background image

24

 

HAKIN9

ATAK

12/2009

K

arty przedpłatowe są również znane 
jako elektroniczne portmonetki (ang. 
electronic purse). Zazwyczaj posiadają 

kwotę minimalnego oraz maksymalnego 
doładowania (zróżnicowane w różnych 
bankach). Na Rysunku 1. dostępne są karty 
pre-paid Visa, Maestro i MasterCard.

Technologie PayPass i payWave

PayPass i payWave są to nowe technologie 
pozwalające na bardzo szybkie uiszczenie opłaty. 
Karty wykonane w tych technologiach posiadają 
układ elektroniczny wyposażony w antenę (RFID). 
Aby uiścić opłatę wystarczy taką kartę zbliżyć 
do czytnika. Jeżeli transakcja nie przekracza 
50 zł nie jest wymagane składanie podpisu 
lub podawanie kodu PIN. Technologia PayPass 
jest wykorzystywana w kartach MasterCard i 
Maestro, natomiast payWave jest technologią 
wykorzystywaną w kartach Visa (Rysunek 2). 

Transmisja pomiędzy kartą a czytnikiem 

jest szyfrowana. Technologie te posiadają 
mechanizmy zabezpieczające przed 
kilkukrotnym obciążeniem karty w wyniku 
nieprawidłowego zbliżenia karty.

Standard ISO/IEC 14443

Standard ISO/IEC 14443 definiuje karty 
zbliżeniowe oraz protokoły komunikacji z tymi 
kartami. Jest to standard wykorzystywany przez 
PayPass oraz payWave. Składa się on z 4 
części:

RADOSŁAW MATUSIAK

Z ARTYKUŁU 

DOWIESZ SIĘ

czym są karty przedpłatowe 

(pre-paid),

jakie zagrożenie płyną z ich 

stosowania,

w jaki sposób przestępcy 

wykorzystują karty 

przedpłatowe.

CO POWINIENEŚ 

WIEDZIEĆ

podstawowa wiedza dotycząca 

systemu bankowego

•   charakterystyka fizyczna.
•   siła sygnału radiowego oraz interfejs 

układu,

•   inicjalizacja oraz mechanizm unikania kolizji,
•   protokół transmisji.

Dokumentacja jest dostępna na stronach 
organizacji ISO (Rysunek 3). 

W Internecie można znaleźć opisy udanych 

ataków na karty wykorzystujące technologię 
payWave lub PayPass. Osoba atakująca 
używająca czytnika wraz z anteną, jest w stanie 
odczytać wszystkie informacje zapisane na 
karcie (m.in. imię i nazwisko, numer rachunku, 
datę ważności). W przypadku kart kredytowych 
(nie opisanych w tym dokumencie) dane te są 
wystarczające do przeprowadzenia transakcji. 
Zasięg czytnika z anteną wciąż jest niewielki, 
co oznacza, iż atakujący musi się znaleźć 
w najbliższym sąsiedztwie kart. W dużych 
aglomeracjach wystarczy np. schować czytnik 
do plecaka lub torby i przemieszczać się 
w godzinach szczytów w miejscach często 
uczeszczanych (środki transportu miejskiego, 
tunele, itp.). Jednym z rozwiązań problemu 
odczytu kart przez osobę nieupoważnioną 
jest posiadanie w najbliższym sąsiedztwie 
więcej niż jednej karty posiadającej nadajnik 
RFID, działającej na podobnej częstotliwości. 
Czy w najbliższej przyszłości, aby chronić 
nasze pieniądze będziemy nosili karty w 
ekranowanych portfelach?

Stopień trudności

Płatnicze karty 

pre-paid – 

analiza zagrożeń

Karty płatnicze pre-paid stanowią alternatywę dla typowych kart 

płatniczych. Nie są one przypisane do żadnego konta bankowego, 

a zatem posiadacz karty nie ponosi żadnych kosztów związanych 

z prowadzeniem rachunku. Karty pre-paid są kartami na 

okaziciela, co oznacza że można ją przekazać dowolnej osobie.

background image

25

 

HAKIN9 

ATAKI SOCJOTECHNICZNE

12/2009

Dlaczego konta anonimowe 

są dobre?

Bo są anonimowe! Każda osoba 
może zakupić w banku kartę pre-paid 
i korzystać z anonimowego konta 
bankowego. Może go używać do 
przeprowadzania transakcji w Internecie, 
jak i posługiwać się numerem rachunku, 
jakby nie był kontem anonimowym. 
Właśnie tutaj można się spodziewać 
największej ilości nadużyć. 

Przestępcy mogą wykorzystywać karty 

pre-paid do bezpiecznego wyłudzania 
pieniędzy. Bezpieczeństwo jest tutaj 
rozumiane jako pełna anonimowość. 
Przestępca nie musi się obawiać, że ofiara 
po zorientowaniu się pójdzie na policję i 
zgłosi przestępstwo. Ostatecznie może 
podać tylko numer konta bankowego 
– anonimowego. Po każdej udanej próbie, 
przestępca może zakupić nową kartę 
(najniższy koszt waha się w granicach 50 
zł) zmieniając w ten sposób tożsamość.

