Бесконтактные карты, как считывать данные

Мы часто говорили о безопасности бесконтактных карт. Однако в последние недели эта тема снова стала очень актуальной.

Это известно уже давно: сторонние пользователи могут считывать данные бесконтактных карт, просто принося им терминал, оснащенный чипом NFC (Near Field Communication; например, любой Android-смартфон среднего и высокого радиуса действия).

NFC обеспечивает двустороннюю связь на короткие расстояния (обычно около десяти сантиметров); именно по этой причине технология все чаще используется не только в бесконтактных картах, но и для управления новыми платежными механизмами, которые фактически превращают мобильное устройство в «электронный кошелек» (Apple Pay, Android Pay, Samsung Pay, .. .).

Бесконтактные карты, как считывать данные

Бесконтактные кредитные карты содержат чип NFC и антенну, которые отвечают на запрос платежного терминала (POS) с использованием частоты 13,56 МГц.

Однако некоторые сканеры, созданные учеными, позволяют считывать данные бесконтактных карт с расстояния почти в один метр. Не только. Любой, у кого есть смартфон с чипом NFC, может, в свою очередь, считать данные бесконтактных кредитных карт, подойдя к мобильному устройству.

В самых людных местах (вспомните, например, переполненные автобусы в часы пик…), поэтому может быть далеко не невозможно прочитать данные бесконтактных карт, хранящиеся в кошельках и кошельках других.

Испанские исследователи Рикардо Родригес и Хосе Вила недавно продемонстрировали новый режим атаки, который могут использовать разработчики вредоносных программ.

На самом деле можно создавать вредоносные коды, способные использовать наличие чипа NFC для считывания данных бесконтактной кредитной карты пользователя.

На самом деле пользователи обычно держат Android-смартфон очень близко к кошельку (в сумке или кармане). Вот тогда и заключается в том, что вредоносное ПО, будучи однажды установленным на телефоне, может активировать использование NFC-чипа, считывать данные бесконтактных карт, которые могут находиться в непосредственной близости, и передавать их в другое место, отдавая в руки злоумышленников.

Исследование Родригеса и Вилы задокументировано. на этой странице.

В случае бесконтактной кредитной карты платеж авторизуется простым касанием самой карты к POS-терминалу, пока транзакция не будет выполнена.

Тот, кто устанавливает приложение, подобное Считыватель банковских карт NFC на устройстве Android, оснащенном чипом NFC, оно может считывать данные с бесконтактных кредитных карт.

Однако чип NFC не возвращает «код безопасности» (код CVV) на обратной стороне карты.

Поэтому, безусловно, верно, что в некоторых ситуациях, подойдя очень близко к бесконтактной карте, злоумышленник может прочитать ее общие данные (номер и срок действия). Однако он не может совершать покупки ни на одном сайте электронной коммерции. Любой продавец, который не требует явной вставки кода CVV, не будет нести ответственность в случае списания средств, не признанных законным владельцем кредитной карты.

Таким образом, единственный риск заключается в том, что злоумышленник может прочитать данные бесконтактной карты и использовать их на тех сайтах электронной коммерции, которые не требуют вставки CVV.

Кроме того, бесконтактные транзакции с использованием стандарта EMV: каждый раз, когда карта используется, интегральная схема (чип) генерирует уникальный код авторизации, который нельзя использовать повторно для последующих действий.

Другими словами, все последующие транзакции не могут использовать тот же одноразовый код, который использовался в предыдущих.

Терминал, считывающий данные бесконтактной кредитной карты по NFC, должен использовать криптографические ключи, полученные от сервера банка, принимающего транзакцию, и от платежной системы. Поскольку криптографические ключи выдаются серверами банка, расследование и отслеживание мошеннических транзакций будет довольно простым делом.

Стандарт EMV использует криптографию для защиты отдельных транзакций, но позволяет хранить ряд данных в виде открытого текста на чипе, установленном на кредитной карте. Именно эти данные с помощью считывателя NFC (например, установив ранее упомянутое приложение на совместимое Android-устройство) можно без проблем прочитать (среди них может быть и «история» последних покупок).

К сожалению, в Интернете есть несколько веб-сайтов, которые позволяют совершать покупки без ввода CVV-кода.

Любой, у кого есть одна или несколько бесконтактных карт и кто не хочет рисковать, может сложить лист алюминиевой фольги пополам и вложить в кошелек. На этом листе он поместит бесконтактные карты, которые таким образом больше не будут обнаруживаться даже в непосредственной близости.

Бесконтактные карты можно узнать по наличию на лицевой стороне напечатанного логотипа с изображением небольших арок (см. изображение в начале статьи).

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *