Mennyire biztonságos a mobilfizetés?

Safe bankingAz Apple Pay tavaly októberi bevezetése már most felkavarta a mobilfizetés nem is annyira állóvizét. A mobilfizetés területe viszonylag friss jelenségként egyelőre még igen kaotikus képet mutat. A nyitottabb, kisebbségben lévő felhasználók között sem tökéletes az összhang, a túlnyomó többség pedig továbbra is szívesebben használja a bankkártyáját. Utóbbi jelenség nem feltétlenül a hazánkban annyira jellemző elfogadóhely hiány, sokkal inkább a bizalmatlanság, az etalonnak számító, a hasonló megoldások előtt az ajtót kitáró szolgáltatás hiánya miatt tapasztalható. Az Apple rendszerének megjelenése könnyen változtathat ezen, hiszen ezt a Google, de a Samsung sem hagyja válasz nélkül, így lassan kikristályosodhat a mobilfizetés közeljövője. Mielőtt azonban rátérnénk az új lendületet kapott küzdelem szereplőire, nézzük meg kicsit jobban, valóban jobb alternatívát jelentene-e a plasztikkártyák nyugdíjazása.

A bank- és hitelkártyák mára Magyarországon is viszonylag magas penetrációt mondhatnak magukénak, habár a készpénztől továbbra sem tudták átvenni a szerepet. A kártyahasználat növekedésével azonban sajnálatos módon a visszaélések száma is egyre magasabb, gyakran nem is kell túlságosan bonyolult eszközökhöz fordulniuk a csalóknak, legjobb szövetségesük továbbra is az emberi gondatlanság. A látható helyen tárolt, lefényképezett, elvesztett kártyák, gondatlanul tárolt hozzáférési információk, adathalász oldalak és emailek csak egy részét jelentik a tolvajok eszköztárának, ám azt kevesebben tudják, hogy jellegéből adódóan maga a tranzakciós folyamat sem a biztonság csúcsa.

A kártyatranzakció során egy előzetes, sikeres azonosítást követően lényegében szabad a pálya. Alapvetően ezzel nincsen baj, azonban korántsem mindegy, hogy az azonosító adatok hogyan vannak tárolva, illetve mennyire biztonságos módon történik ezeknek az átvitele. Az utóbbi évek tapasztalatai sajnos azt mutatják, hogy a rendszer nem képes tökéletesen lépést tartani a bűnözők kreativitásával, újabb és újabb gyenge pontjait találják meg. Bizarr módon éppen a különösebb technológiai felkészültséget nem igénylő visszaélési módszerek nagy sikere az egyik legfőbb gátja annak, hogy az adatbiztonság hiányosságait kihasználó formák nem terjednek olyan mértékben, ugyanakkor létező jelenségről van szó.

Nagy Testvér v1 és v2

A nem csupán kényelmi, de biztonsági értelemben vett áttörést a piac az NFC technológia terjedésében látta. Habár az első megoldásokat nem az Apple és nem is a Google szállította, az első szélesebb körben is elterjedt mobiltelefon-NFC fizetési rendszer bevezetése utóbbi nevéhez fűződik. A MasterCard és a Citi Bank partnersége mellett induló Google Wallet lényegében egy Google-ön keresztül megvásárolható előre feltöltött kártyával működött. A kártyainformációkat egy dedikált, a telefon többi részével csak minimális interakciót folytató chipen tárolta, a felhasználónak pedig fizetéskor egy négyjegyű PIN kóddal kellett engedélyeznie a tranzakciót. A későbbiekben a vállalat elvetette ezt a speciális chipet, helyette pedig az úgynevezett Host Card Emulation (HCE) megoldás mellett döntött.

