Disclaimer (protože bez něj by se někdo určitě tvářil překvapeně):
Ano, v tomhle článku se detailně rozebírá, jak fungují útoky na platební technologie. A ano, skutečně existuje jistá pravděpodobnost, že si to přečte někdo, kdo z toho bude chtít vyrobit „návod k použití“. Jenže hádej co – pokud někdo opravdu touží hrát si na malého cyberkriminálníka, žádný disclaimer na světě ho nezastaví. Maximálně si připadáme morálně v bezpečí, že jsme řekli svoje.

Takže, aby bylo jasno: tenhle text má informační a vzdělávací charakter, teoretické shrnutí, bezpečnostní osvětu, říkejme tomu jakkoliv. Pokud tě ale napadne strčit skimmer na bankomat, koupit si čínskou NFC čtečku a pak fňukat, že tě někdo chytil – to je čistě tvoje osobní tragikomedie, ne naše zodpovědnost.

V současné době máme k dispozici několik různých platebních technologií - od tradičních magnetických pruhů přes čipové karty až po moderní NFC platby v telefonech. Každá z těchto technologií má svá specifická zranitelná místa a vyžaduje jiný přístup ze strany útočníků. Podívejme se detailně na to, jak fungují jednotlivé typy útoků a jak se jim můžeme bránit.

Magnetický pruh: Nejzranitelnější cíl

Anatomie magnetického pruhu

Magnetický pruh na zadní straně karty obsahuje tři stopy dat, přičemž pro platební účely jsou klíčové stopa 1 a 2:

Stopa 1 obsahuje:

%B1234567890123445^DOE/JOHN^25121011000062000000?

• Číslo karty (PAN): 1234567890123445
• Jméno držitele: DOE/JOHN
• Datum platnosti: 2512 (12/25)
• Servisní kód: 101
• Dodatečná data pro ověření

Stopa 2 obsahuje:

;1234567890123445=25121011000062000000?

• Komprimovaná verze dat ze stopy 1
• Stejné základní informace v kratším formátu

Skimming útok krok za krokem

Fáze 1: Instalace zařízení

1. Útočník si obstará skimming zařízení (lze koupit na internetu za 100-500 USD)
2. Vybere cílové místo - bankomat, čerpací stanice, nebo platební terminál
3. Nainstaluje tenký skimmer na slot pro karty (tloušťka často jen 2-3 mm)
4. Současně umístí miniaturní kameru nebo falešnou klávesnici pro zachycení PIN

Fáze 2: Sběr dat

1. Karta prochází přes skimmer při normálním používání
2. Magnetická hlava skimmeru čte a ukládá všechna data z magnetického pruhu
3. Kamera nebo falešná klávesnice zachytí PIN kód
4. Data se ukládají v interní paměti zařízení

Fáze 3: Zneužití dat

1. Útočník data stáhne (často bezdrátově nebo při opětovné návštěvě)
2. Pomocí card writeru zapíše data na prázdnou plastovou kartu
3. Vzniklá kopie obsahuje všechna původní data
4. S kopií karty a PIN kódem může vybírat hotovost nebo platit

Proč je skimming tak účinný:

• Data jsou uložena v plain textu bez šifrování
• Jedna kopie stačí pro úplnou repliku karty
• Technologie je stará a nemá moderní zabezpečení
• Funguje na všech starších terminálech

Detekce skimming zařízení

Vizuální indikátory:

• Neobvykle tlustý nebo výčnívající slot pro karty
• Jiná barva nebo materiál čtečky
• Uvolněné nebo špatně usazené části
• Podezřelé kamery nebo zrcátka

Fyzické testování:

• Pokuste se "zatřást" čtečkou karet
• Zkontrolujte, zda nejsou části pohyblivé
• Porovnejte s jinými terminály stejného typu

Čipové karty EMV: Pokročilejší, ale ne neprůstřelné

Jak funguje EMV čip

EMV čip je mikropočítač, který obsahuje:

• Kryptografické klíče pro ověřování
• Čítač transakcí (ATC - Application Transaction Counter)
• Aplikační data specifická pro každou banku
• Certifikáty pro ověření pravosti

Shimming útok na čipové karty

Technologie shimming zařízení:

1. Ultra-tenká konstrukce - tloušťka často jen 0.1 mm
2. Kontaktní body přesně odpovídající rozložení čipu
3. Mikropočítač pro zachycení komunikace
4. Bezdrátový modul pro vzdálené stahování dat

Průběh shimming útoku:

1. Útočník vloží shim do čtečky čipů (téměř neviditelný)
2. Při vložení karty se shim dostane mezi čip a čtečku
3. Zachytí komunikaci mezi kartou a terminálem
4. Zaznamená cryptogramy a další transakční data

Získaná data z chimmingu:

• Application Cryptogram - šifrovaná data transakce
• ATC (Application Transaction Counter) - počítadlo transakcí
• UN (Unpredictable Number) - náhodné číslo transakce
• Amount - částka transakce
• Terminal data - informace o terminalu

Limitace shimming útoku:

• Zachycená data obsahují časové razítko - nelze znovu použít
• Replay protection - každý cryptogram je unikátní
• Bez PIN kódu jsou data prakticky nepoužitelná
• Moderní EMV implementace mají dodatečné ochranné mechanismy

Pokročilé EMV útoky

Downgrade útok:

1. Útočník přinutí terminál používat magnetický pruh místo čipu
2. Zablokuje komunikaci s čipem pomocí šumu nebo hardware
3. Terminál přejde do "fallback" režimu
4. Transakce proběhne přes nezabezpečený magnetický pruh

SIM swap pro EMV:

1. Útočník získá kopii SIM karty obětí
2. Zachytí SMS s autorizačními kódy
3. Použije kombinaci EMV dat a SMS kódů pro neautorizované transakce

RFID/NFC karty: Bezkontaktní rizika

Struktura NFC platební karty

NFC karta obsahuje několik vrstev zabezpečení:

Aplikační vrstva:

• PPSE (Proximity Payment System Environment) - seznam aplikací
• AID (Application Identifier) - identifikátor platební aplikace
• Application data - šifrovaná data aplikace

Bezpečnostní vrstva:

• DDA/SDA klíče - pro digitální podpis
• AC (Application Cryptogram) - pro ověření transakcí
• CVN (Cryptogram Version Number) - verze kryptografického algoritmu

RFID Skimming - bezkontaktní kopírování

Vybavení pro RFID útok:

1. NFC čtečka s upraveným firmwarem (100-300 USD)
2. Anténa s vysokým ziskem pro čtení na větší vzdálenost
3. Software pro analýzu NFC protokolů
4. Power amplifier pro zesílení signálu

Proces RFID skimmingu:

1. Proximity detection - detekce karty do 10 cm
2. APDU commands - poslání standardních NFC příkazů
3. Data extraction - extrakce dostupných dat
4. Response analysis - analýza odpovědi karty

Co lze získat z NFC karty:

✓ PAN (Primary Account Number) - číslo karty
✓ Expiration Date - datum platnosti
✓ Cardholder Name - jméno držitele (ne vždy)
✓ Transaction Log - historie posledních transakcí
✓ Application Data - některá metadata
✗ CVV/CVC - není na čipu
✗ PIN - není uložen na kartě
✗ Static Authentication Data - jsou šifrovaná

Relay Attack - propojování signálů

Princip relay útoku:

1. Reader device - u oběti, zachytí NFC signál
2. Writer device - u platebního terminalu
3. Communication link - spojení mezi zařízeními (WiFi/4G)
4. Real-time relay - přenos signálu v reálném čase

Technické provedení:

1. Útočník s NFC čtečkou se přiblíží k oběti (metro, fronta)
2. Druhý útočník s NFC emulátorem je u platebního terminalu
3. Signál z oběťovy karty se v reálném čase přenese k terminalu
4. Transakce proběhne, jako by oběť platila osobně

Ochrana proti relay útokům:

• Time-based protection - měření času odpovědi
• Distance bounding - ověření vzdálenosti karty
• Motion detection - detekce pohybu karty během transakce

NFC platby v telefonu: Moderní zabezpečení

Tokenizace - základ bezpečnosti

Jak tokenizace funguje:

1. Enrollment - registrace karty do telefonu
2. Token request - požadavek na vytvoření tokenu
3. Token provisioning - vytvoření unikátního tokenu pro kartu
4. DPAN creation - Device PAN nahrazuje skutečné číslo karty

Struktura tokenu:

