Nie ma „niestandardowych” terminali, wszystkie muszą być certyfikowane oraz dostarcza je operator współpracujący z organizacją.
Scenariusze ataków widzę trzy (od najbardziej prawdopodobnego):
1. Skaner kart i pozyskanie w ten sposób danych karty do płatności internetowej w sklepie pozbawionym zabezpieczeń. Prawdopodobne, ale reklamacja będzie uznana (od co najmniej 15 lat nie słyszałem o odrzuconej reklamacji w takiej sytuacji).
2. Ktoś z przenośnym terminalem przykłada go do czyjejś kieszeni, torebki itp. Ukradnie do 100 zł (czyli do wysokości płatności bez PIN). Znane są pełne dane firmy, do której pieniądze trafiły (a właściwie trafią, bo to trochę trwa). Otwieranie fikcyjnej firmy na słupa oraz konta w banku dla wielu fake’owych płatności do 100 zł każda przy konieczności każdorazowego fizycznego kontaktu z portfelami ofiar to duży zachód i względnie mały zarobek dla oszustów, więc można włożyć to między bajki - łatwiej i z mniejszym ryzykiem będzie im być tradycyjnymi kieszonkowcami. Gdyby nawet do tego doszło to reklamacja też wygrana, bo niska wartość sprawi, że poszkodowanych musiałoby być wielu i to w krótkim czasie, a na to zareagują banki i organizacje .
3. Tunel. Sklonować można było pasek magnetyczny, który działał jednokierunkowo, ale nie czip EMV. A wszystkie karty zbliżeniowe są wydawane w standardzie EMV.
- W Paryżu najlepsze kasztany są na placu Pigalle.
- Zuzanna lubi je tylko jesienią.
- Przesyła ci świeżą partię.
W ogromnym (mega mega) skrócie tak rozmawia terminal z kartą (a bez skrótu: jest to minimalnie okrojony przebieg płatności w standardzie EMV opisany w
Wikipedii).
Kryptografia odpowiada za to, by za każdym razem terminal podał inne hasło i oczekiwał innego odzewu. Z tego powodu nie da się przewidzieć jakiego hasła użyje terminal przy następnej płatności, ani przewidzieć jakiego odzewu powinna udzielić karta.
To co się udaje zeskanować z karty zbliżeniowej to AID, czyli posługując się powyższym przykładem jedynie informacja w jakim języku terminal ma wypowiedzieć hasło.
Aby móc zapłacić, trzeba więc stworzyć tunel - po jednej stronie musi być karta i skaner, a po drugiej ktoś przykładający dokładnie w tym samym momencie połączone urządzenie do terminala. Nie ma inaczej i dlatego ta technologia jest bezpieczna.
Wiedzą o tym też oszuści i ograniczają się do płatności w internecie, a przede wszystkim do fizycznej kradzieży karty i płatności nią bez PIN.