Kto jest kim?

I tutaj pojawią się kolejna zaletą kart pre-
paidowych. Karty te mogą być zasilane 
poprzez wpłacenie kwoty na numer 
rachunku na poczcie, w banku lub przez 
Internet. Jak wiadomo, aby dokonać 
przelewu musimy podać swoje dane, dane 
osoby, która jest właścicielem konta oraz 
numer konta. Skoro karty pre-paidowe 
stanowią interfejs konta anonimowego, 
podane na przelewie dane nie mają 
żadnego znaczenie dla przebiegu operacji. 
Przestępca może dzięki temu umieścić w 
Internecie dowolne dane.

Problem anonimowości kart pre-

paidowych jest analizowany w Stanach 
Zjednoczonych, gdzie uważa się, że karty 
te mogą stanowić doskonałe źródło 
bezpiecznego finansowania siatek 
terrorystycznych (niewykrywalność) oraz 

prania brudnych pieniędzy (m.in. dla tego 
wprowadzono limity zgromadzonych 
środków).

Karty pre-paid i reputation 

hijacking

Atak typu reputation hijacking polega na 
wykorzystaniu dobrej reputacji podmiotu 
(osoby fizycznej lub firmy) w celu 
zwiększenia zaufania do podawanych 
informacji. Termin ten początkowo 
był stosowany przy opisie metod 
wykorzystywanych przez spamerów. 

Wyobraźmy sobie sytuację, gdzie 

przestępca umieszcza w Internecie 
fałszywą aukcję internetową, na której 
proponuje odtwarzacze mp3. Są to 
odtwarzacze znanej i cenionej firmy. 
Ceny podawane na fałszywej aukcji są 
konkurencyjne, choć nie wzbudzające 
podejrzeń. Przestępca podaje nazwę 
firmy jako nazwę odbiorcy, lecz zmienia 
numer konta na anonimowe. Dzięki 
temu aukcja zyskuje na autentyczności, 
wzbudza mniej podejrzeń. Nieświadomi i 
niedoinformowania użytkownicy wpłacają 
pieniądze na konto przestępcy, nie 
otrzymując oczywiście zamówionego 
sprzętu. 

Opieszałość polskiej policji w walce z 

e-przestępstwami oraz niska szkodliwość 
czynu (kwota naciągnięcia może 

kwalifikować czyn do wykroczenia, a nie 
przestępstwa) gwarantują powodzenie 
oszustwa. W najgorszym przypadku, gdy 
odpowiednio wcześnie czyn zostanie 
zgłoszony do banku, będzie możliwe 
zablokowanie konta/karty przestępcy. 
Niemożliwym jednak będzie skorelowanie 
tego przypadku z innymi. Jeżeli 
przestępca będzie dysponował wiedzą 
dotyczacą sposobów ukrywania śladów 
w Internecie (np. sieć TOR) namierzenie 
go i skazanie będą prawie niemożliwe. 

Ograniczenia kart pre-paid

Karty pre-paidowe mają również swoje 
ograniczenia. Są one zależne od 
banku wydającego kartę. W niektórych 
bankach karty przedpłatowe nie mogą 
być zasilane. Oznacza to, że karta 
po wyczerpaniu środków na niej się 
znajdujących staje się nieprzydatna. 
Karty takie nie mają żadnej wartości dla 
przestępców. 

W przypadku kart, które mogą być 

zasilane, banki narzucają ograniczenia 
dotyczące środków zgromadzonych 
na karcie, limitów wypłat, itp. W Tabeli 
1. zostały ukazane ograniczenia kart 
pre-paidowych wydawanych przez Bank 
Zachodni WBK S.A.

Powyższe ograniczenia nie pozwalają 

na kradzież dużych pieniędzy. Może 

Rysunek 1. 

Karta pre-paid Maestro 

PayPass 

Rysunek 2. 

Czytnik zbliżeniowy PayPass

background image

ATAK

26

 

HAKIN9 12/2009

to być postrzegane dwojako: z jednej 
strony poszkodowani będą najczęściej 
naciągani na niskie kwoty (kilkaset 
złotych), z drugiej strony niskie kwoty 
mogą zniechęcać do podjęcia działań 
zarówno przez poszkodowanych, jak i 
organy ścigania.

Jak się bronić?

Konta bankowe są identyfikowane przez 
numer IBAN (Internationall Account Bank 
Number). Nie inaczej jest w przypadku 
kont anonimowych. Kod IBAN dla kont w 
polskich bankach ma postać: PL cc BBBB 
BBBc RRRR RRRR RRRR RRRR, gdzie 

•   PL – kod kraju – w naszym przypadku 

Polska,

•   c – cyfry kontrolne,
•   B – kod banku i oddziału,
•   R – cyfry numeru rachunku 

bankowego.