Původní PAN: 4532 1234 5678 9012
Device Token: 4532 4815 XXXX XXXX
Token Expiry: 12/26 (nezávislé na kartě)
Cryptogram Key: Unikátní pro každou transakci

Secure Element a Hardware Security Module

Secure Element (SE) architektúra:

• Embedded SE - čip přímo v telefonu
• SIM-based SE - využití zabezpečené SIM karty
• Cloud-based SE - Host Card Emulation (HCE)

Hardware Security Module funkce:

1. Key generation - generování kryptografických klíčů
2. Cryptographic operations - šifrování/dešifrování
3. Secure storage - bezpečné ukládání citlivých dat
4. Tamper resistance - ochrana proti fyzickým útokům

Biometrická autentifikace

Typy biometrického ověření:

• Fingerprint - otisk prstu (nejčastější)
• Face recognition - rozpoznání obličeje
• Iris scan - skenování duhovky
• Voice recognition - rozpoznání hlasu

Bezpečnostní protokol:

1. Biometric capture - zachycení biometrických dat
2. Template matching - porovnání s uloženým vzorem
3. Liveness detection - ověření živé osoby
4. Secure unlock - odemčení platební aplikace

Dynamic Cryptogram - revoluce v zabezpečení

Generování cryptogramu:

Input data:
- ATC (Application Transaction Counter): 0001
- UN (Unpredictable Number): A1B2C3D4
- Amount: 00000050000 (500,00 CZK)
- Terminal ID: 12345678

Processing:
Cryptogram = HMAC-SHA256(MasterKey, InputData + TimeStamp)
Result: 8F4A2B1C (unikátní pro tuto transakci)

Proč je to bezpečné:

• Každá transakce má jiný cryptogram
• Starý cryptogram nelze znovu použít
• Časové razítko zabraňuje replay útokům
• Master klíč není nikdy přenášen

Srovnání bezpečnosti platebních metod

Bezpečnostní matice

Technologie	Šifrování	Tokenizace	Biometrie	Replay ochrana	Celkové skóre
Magnetický pruh	Žádné	Ne	Ne	Ne	1/10
EMV čip	Základní	Částečné	Ne	Ano	6/10
NFC karta	Ano	Částečné	Ne	Ano	7/10
NFC telefon	Pokročilé	Úplné	Ano	Ano	9/10

Praktická rizika v realném světě

Pravděpodobnost úspěšného útoku:

• Skimming magnetického pruhu: 85% úspěšnost
• Shimming EMV čipu: 15% úspěšnost
• RFID skimming: 5% úspěšnost
• NFC telefon útok: <1% úspěšnost

Finanční dopad při kompromitaci:

• Magnetický pruh: Úplný přístup k účtu
• EMV čip: Omezené na bezkontaktní limit
• NFC karta: Omezené na bezkontaktní limit
• NFC telefon: Téměř nulový (tokenizace)

Obranné strategie pro jednotlivé technologie

Ochrana magnetického pruhu

Preventivní opatření:

• Preferujte terminály s čiprových čtečkou
• Vizuálně kontrolujte čtečku před každým použitím
• Zakrývejte PIN celou rukou, ne jen prsty
• Používejte bankomaty uvnitř bank
• Nastavte si SMS notifikace pro všechny transakce

Detekční techniky:

• Sledujte neobvyklé transakce v aplikaci banky
• Pravidelně kontrolujte výpisy účtu
• Nahlaste jakékoli podezřelé aktivity do 24 hodin

Ochrana EMV čipů

Technické postupy:

• Vždy preferujte čip před magnetickým pruhom
• Při chybě čipu požadujte jiný terminál
• Nepovolte "fallback" na magnetický pruh
• Používejte contactless místo vkládání čipu

Monitorování:

• Kontrolujte, zda terminál skutečně čte čip
• Sledujte proces ověření PIN na displeji
• Ověřte si částku před potvrzením transakce

Ochrana RFID/NFC karet

Fyzická ochrana:

• Používejte RFID blocking peněženky
• Nosice maximálně 2 bezkontaktní karty současně
• Udržujte karty v ochranných obalech
• Vypněte bezkontaktní funkci, pokud ji nepoužíváte

Behaviorální ochrana:

