikacją ING nie wymaga nawet odblokowania.
        NFC działa ciągle.

      • Valkyx

        Wszystko jest zależne od tego jak skonfigurujesz aplikację płatniczą. Np w banki PKO BP oraz Millennium można ustawić że wymagane jest ODBLOKOWANIE a nie tylko podświetlenie telefonu.

        • łukasz Jedryszczyk

          Powyżej 50 zł też wystarczy tylko podświetlić ekran tylko trzeba podać pin w terminalu

          • Valkyx
          • AdamP

            W Google Pay nie ma takiego Ustawienia.

          • Valkyx

            Tak jak odpisałem Łukaszowi, słabo że google pay ma tak ograniczone możliwości ustawienia bezpieczeństwa.

          • łukasz Jedryszczyk

            Ja pisałem o Google pay

          • Valkyx

            Tak zgodnie z informacją z pomocy google pay, do 50 zł wystarczy wybudzenie, powyżej wybudzenie + pin na terminalu. W PKO BP do 50 zł mam ustawione wymaganie odblokowania telefonu, powyżej 50 zł wpisanie dodatkowego pinu na telefonie (tu inaczej niż inne rozwiązania HCE, tylko w tej aplikacji spotkałem się z takim rozwiązaniem) i ponownie przyłożyć do terminala i można zapłacić kwotą wyższą bez wpisywania pinu w terminalu.
            Biorąc pod uwagę powyższe, google powinno wprowadzić do swojego rozwiązania więcej opcji ustawienia zabezpieczeń / ograniczania transakcji.

    • m4rcel


x