Część zawierająca kod banku i 
oddziału może stanowić doskonałe 
miejsce identyfikacji kont anonimowych. 
Zazwyczaj każdy bank będzie wydawał 
karty przedpłatowe z tym samym 
numerem oddziału (często oddział 
centralny.). Przykładowo Bank Zachodni 
WBK S.A. wydaje karty pre-paidowe z 
kodem IBAN zaczynającym się od cyfr 
59 1090 0075. Odrzucając pierwsze 
dwie cyfry kontrolne mamy 1090 – kod 
banku oraz 0075 – kod oddziału z cyfrą 
kontrolną. Daje nam to:

BZWBK Centrala-Biuro Obsługi Klient
pl.Andersa 5
61-894 Poznań

Nie możemy założyć, że każdy rachunek 
wydany przez ten oddział banku jest 
anonimowy. Ale gdyby wszystkie banki 
posiadały numer oddziału, na który 
zakładałyby anonimowe rachunki, 
można byłoby wykorzystać proste 
skrypty do sprawdzania numeru 
rachunku odbiorcy i poinformować 
użytkownika w razie przelewu na 
konto anonimowe. Skrypty te powinny 
być zaimplementowane przez banki 
w swoich portalach. Równie dobrze 
obsługująca nas osoba na poczcie 
mogłaby nas poinformować, że 
przelewamy środki na konto anonimowe. 
Idąc dalej – portale aukcyjne mogłyby 
identyfikować aukcje z podanymi 
numerami anonimowymi i wyraźnie to 
zaznaczać.

Firmy takie jak Visa i MasterCard 

utworzyły zbiór reguł, które przekazują 
bankom, mające na celu zmniejszenie 
ryzyka wykorzystania kart pre-paidowych 
w nielegalnych celach (dotyczy to głównie 
prania brudnych pieniędzy). Wiele kart 
pre-paidowych może być zasilana tylko 
przez właściciela w placówce banku i 
wymaga podania poprawnego kodu 
identyfikacyjnego. 

Często banki wydają karty, które 

nie mogą być ponownie zasilane. 
Minimalizuje to szanse wykorzystania 
ich w celach przestępczych kosztem 
zmniejszonej funkcjonalności.

W celu wykrycia procederu prania 

brudnych pieniędzy powstały specjalne 
systemy monitoringu transakcji czasu 
rzeczywistego. Jedną z firm tworząca 
taki system jest Epoch Data Inc. System 
ten jednak nie zabezpiecza przed 
atakami opisanymi w powyższym 
artykule. 

Podsumowanie

Karty pre-paid są nowością na polskim 
rynku. Niosą one ze sobą dużo 
udogodnień dla klientów, jednakże też 
zwiększają repertuar środków jakimi 
dysponują przestępcy internetowi. 
Z czasem możemy się spodziewać 
coraz więcej wyłudzeń drobnych kwot 
(szczególnie na portalach aukcyjnych). 
Banki, portale aukcyjne, sklepy 
internetowe wraz z organami ścigania 
powinny zaangażować się w akcję 
informacyjną oraz wprowadzić zmiany w 
systemach, umożliwiające informowanie 
użytkowników o niebezpieczeństwach 
związanych z kontami anonimowymi. 
Im większa będzie świadomość 
użytkowników, tym mniej będzie 
wyłudzeń. Powyższa analiza zagrożeń 
ma na celu zwrócenie uwagi na 
istniejący problem i w żadnym razie 
nie wyczerpuje tematu, który wymaga 
dalszych badań i analiz.

Tabela 1. 

Ograniczenia kart pre-paidowych wydawanych przez Bank Zachodni WBK S.A.

Limit 

pojedynczej 

transakcji 

gotówkowej i 

bezgotówkowej

Miesięczny 

limit 

wydatków

Dzienny limit 

kwotowy 

wypłat 

gotówki

Dzienny 

limit 

kwotowy 

transakcji 

(gotówka + 

płatności)

max.

Maksymalna 

kwota nadpłaty

500 PLN

3 000 PLN

500 PLN

2 000 PLN

2 500 PLN

W Sieci

•   http://www.iso.org,
•   http://indywidualni.bzwbk.pl/karty/przedplacone-pre-paid/karty-przedplacone-pre-paid.html,
•   http://www.paypass.pl,
•   http://www.visa.pl/kartydlaciebie/visapaywave/main.jsp,
•   http://www.philadelphiafed.org.

Radosław Matusiak

Autor jest członkiem grupy Kasta Pianistów, zajmującej 

się zagadnieniami związanymi z bezpieczeństwem. 

Wachlarz zainteresowań grupy jest bardzo 

szeroki i obejmuje m.in. bezpieczeństwo sieciowe, 

bezpieczeństwo aplikacji, jak i nowoczesne ataki 

socjotechniczne. 

Kontakt z autorem: roscoe@hackers.org.pl.

Rysunek 3. 

Chip RFID PayPass 

MasterCard