• Buďte si vědomi svého okolí při platbách
• Neplaťte bezkontaktně v přeplněných prostorách
• Sledujte vzdálenost od cizích osob s elektronickými zařízeními

Maximalizace bezpečnosti NFC telefonů

Nastavení zabezpečení:

• Aktivujte nejpřísnější biometrické ověření
• Nastavte krátký timeout pro uzamčení telefonu
• Používejte silné heslo/PIN pro telefon
• Pravidelně aktualizujte operační systém

Aplikační bezpečnost:

• Používejte pouze oficiální platební aplikace (Apple Pay, Google Pay)
• Nezkoušejte alternativní nebo upravené aplikace
• Pravidelně kontrolujte oprávnění aplikací
• Nastavte notifikace pro každou transakci

Pokročilá opatření:

• Aktivujte remote wipe pro případ krádeže
• Používejte VPN při připojení k veřejným WiFi
• Pravidelně měňte biometrické vzory
• Monitorujte aplikační logy bezpečnosti

Budoucnost platební bezpečnosti

Kvantová kryptografie

Vyvíjí se kvantové šifrování, které bude prakticky neprůstřelné:

• Quantum key distribution - distribuce kvantových klíčů
• Post-quantum cryptography - algoritmy odolné vůči kvantovým počítačům
• Quantum random number generators - skutečně náhodná čísla

Pokročilá biometrie

Nové biometrické technologie přinášejí vyšší bezpečnost:

• Vein recognition - rozpoznání žil v ruce
• Heartbeat analysis - analýza srdečního rytmu
• Brain-computer interfaces - přímé rozhraní mozek-počítač
• DNA verification - ověření DNA z pouhého dotyku

Blockchain a distribuované technologie

• Decentralized identity - distribuovaná správa identit
• Smart contracts - automatické ověřování transakcí
• Zero-knowledge proofs - ověření bez odhalení dat
• Distributed ledger - nehacknutelný záznam transakcí

Závěr: Evoluce zabezpečení vs. evoluce útoků

Bezpečnost platebních karet prošla dramatickou evolucí od jednoduchých magnetických pruhů po sofistikované biometrické systémy s kvantovou kryptografií. Každá nová technologie přinesla vyšší úroveň zabezpečení, ale současně vyvolala nové typy útoků.

Klíčové pozorování:

• Magnetický pruh zůstává nejzranitelnější a nejčastěji zneužívanou technologií
• EMV čipy poskytují významné zlepšení, ale nejsou imunní vůči pokročilým útokům
• NFC karty nabízejí dobrou rovnováhu mezi pohodlím a bezpečností
• NFC telefony představují současný vrchol platební bezpečnosti

Doporučení pro uživatele:

1. Migrujte na nejmodernější technologie - používejte NFC platby v telefonu kde to jde
2. Zůstaňte informovaní - sledujte nové typy útoků a obranné techniky
3. Implementujte vrstevnatou obranu - kombinujte technická opatření s opatrným chováním
4. Pravidelně monitorujte - kontrolujte transakce a nahlašte podezřelé aktivity

Budoucnost platební bezpečnosti bude závisit na našech schopnostech předvídat a předcházet novým typům útoků dříve, než se stanou rozšířenými. Kombinace pokročilých technologií s osvětou uživatelů zůstává naším nejlepším nástrojem v tomto neustálém boji mezi bezpečností a kriminalitou.

The post Kopírujeme aneb platební karty: Anatomie útoků na platební technologie first appeared on Hard Wired.

Policejní Přístup k Šifrování: EU Schvaluje Kontroverzní Zákon

Podle Evropské komise nemá policie přístup k důležitým důkazům v 85 % vyšetřovaných případů kvůli šifrované komunikaci. Evropská unie proto plánuje zavést nový kontroverzní zákon, který by měl od příštího roku umožnit bezpečnostním složkám přístup k šifrovaným zprávám na populárních platformách jako WhatsApp a Messenger. Tento krok je především reakcí na nedávné teroristické útoky v Rakousku a Francii. Návrh však vyvolává vážné obavy o zachování soukromí desítek milionů evropských uživatelů, jelikož by znamenal vytvoření takzvaného "zadního vchodu" do šifrovacích systémů.

EU zavádí nový zákon umožňující policii číst šifrované zprávy

Evropský parlament společně s Radou EU nyní připravuje legislativu, která by umožnila bezpečnostním složkám přístup k šifrovaným zprávám. Tato iniciativa je součástí širší bezpečnostní strategie ProtectEU zaměřené na boj proti digitální kriminalitě. V prosinci 2020 Rada přijala usnesení o šifrování, ve kterém zdůrazňuje nutnost "zajistit bezpečnost prostřednictvím šifrování i bezpečnost navzdory šifrování".

Konkrétní návrhy počítají s několika možnými technickými řešeními. Jednou z možností je tzv. "client-side scanning", kdy by zprávy byly kontrolovány ještě před jejich zašifrováním přímo na zařízení uživatele. Další variantou je vytvoření "předních vrátek" (front-door) – právního rámce umožňujícího zákonný přístup k šifrovaným datům bez nutnosti diktovat konkrétní technické řešení poskytovatelům služeb.

V roce 2022 Evropská komise představila kontroverzní návrh nařízení proti šíření materiálů zobrazujících sexuální zneužívání dětí, přezdívaný také "chat control". Podle kritiků by toto opatření znamenalo plošné sledování soukromých zpráv, včetně těch na službách s koncovým šifrováním.

Současný vývoj situace

Belgické předsednictví nedávno stáhlo návrh na sledování online komunikace z jednání Rady EU, protože nezískal dostatečnou podporu. Nicméně místopředseda vlády Ivan Bartoš varoval, že "bitva skončila ve prospěch ochrany soukromí, ale válka u konce ještě není".

Důležitou roli v této diskusi hraje evropský inspektor ochrany údajů, který upozorňuje, že návrhy na oslabení šifrování mohou ohrozit demokratické hodnoty. Zástupci bezpečnostních složek naopak argumentují, že nemohou účinně bojovat proti závažné kriminalitě bez přístupu k digitálním důkazům.

Europoslanci vyzvali hlavy členských států, aby se zabývaly otázkou digitálních dat tak, "aby bylo možné legálně sbírat a využívat digitální důkazy" a současně "zaručit spolehlivost" služeb využívajících šifrování. Mluvčí Evropské komise ujistil, že EU hledá způsob, jak získat legální přístup k digitálním důkazům "aniž by bylo nutné zrušit či oslabit šifrování".

České ministerstvo vnitra již pracuje na implementaci směrnice EU 2023/977 o výměně informací mezi donucovacími orgány, což může souviset s připravovanými změnami v oblasti přístupu k šifrované komunikaci.

Technologické společnosti čelí dilema mezi bezpečností a soukromím

Poskytovatelé šifrovaných komunikačních služeb se ocitají na rozcestí mezi splněním požadavků evropské legislativy a zachováním bezpečnosti svých uživatelů. Návrhy EU na kontrolu obsahu konverzací by znamenaly buď prolomení šifrování, nebo vytvoření systému, který by umožnil bezpečnostním složkám přístup k zašifrovaným zprávám.

Alternativní komunikátory jako Signal, Threema a TeleGuard se k této problematice již vícekrát vyjádřily s jasným stanoviskem – pokud EU kontrolu chatů prosadí, raději by se z evropského trhu stáhly, než aby implementovaly požadované změny. Naopak WhatsApp zatím plány na kontrolu chatů veřejně nekritizoval, což odborníci přisuzují snaze udržet si dominantní pozici na trhu.

Navrhovaná řešení zahrnují metodu "exceptional access", kdy by poskytovatel komunikační služby přidal úřady jako dalšího, tajného účastníka sledovaného hovoru či chatu. Ačkoliv technicky nejde o předávání šifrovacích klíčů, i tato metoda v praxi znamená vytvoření zadních vrátek v komunikačních systémech.

Experti na kyberbezpečnost upozorňují na značná rizika:

• Zadní vrátka mohou být zneužita nejen státními orgány, ale i hackery
• Odstranění koncového šifrování by podkopalo základy důvěry v digitální komunikaci
• Systémy pro skenování obsahu by mohly být zneužity k politické kontrole

Je třeba poznamenat, že technologie kybernetického dohledu mohou mít legitimní využití, nicméně v rukou některých států se stávají nástrojem pro rozsáhlé porušování lidských práv a potlačování občanské společnosti. Proto podle zvláštního zpravodaje Rady OSN pro lidská práva by mělo být vyhlášeno moratorium na celosvětový prodej nástrojů sledování, dokud nebudou zavedeny lidskoprávní pojistky.