Mobile_WalletAnélkül, hogy a technológiai részletekbe belemennénk, ez a rendszer lehetővé teszi, hogy bármelyik alkalmazás képes legyen kártyát emulálni, így megnyílt az út a fejlesztők előtt, hogy az Android telefonok teljes NFC funkcionalitását ki tudják használni. Ezzel párhuzamosan a Google lehetővé tette azt is, hogy a Google Wallet alkalmazásában tetszőleges bankkártyát használjanak a felhasználók, azaz saját plasztikkártyáikat virtuálisan leképezzék. Nem hangzik túl biztonságosnak? Valóban nem, de korántsem azért, amiért gondolnánk: a tranzakciós fél egyfelől semmilyen körülmények között nem látja a kártyaadatokat és értelemszerűen nem is tárolja azokat. Ugyanakkor ezt a saját telefonunk sem teszi, kivétel nélkül minden adat a Google saját szerverein tárolódik. Még ha ezzel kapcsolatosan lehetnek is fenntartásai egyes felhasználóknak, azt nem nehéz belátni, hogy lényegesen könnyebb egyetlen rendszer biztonságáról gondoskodni, mint több száz eltérő architektúrájú és képességű telefonéról. Abban a nagyon valószínűtlen esetben, ha sikerülne is feltörni ezeket a szervereket, a Google dinamikusan változó azonosítókat alkalmaz, így legfeljebb egy tranzakció erejéig valósulhatna meg visszaélés, ráadásul a vállalat folyamatosan megfigyeli valamennyi tranzakciót, kiszűrve az esetleges csalásokat, lopásokat.

Hasonló megoldást használ az Apple is, habár a cég a tőle megszokott módon viszonylag kevés információt árul el a rendszerről. A felhasználó első lépésben manuálisan vagy egy fotó segítségével megadja a regisztrálni kívánt kártya adatait. Ez az adatmennyiség titkosítva az Apple szervereire kerül, ahol aztán megtörténik a felhasználó beazonosítása, ezután már csak egy Touch ID ujjlenyomat ellenőrzést kér, melyet egyébiránt a PIN kód helyett is használ majd vásárláskor. Az eljárás egyes elemei ugyan mások, de alapvetően ugyanarról van szó, továbbra is felhőben tárolódnak az adatok, meggátolva az illetéktelen hozzáférést.

Nincs tökéletes biztonság

mobile-payments-securityHiába hivatkozik azonban az átlagosnál is nagyobb biztonságra immár hagyományosan az Apple, az idei év márciusa azonban elég nagy PR-pofont adott az alig pár hónapos rendszernek. Az alaposan megtervezett és kivitelezett csalás sorozat során csalók kvázi hadserege egyidejűleg hajtott végre jogtalan vásárlásokat az Apple Pay rendszerén keresztül jól ismert amerikai üzletláncok tagjaiban. A teljes igazsághoz hozzá tartozik, hogy az Apple szervereit nem törték fel, az ott tárolt adatokat nem lopták el, azonban a csalókat semmi nem gátolta meg abban, hogy előzetesen eltulajdonított kártyaadatokat vigyenek fel az Apple Pay alkalmazásba, majd azokkal fizessenek. Nyilvánvalóan itt felmerül a bankok felelőssége is a megfelelő felhasználói azonosítás elmaradásában, ugyanakkor jól mutatja azt a problémát is, melyet az új rendszerek magukban hordoznak: hiába védenek tökéletesen a legáltalánosabb visszaélések ellen, a felhasználók első beazonosítása jelenti azt a virtuális banánhéjat, amin elcsúszhat akár a teljes mobilfizetési terület.

A minden más körülmények között abszolút kontrollt gyakorló Apple elkövette azt a hibát, hogy ezt az azonosítási folyamatot a partnerbankokra bízta. Ebben valószínűleg szerepet játszott az a tény is, hogy ahány bank, szinte annyi ilyen eljárás létezik, jó eséllyel erősen lecsökkent partneri körrel történt volna az alkalmazás indulása, ha rigorózusan saját metódusát erőltette volna a vállalat. Ezzel együtt az esetből tanult a cég, és a károsultak bankjai is, lényegében olyan metódusok kerültek be a folyamatba, melyek során a kártya hozzáadásakor a bank ellenőrző kódot küld az ügyfél telefonjára (melyhez a csalóknak nincs hozzáférése értelemszerűen), vagy az ügyfélszolgálat hívja fel egy egyszeri beazonosítás céljából.

Kérdés azonban, hogy ez a fiaskó mennyit árt a későbbiekben az Apple, sőt a mobilfizetés ügyének. A jelek szerint egyelőre a piac lelkesedése elég nagy ahhoz, hogy elviseljen egy ekkora csapást, még egyet azonban nem fog, így szinte bizonyosra vehető, hogy mind az Apple, mind a Google, mind a Samsung háza táján újra és újra végigkövetik a teljes mobilfizetési folyamatot, keresve azok gyenge pontjait.

Reklámok

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s