Câteva carduri de plată curate, un cititor RFID pentru 50 de dolari și un dispozitiv de 300 de dolari, cărțile de magnet sunt tot ce trebuie să faci cu cardul de credit.
Luați cartea dvs. de plată și întoarceți-o. Dacă partea inversă conține cuvintele "PayPass" sau "Blink", o pictogramă universală de date fără fir în formă de mai multe arcuri sau alte pictograme obscure, atunci poate că cardul dvs. este vulnerabil la fraudă ascunsă de buzunar.
Există posibilitatea de a efectua o tranzacție frauduloasă cu cardul dvs., utilizând echipamente în valoare de câteva sute de dolari și faceți-o discret prin portofel, geantă sau buzunar.
La conferința hackerilor Shmoocon, Christine Pagetz a vrut să dovedească acest lucru. El a fost mult timp cunoscut hackerilor și a negat cu încăpățânare industria cărților de plată.
Kristin magnetizează cardul fals cu ajutorul furatului din datele voluntarilor
Dacă cineva se îndoia că lucrează la acest truc, Kristin a "aprins" accidental numărul de card de pe ecran în fața unei audiențe formate din hackeri și cercetători în domeniul securității. - Ai de gând să blochezi această carte, nu-i așa? Adăugă ea cu timiditate.
Cardurile fără contact sunt mult mai frecvente decât credem noi. Potrivit datelor Asociației Smart Card, există circa o sută de milioane de carduri în circulație care sunt citite de RFID. Visa numește această tehnologie payWave, MasterCard - PayPass, Discover - Zip, American Express - ExpressPay. Zeci de hackeri prezenți la conferință au fost utilizatori ai unor astfel de carduri și aproape un sfert nu bănuia acest lucru până când Kristin nu le-a invitat să se uite la spatele cărților.
Kristin Paget, un cunoscut cercetător de securitate la firma de consultanță Recursion Ventures (înainte de schimbarea podelei, numită Christopher Paget), și-a folosit cititorul personal drept casetă de ordine obișnuită. După cum a spus, înșelătorul se poate "ciocni" pur și simplu cu victima, având cititorul într-un buzunar de impermeabil sau pentru a scana semnalul RFID printr-un portofel din piele sau o țesătură de haine. Pentru a primi date, o atingere nu este necesară.
Paget subliniază că această schemă nu demonstrează nicio eșec deosebit în sistem, ci o problemă mai fundamentală. De fapt, cititorii RFID disponibili pe piață pot primi rapid și ușor date de pe card, precum și terminale POS.
Randy Vanderhov, director executiv al Smart Card Alliance, afirmă că nu au fost înregistrate atacuri de acest gen în șase ani, deși sute de milioane de oameni folosesc astfel de carduri. În opinia sa, această tehnologie nu este disponibilă pentru fraudatorii profitabili.
Mai mult decât atât, cardurile fără contacte au un instrument suplimentar de securitate care le distinge de cardurile tradiționale. Împreună cu numărul cardului de șaisprezece cifre și data expirării, aceste carduri oferă un cod CVV unic în timpul fiecărei scanări. Aceste coduri sunt utilizate numai pentru o singură tranzacție și numai în ordinea în care au fost generate. Dacă procesatorul plății detectează că s-au efectuat mai multe tranzacții cu același cod sau dacă se utilizează coduri pentru a face tranzacții în ordine greșită, cardul va fi blocat. Prin urmare, trișorul poate folosi o singură dată un cod furat. În cazul în care proprietarul utilizează cardul înainte ca infractorul să efectueze o plată ilegală, toate tranzacțiile de pe acest card vor fi blocate
Paget declară că schimbarea CVV unică va conduce fraudulosul la necesitatea de a căuta mai multe victime simultan. Delincatorul poate, de exemplu, să stea la o stație aglomerată, să citească numărul de cărți de trecători și să transmită date complicelor care vor efectua tranzacții în timp real. Poate că acești cincizeci de oameni nu vor observa chiar tranzacțiile altor persoane în rapoartele lor de plată.
Cea mai simplă soluție este de a distruge chip-ul RFID prin plasarea cartelei de plată în cuptorul cu microunde timp de trei secunde (rețineți că cinci secunde vor provoca apariția unui card).
Guardbunny, un dispozitiv pentru protejarea cardurilor de plată
Compania Pagetz lucrează la o altă soluție la această problemă. Ei dezvoltă un dispozitiv pentru a proteja cardurile de credit GuardBunny, care este plasat într-un portofel și blochează semnalul RFID.
Dispozitivele deja existente de acest tip pentru pașapoarte și carduri sunt un strat de aluminiu sau oțel care poate fi depășit de cititori puternici. Spre deosebire de ei, Guardbunny bate semnalul radio. În plus, Guardbunny face un sunet în caz de pericol și luminează luminile de pe pictogramă sub forma unui iepure. Paget recunoaște că unele tipuri de atacuri nu pot fi reflectate nici chiar de Guardbunny, însă ele necesită auto-designul cititorului, mai degrabă decât să utilizeze un dispozitiv de 50 de dolari cumpărat pe eBay.
Articole similare
Trimiteți-le prietenilor: