Používanie digitálnej peňaženky nie je také bezpečné, ako sa môže zdať. Experti poukazujú na vážnu bezpečnostnú medzeru
Výskumníci v novej štúdii odhaľujú, že najpoužívanejšie digitálne peňaženky majú bezpečnostné medzery, ktoré ti vedia veľmi znepríjemniť život.
Mnohí používajú takzvané digitálne peňaženky, napríklad Apple Pay, Google Pay alebo PayPal. Ide o populárne služby, ktoré sa podľa názoru analytikov stanú ešte populárnejšie. Očakáva sa, že do roku 2026 bude digitálne peňaženky používať viac ako 5-miliárd ľudí.
Digitálne peňaženky ti dovoľujú nahrať do nich svoju (nielen) platobnú kartu a sľubujú väčšiu bezpečnosť a pohodlnosť, hlavne kvôli možnosti platiť smartfónom a nebrať si so sebou častokrát nespratnú peňaženku. Bezpečnejšie platby sa týkajú hlavne toho, že digitálne peňaženky nepoužívajú tvoje číslo karty, ale špeciálne tokeny, ktoré nemožno zneužiť, ak by sa ku nim dostal niekto, kto by nemal.
Výskumníci z University of Massachusetts Amherst ale upozorňujú, že väčšina digitálnych peňaženiek používa zastarané autentifikačné metódy a častokrát má prioritu pohodlnosť oproti bezpečnosti. Práve toto robí digitálne peňaženky zraniteľné voči kybernetickým útokom.
“V rámci našej novej štúdie sme zistili, že tieto digitálne peňaženky nie sú bezpečné. Jedným z hlavných dôvodov je to, že majú bezpodmienečnú dôveru medzi držiteľom karty, peňaženkou a bankou,” tvrdí vedúci výskumu, Taqi Raza.
Bežný ekosystém digitálnej peňaženky funguje tak, že najskôr užívateľ zadá číslo svojej kreditnej karty do aplikácie. Následne sa jeho totožnosť ako držiteľa karty overí nejakou informáciou, ktorá potvrdí, že tento človek je skutočne vlastníkom danej karty. Potom môže užívateľ používať digitálnu peňaženku, ktorá namiesto čísla karty používa pri nákupe tokeny a predajca pridelí tento token ku transakcii. Token putuje do banky, ktorá si ho premení na číslo karty a následne potvrdí platbu bez toho, aby obchodníkovi prezradila číslo karty zákazníka.
Ako ale výskumníci varujú, vždy existujú aktéri, ktorí vedia obísť systém a nakupovať veci pomocou kreditných kariet ľudí. Štúdia vysvetľuje slabiny, ktorými trpia najpoužívanejšie digitálne peňaženky. Autori štúdie informovali postihnuté spoločnosti a dali im dostatok času pred zverejnením výsledkov, aby tieto bezpečnostné slabiny napravili.
Neprehliadni
Slabiny bezpečnostných peňaženiek
Ako prvé autori štúdie pozorovali problém s pôvodnou autentifikáciou užívateľa. Každý kyberzločinec, ktorý pozná číslo karty obete sa za ňu môže vydávať. Digitálne peňaženky nemajú dostatočné bezpečnostné mechanizmy aby overili, že užívateľ karty je súčasne aj jej majiteľ.
Ďalším veľkým problémom je, že ak človek nahlási krádež alebo stratu karty, banky zablokujú len tie transakcie, ktoré pochádzajú z fyzickej karty. Inými slovami povedané, zločinec, ale kľudne aj užívateľ, môže nakupovať cez digitálnu peňaženku. Banky totiž predpokladajú, že digitálne peňaženky majú spoľahlivé spôsoby, ako zabrániť kyberzločincom pridať si cudziu kartu do ich vlastnej peňaženky. To ale nie je prípad.
V prípade, že kyberzločinec vloží ukradnutú kartu do svojej digitálnej peňaženky, pre držiteľa karty je nemožné ju deaktivovať v digitálnej peňaženke zločinca. Dokonca aj pri obdržaní novej karty banky nevykonávajú opätovnú autentifikáciu kariet uložených v digitálnych peňaženkách. Namiesto toho zmenia virtuálne číslo karty tak, aby sa zhodovalo s novým číslom fyzickej karty.
Zlodej automaticky „ukradne“ aj novú kartu
Predstav si situáciu, kedy máš kartu, ktorej číslo sa končí 0123. Túto kartu ti zločinec ukradne a pridá si ju do digitálnej peňaženky. Keď zaplatí v obchode, digitálna peňaženka neukáže číslo karty 0123 ale vygeneruje kód ABCD, ktorý sa posiela banke.
Transakcia prebehne, ty si ju všimneš a hneď vieš, že je niečo zle. Zavoláš do banky, nahlásiš ukradnutú kartu a dostaneš novú, ktorá sa končí na 4567. Problém s digitálnymi peňaženkami je, že keď zlodej niečo kúpi, obchodníkovi sa pošle rovnaký kód ABCD, ktorý putuje do banky. V banke sa už ale nespája s číslom 0123, ale s číslom 4567.
Transakcia prebehne a zlodejovi začne v digitálnej peňaženke ukazovať tvoje nové číslo karty bez toho, aby aplikácia overila, že stále ide o rovnakého človeka, držiteľa karty. Stačí teda, aby zlodej len raz nahral číslo tvojej karty do svojej digitálnej peňaženky a overil ju. Následne môže kradnúť aj keď ti banka vydá novú kartu, v jeho aplikácii sa len aktualizujú údaje tak, aby sedeli s tvojou novou kartou.
Ide o vážnu bezpečnostnú medzeru, ktorá ale vychádza z ponuky bánk. Veľa bánk dovoľuje, aby jedna rodina mala jednu platobnú kartu, čo znamená, že rovnaká karta bude nahraná vo viacerých smartfónoch. Pre čo najlepšie zabezpečenie a prehľad sa odporúča zapnúť si upozornenia, keď niekto pridá alebo odstráni tvoju kartu z digitálnej peňaženky. Pravidelne kontroluj zoznam transakcií a zapni si upozornenia pri každej transakcii.
Komentáre