Hackerii au învățat să citească de la distanță informațiile de pe cartelele fără contacte
La conferință hacker siguranță Shmoocon companie de specialitate Kristin Paget recursie Ventures a avut loc o demonstrație de citire la distanță a informațiilor confidențiale, cu un card de credit, echipat cu un RFID radiochipom. De fapt, ani vorbesc deja despre vulnerabilitatea carduri contactless cinci, dar demonstrația actuală a arătat că protecția sigură a securității încă nu a apărut. Pentru a citi informațiile de pe cartela de a utiliza echipamente de ieftin în costul total al unui cuplu de sute de dolari.
Pentru citirea de la distanță a numărului cardului, a perioadei de valabilitate și a numărului CVV unic, a fost utilizat cititorul de carduri Vivotech, care poate fi cumpărat pe eBay pentru 50 USD. Mai mult, cu ajutorul unui magnetizator în valoare de 300 de dolari, aceste date pot fi scrise pe un card gol, raportează xakep.ru.
În timpul demonstrației, Paget a invitat pe scena un voluntar care nu este scos din buzunar un portofel cu cartela. date, și magnetizarea noilor cărți de lectură dura câteva minute, apoi a scos iPhone-ul cu modulul Paget Square, care vă permite să accepte plăți și transferate 15 $ în contul dvs. folosind doar cărțile care au făcut clona. Așa că nimeni nu a existat nici o îndoială veridicitatea focus, Paget a arătat numărul de carduri clonate pe marele ecran pe scenă.
În acest caz, cititorul de carduri RFID hacker nu diferă de terminalul legal al prizei. Cea mai dificilă problemă a unui astfel de atac este să aducă cititorul de carduri mai aproape de cea mai apropiată distanță posibilă de portofel cu cardul. În practică, puteți face acest lucru în vehicule aglomerate sau în linie, ascunzând dispozitivul în buzunar și "întâmplător" întâmpinând titularul cardului. În principiu, contactul fizic nu este chiar necesar, este suficient să se apropie victima cât mai aproape posibil.
Acest tip de atac - nu ceva ce o gaură de securitate, ci un viciu fundamental al sistemului de plăți, care este special făcută cât mai simplu posibil de utilizat. În versiunea actuală a tehnologiei RFID-card nu este transmis wireless la numele de utilizator, codul PIN și trei cifre CVV constantă. Reprezentanții sistemelor de plăți spun că în șase ani nu un singur caz documentat de acest tip de fraudă, care este o dovadă de protecție suficientă pentru acest tip de atacuri, în cazul în care un atacator este dificil să se mențină anonimatul lor.
De fapt, utilizarea unui CVV unic face posibilă efectuarea unei singure tranzacții de pe o cartelă clonată și, dacă încearcă oa doua tranzacție, va fi blocată.
Conform Paget, aceasta înseamnă doar că atacatorul trebuie să viziteze loc plin de viață în cazul în care o mulțime de carte „one-off“, puteți apela într-o noapte. Potrivit lui, ei sunt în compania recursie Ventures este acum lucrează la un Guardbunny portofel special cu RFID-detector, care va semnala încercarea de a scana - ochii unui iepure pe lumina portofel în sus și el rosteste sunete puternice. În plus, portofelul va fi o protecție proactivă împotriva scanare în loc de garnituri de aluminiu ineficiente, care este acum cusute în poșete și care nu salvează de la un scanner puternic.
Soluția Palo Alto Networks® Traps oferă o protecție avansată pentru stațiile de lucru, care previne exploatările sofisticate ale exploziilor care exploatează vulnerabilitățile de securitate și atacurile care utilizează programe malware necunoscute anterior
Datorită numeroaselor opțiuni pentru transformarea afacerii digitale care necesită investiții semnificative, Gartner a identificat cele mai bune 10 modalități de finanțare a tranziției către afaceri digitale.
Trimiteți-le prietenilor: