24

HAKIN9

ATAK

12/2009

K

arty przedpłatowe są również znane
jako elektroniczne portmonetki (ang.
electronic purse). Zazwyczaj posiadają

kwotę minimalnego oraz maksymalnego
doładowania (zróżnicowane w różnych
bankach). Na Rysunku 1. dostępne są karty
pre-paid Visa, Maestro i MasterCard.

Technologie PayPass i payWave

PayPass i payWave są to nowe technologie
pozwalające na bardzo szybkie uiszczenie opłaty.
Karty wykonane w tych technologiach posiadają
układ elektroniczny wyposażony w antenę (RFID).
Aby uiścić opłatę wystarczy taką kartę zbliżyć
do czytnika. Jeżeli transakcja nie przekracza
50 zł nie jest wymagane składanie podpisu
lub podawanie kodu PIN. Technologia PayPass
jest wykorzystywana w kartach MasterCard i
Maestro, natomiast payWave jest technologią
wykorzystywaną w kartach Visa (Rysunek 2).

Transmisja pomiędzy kartą a czytnikiem

jest szyfrowana. Technologie te posiadają
mechanizmy zabezpieczające przed
kilkukrotnym obciążeniem karty w wyniku
nieprawidłowego zbliżenia karty.

Standard ISO/IEC 14443

Standard ISO/IEC 14443 definiuje karty
zbliżeniowe oraz protokoły komunikacji z tymi
kartami. Jest to standard wykorzystywany przez
PayPass oraz payWave. Składa się on z 4
części:

RADOSŁAW MATUSIAK

Z ARTYKUŁU

DOWIESZ SIĘ

czym są karty przedpłatowe

(pre-paid),

jakie zagrożenie płyną z ich

stosowania,

w jaki sposób przestępcy

wykorzystują karty

przedpłatowe.

CO POWINIENEŚ

WIEDZIEĆ

podstawowa wiedza dotycząca

systemu bankowego

• charakterystyka fizyczna.
• siła sygnału radiowego oraz interfejs

układu,

• inicjalizacja oraz mechanizm unikania kolizji,
• protokół transmisji.

Dokumentacja jest dostępna na stronach
organizacji ISO (Rysunek 3).

W Internecie można znaleźć opisy udanych

ataków na karty wykorzystujące technologię
payWave lub PayPass. Osoba atakująca
używająca czytnika wraz z anteną, jest w stanie
odczytać wszystkie informacje zapisane na
karcie (m.in. imię i nazwisko, numer rachunku,
datę ważności). W przypadku kart kredytowych
(nie opisanych w tym dokumencie) dane te są
wystarczające do przeprowadzenia transakcji.
Zasięg czytnika z anteną wciąż jest niewielki,
co oznacza, iż atakujący musi się znaleźć
w najbliższym sąsiedztwie kart. W dużych
aglomeracjach wystarczy np. schować czytnik
do plecaka lub torby i przemieszczać się
w godzinach szczytów w miejscach często
uczeszczanych (środki transportu miejskiego,
tunele, itp.). Jednym z rozwiązań problemu
odczytu kart przez osobę nieupoważnioną
jest posiadanie w najbliższym sąsiedztwie
więcej niż jednej karty posiadającej nadajnik
RFID, działającej na podobnej częstotliwości.
Czy w najbliższej przyszłości, aby chronić
nasze pieniądze będziemy nosili karty w
ekranowanych portfelach?

Stopień trudności

Płatnicze karty

pre-paid –

analiza zagrożeń

Karty płatnicze pre-paid stanowią alternatywę dla typowych kart

płatniczych. Nie są one przypisane do żadnego konta bankowego,

a zatem posiadacz karty nie ponosi żadnych kosztów związanych

z prowadzeniem rachunku. Karty pre-paid są kartami na

okaziciela, co oznacza że można ją przekazać dowolnej osobie.

25

HAKIN9

ATAKI SOCJOTECHNICZNE

12/2009

Dlaczego konta anonimowe

są dobre?

Bo są anonimowe! Każda osoba
może zakupić w banku kartę pre-paid
i korzystać z anonimowego konta
bankowego. Może go używać do
przeprowadzania transakcji w Internecie,
jak i posługiwać się numerem rachunku,
jakby nie był kontem anonimowym.
Właśnie tutaj można się spodziewać
największej ilości nadużyć.

Przestępcy mogą wykorzystywać karty

pre-paid do bezpiecznego wyłudzania
pieniędzy. Bezpieczeństwo jest tutaj
rozumiane jako pełna anonimowość.
Przestępca nie musi się obawiać, że ofiara
po zorientowaniu się pójdzie na policję i
zgłosi przestępstwo. Ostatecznie może
podać tylko numer konta bankowego
– anonimowego. Po każdej udanej próbie,
przestępca może zakupić nową kartę
(najniższy koszt waha się w granicach 50
zł) zmieniając w ten sposób tożsamość.

Kto jest kim?

I tutaj pojawią się kolejna zaletą kart pre-
paidowych. Karty te mogą być zasilane
poprzez wpłacenie kwoty na numer
rachunku na poczcie, w banku lub przez
Internet. Jak wiadomo, aby dokonać
przelewu musimy podać swoje dane, dane
osoby, która jest właścicielem konta oraz
numer konta. Skoro karty pre-paidowe
stanowią interfejs konta anonimowego,
podane na przelewie dane nie mają
żadnego znaczenie dla przebiegu operacji.
Przestępca może dzięki temu umieścić w
Internecie dowolne dane.

Problem anonimowości kart pre-

paidowych jest analizowany w Stanach
Zjednoczonych, gdzie uważa się, że karty
te mogą stanowić doskonałe źródło
bezpiecznego finansowania siatek
terrorystycznych (niewykrywalność) oraz

prania brudnych pieniędzy (m.in. dla tego
wprowadzono limity zgromadzonych
środków).

Karty pre-paid i reputation

hijacking

Atak typu reputation hijacking polega na
wykorzystaniu dobrej reputacji podmiotu
(osoby fizycznej lub firmy) w celu
zwiększenia zaufania do podawanych
informacji. Termin ten początkowo
był stosowany przy opisie metod
wykorzystywanych przez spamerów.

Wyobraźmy sobie sytuację, gdzie

przestępca umieszcza w Internecie
fałszywą aukcję internetową, na której
proponuje odtwarzacze mp3. Są to
odtwarzacze znanej i cenionej firmy.
Ceny podawane na fałszywej aukcji są
konkurencyjne, choć nie wzbudzające
podejrzeń. Przestępca podaje nazwę
firmy jako nazwę odbiorcy, lecz zmienia
numer konta na anonimowe. Dzięki
temu aukcja zyskuje na autentyczności,
wzbudza mniej podejrzeń. Nieświadomi i
niedoinformowania użytkownicy wpłacają
pieniądze na konto przestępcy, nie
otrzymując oczywiście zamówionego
sprzętu.

Opieszałość polskiej policji w walce z

e-przestępstwami oraz niska szkodliwość
czynu (kwota naciągnięcia może

kwalifikować czyn do wykroczenia, a nie
przestępstwa) gwarantują powodzenie
oszustwa. W najgorszym przypadku, gdy
odpowiednio wcześnie czyn zostanie
zgłoszony do banku, będzie możliwe
zablokowanie konta/karty przestępcy.
Niemożliwym jednak będzie skorelowanie
tego przypadku z innymi. Jeżeli
przestępca będzie dysponował wiedzą
dotyczacą sposobów ukrywania śladów
w Internecie (np. sieć TOR) namierzenie
go i skazanie będą prawie niemożliwe.

Ograniczenia kart pre-paid

Karty pre-paidowe mają również swoje
ograniczenia. Są one zależne od
banku wydającego kartę. W niektórych
bankach karty przedpłatowe nie mogą
być zasilane. Oznacza to, że karta
po wyczerpaniu środków na niej się
znajdujących staje się nieprzydatna.
Karty takie nie mają żadnej wartości dla
przestępców.

W przypadku kart, które mogą być

zasilane, banki narzucają ograniczenia
dotyczące środków zgromadzonych
na karcie, limitów wypłat, itp. W Tabeli
1. zostały ukazane ograniczenia kart
pre-paidowych wydawanych przez Bank
Zachodni WBK S.A.

Powyższe ograniczenia nie pozwalają

na kradzież dużych pieniędzy. Może

Rysunek 1.

Karta pre-paid Maestro

PayPass

Rysunek 2.

Czytnik zbliżeniowy PayPass

ATAK

26

HAKIN9 12/2009

to być postrzegane dwojako: z jednej
strony poszkodowani będą najczęściej
naciągani na niskie kwoty (kilkaset
złotych), z drugiej strony niskie kwoty
mogą zniechęcać do podjęcia działań
zarówno przez poszkodowanych, jak i
organy ścigania.

Jak się bronić?

Konta bankowe są identyfikowane przez
numer IBAN (Internationall Account Bank
Number). Nie inaczej jest w przypadku
kont anonimowych. Kod IBAN dla kont w
polskich bankach ma postać: PL cc BBBB
BBBc RRRR RRRR RRRR RRRR, gdzie

• PL – kod kraju – w naszym przypadku

Polska,

• c – cyfry kontrolne,
• B – kod banku i oddziału,
• R – cyfry numeru rachunku

bankowego.

Część zawierająca kod banku i
oddziału może stanowić doskonałe
miejsce identyfikacji kont anonimowych.
Zazwyczaj każdy bank będzie wydawał
karty przedpłatowe z tym samym
numerem oddziału (często oddział
centralny.). Przykładowo Bank Zachodni
WBK S.A. wydaje karty pre-paidowe z
kodem IBAN zaczynającym się od cyfr
59 1090 0075. Odrzucając pierwsze
dwie cyfry kontrolne mamy 1090 – kod
banku oraz 0075 – kod oddziału z cyfrą
kontrolną. Daje nam to:

BZWBK Centrala-Biuro Obsługi Klient
pl.Andersa 5
61-894 Poznań

Nie możemy założyć, że każdy rachunek
wydany przez ten oddział banku jest
anonimowy. Ale gdyby wszystkie banki
posiadały numer oddziału, na który
zakładałyby anonimowe rachunki,
można byłoby wykorzystać proste
skrypty do sprawdzania numeru
rachunku odbiorcy i poinformować
użytkownika w razie przelewu na
konto anonimowe. Skrypty te powinny
być zaimplementowane przez banki
w swoich portalach. Równie dobrze
obsługująca nas osoba na poczcie
mogłaby nas poinformować, że
przelewamy środki na konto anonimowe.
Idąc dalej – portale aukcyjne mogłyby
identyfikować aukcje z podanymi
numerami anonimowymi i wyraźnie to
zaznaczać.

Firmy takie jak Visa i MasterCard

utworzyły zbiór reguł, które przekazują
bankom, mające na celu zmniejszenie
ryzyka wykorzystania kart pre-paidowych
w nielegalnych celach (dotyczy to głównie
prania brudnych pieniędzy). Wiele kart
pre-paidowych może być zasilana tylko
przez właściciela w placówce banku i
wymaga podania poprawnego kodu
identyfikacyjnego.

Często banki wydają karty, które

nie mogą być ponownie zasilane.
Minimalizuje to szanse wykorzystania
ich w celach przestępczych kosztem
zmniejszonej funkcjonalności.

W celu wykrycia procederu prania

brudnych pieniędzy powstały specjalne
systemy monitoringu transakcji czasu
rzeczywistego. Jedną z firm tworząca
taki system jest Epoch Data Inc. System
ten jednak nie zabezpiecza przed
atakami opisanymi w powyższym
artykule.

Podsumowanie

Karty pre-paid są nowością na polskim
rynku. Niosą one ze sobą dużo
udogodnień dla klientów, jednakże też
zwiększają repertuar środków jakimi
dysponują przestępcy internetowi.
Z czasem możemy się spodziewać
coraz więcej wyłudzeń drobnych kwot
(szczególnie na portalach aukcyjnych).
Banki, portale aukcyjne, sklepy
internetowe wraz z organami ścigania
powinny zaangażować się w akcję
informacyjną oraz wprowadzić zmiany w
systemach, umożliwiające informowanie
użytkowników o niebezpieczeństwach
związanych z kontami anonimowymi.
Im większa będzie świadomość
użytkowników, tym mniej będzie
wyłudzeń. Powyższa analiza zagrożeń
ma na celu zwrócenie uwagi na
istniejący problem i w żadnym razie
nie wyczerpuje tematu, który wymaga
dalszych badań i analiz.

Tabela 1.

Ograniczenia kart pre-paidowych wydawanych przez Bank Zachodni WBK S.A.

Limit

pojedynczej

transakcji

gotówkowej i

bezgotówkowej

Miesięczny

limit

wydatków

Dzienny limit

kwotowy

wypłat

gotówki

Dzienny

limit

kwotowy

transakcji

(gotówka +

płatności)

max.

Maksymalna

kwota nadpłaty

500 PLN

3 000 PLN

500 PLN

2 000 PLN

2 500 PLN

W Sieci

• http://www.iso.org,
• http://indywidualni.bzwbk.pl/karty/przedplacone-pre-paid/karty-przedplacone-pre-paid.html,
• http://www.paypass.pl,
• http://www.visa.pl/kartydlaciebie/visapaywave/main.jsp,
• http://www.philadelphiafed.org.

Radosław Matusiak

Autor jest członkiem grupy Kasta Pianistów, zajmującej

się zagadnieniami związanymi z bezpieczeństwem.

Wachlarz zainteresowań grupy jest bardzo

szeroki i obejmuje m.in. bezpieczeństwo sieciowe,

bezpieczeństwo aplikacji, jak i nowoczesne ataki

socjotechniczne.

Kontakt z autorem: roscoe@hackers.org.pl.

Rysunek 3.

Chip RFID PayPass

MasterCard