Situace vytváří pro technologické společnosti složité dilema – buď vyhovět požadavkům EU a riskovat ztrátu důvěry uživatelů, nebo zachovat silné šifrování a potenciálně ztratit přístup na evropský trh. Podle kritiků by v konečném důsledku mohlo dojít k situaci, kdy kromě WhatsAppu mnoho alternativ nezbude.

Experti varují před bezpečnostními riziky backdoorů

Bezpečnostní experti po celém světě opakovaně varují před závažnými riziky spojenými s implementací "zadních vrátek" do šifrovacích systémů. "Nic takového jako zadní vrátka, ke kterým mají přístup jen dobří lidé, neexistuje," upozorňuje odbornice Whittakerová, která zdůrazňuje, že v oblasti bezpečnosti šifrování neexistuje žádná střední cesta.

Navzdory pokročilým kryptografickým metodám nejsou šifrovací systémy zcela imunní vůči rizikům. Hrozby mohou vyplývat z:

1. Pokročilých metod prolomení algoritmů
2. Chybné implementace kryptografických nástrojů
3. Technologického pokroku

Zadní vrátka v praxi představují zranitelnost, kterou mohou využít nejen oprávněné orgány, ale i útočníci.

Microsoft oficiálně varuje, že i nejbezpečnější kryptografické algoritmy mohou být ohroženy, pokud jsou špatně implementovány. Společnost především doporučuje, aby veškerá důvěrná data byla přenášena přes protokol TLS (Transport Layer Security). Odborníci navíc zdůrazňují, že jakýkoliv systém umožňující výjimečný přístup dramaticky zvyšuje riziko zneužití.

V praxi již můžeme vidět, jak společnosti reagují na požadavky narušit šifrování:

• Apple například raději vypnul funkci koncového šifrování pro všechny britské uživatele, než aby implementoval slabiny požadované britskou vládou
• Signal zase otevřeně deklaroval, že "raději opustí trh, než by se podřídil něčemu, co by katastrofálně narušilo schopnost poskytovat soukromou komunikaci"

Zvlášť znepokojující je riziko, které představují kvantové počítače. Pokud dosáhnou dostatečné výkonnosti, budou schopny prolomit běžně používané algoritmy jako RSA a ECC během relativně krátké doby. To znamená, že současná diskuse o zadních vrátkách probíhá v době, kdy celá infrastruktura kryptografické ochrany čelí zásadním výzvám.

Podle zprávy Europolu dochází k výraznému nárůstu kybernetických útoků, přičemž organizovaný zločin se stále více přesouvá do online prostředí. V České republice byl v roce 2023 zaznamenán téměř dvojnásobný počet kybernetických útoků oproti roku 2022, celkem 262 incidentů. Z tohoto důvodu mnozí experti varují, že jakékoliv oslabení šifrovacích standardů může vést k ještě vyššímu počtu úspěšných útoků.

Závěr

Současná situace kolem šifrování komunikace představuje zásadní rozcestí pro digitální bezpečnost v Evropě. Především návrh EU na vytvoření přístupu k šifrovaným zprávám vyvolává oprávněné obavy odborníků i běžných uživatelů. Technologické společnosti proto čelí složitému rozhodování mezi zachováním bezpečnosti svých platforem a splněním legislativních požadavků.

Zkušenosti z minulosti jasně ukazují, že jakékoliv oslabení šifrovacích systémů může mít dalekosáhlé následky. Současně narůstající počet kybernetických útoků zdůrazňuje potřebu silného šifrování. Nicméně snaha EU o kontrolu digitální komunikace naznačuje, že soukromí uživatelů bude i nadále předmětem intenzivní debaty.

Závěrem lze říci, že řešení této komplexní situace bude vyžadovat pečlivé vyvážení mezi oprávněnými zájmy bezpečnostních složek a základním právem občanů na soukromí. Budoucnost šifrované komunikace v EU tak zůstává nejistá, přičemž následující měsíce ukážou, zda převáží argumenty pro zachování silného šifrování, nebo požadavky na větší kontrolu digitální komunikace.

The post EU zavádí nový zákon umožňující policii číst šifrované zprávy first appeared on Hard Wired.