Кілька чистих платіжних карт, зчитувач радіочастотної ідентифікації (RFID) за 50 доларів і пристрій за 300 доларів, що намагнічує карти - це все, що необхідно для шахрайства з вашої банківською картою.
Візьміть вашу платіжну карту і переверніть її. Якщо на зворотному боці містяться слова "PayPass" або "Blink", універсальний значок бездротових даних у вигляді декількох дуг або ж інші малозрозумілі іконки, то можливо ваша карта вразлива для прихованого кишенькового шахрайства.
Існує можливість провести шахрайську трансакцію вашою карткою, використовуючи обладнання вартістю в кілька сотень доларів, причому зробити це непомітно через ваш гаманець, сумку або кишеню.
На конференції хакерів Shmoocon, Крістін Пейджет хотіла довести цей факт. Він давно відомий хакерам і наполегливо заперечується індустрією платіжних карт.
Крістін намагнічує фальшиву карту за допомогою вкрадених у добровольця даних
Якщо хтось ще сумнівався, що цей трюк працює, Крістін випадково «засвітила» номер карти на екрані перед аудиторією, що складається з хакерів і дослідників проблем безпеки. «Ви ж збиралися заблокувати цю карту, чи не так?» - сором'язливо додала вона.
Безконтактні картки набагато більш поширені, ніж нам здається. Згідно з даними Smart Card Association, в обігу перебуває близько ста мільйонів карт, які читаються RFID. Visa називає цю технологію payWave, MasterCard - PayPass, Discover - Zip, American Express - ExpressPay. Десятки присутніх на конференції хакерів були користувачами таких карт, і близько чверті не підозрювали про це, поки Крістін не запропонувала їм розглянути зворотний бік їх карт.
Крістін Пейджет, відомий дослідник проблем безпеки консалтингової фірми Recursion Ventures (до зміни статі носила ім'я Крістофер Пейджет), використовувала свій особистий зчитувач як звичайний касовий термінал. За її словами, шахрай може просто «зіткнутися» зі своєю жертвою, маючи зчитувач в кишені плаща або ж просканувати RFID-сигнал через шкіряний гаманець або тканину одягу. Щоб отримати дані, дотик не обов'язково.
Пейджет підкреслює, що ця схема не демонструє якийсь окремий провал в системі, а більш фундаментальну проблему. Справа в тому, що наявні у вільному продажу RFID-зчитувачі можуть швидко і легко отримувати дані карт, так само як і касові термінали.
Як заявляє Ренді Вандерхув, виконавчий директор Smart Card Alliance, за 6 років не було зареєстровано жодної атаки подібного роду, хоча сотні мільйонів людей користуються подібними картами. На його думку, ця технологія недоступна для отримання прибутку шахраями.
Більш того, безконтактні карти мають додатковим інструментом безпеки, який відрізняє їх від традиційних карт. Разом з шестнадцатізначним номером карти і датою закінчення терміну користування, ці карти пропонують одноразовий CVV код під час кожного сканування. Ці коди використовуються тільки для однієї трансакції і тільки в тому порядку, в якому вони були згенеровані. Якщо платіжний процесор виявляє, що кілька трансакцій були проведені з однаковим кодом або що коди використовуються для здійснення трансакцій в неправильним порядку, карта буде заблокована. Тому шахрай може використовувати вкрадений код тільки одного разу. У разі, якщо власник використовує карту до того, як злочинець зробить незаконний платіж, все трансакції по цій карті будуть заблоковані
Пейджет заявляє, що мінливий одноразовий СVV призведе шахрая до необхідності шукати відразу кілька жертв. Злочинець може, наприклад, стояти на багатолюдній станції, зчитувати номери карт перехожих і пересилати дані спільникам, які будуть проводити трансакції в реальному часі. Може бути, ці п'ятдесят чоловік навіть і не помітять чужі трансакції в своїх звітах про платежі.
Найпростіше рішення проблеми - знищити RFID-чіп, поклавши платіжну карту в мікрохвильову піч на три секунди (зверніть увагу, що п'ять секунд приведуть до займання карти).
Guardbunny, пристрій для захисту платіжних карт
Фірма Пейджет працює над іншим рішенням проблеми. Вони розробляють пристрій для захисту кредитних карт GuardBunny, яке поміщається в гаманець і блокує RFID сигнал.
Вже існуючі на ринку пристрої подібного роду для паспортів і карт представляють собою шар алюмінію або сталі, який може долатися потужними зчитувачами. На відміну від них Guardbunny глушить радіосигнал. До того ж, Guardbunny видає звук в разі небезпеки і запалює вогники на іконці у вигляді зайця. Пейджет визнає, що деякі види атак не можуть бути відображені навіть Guardbunny, але вони вимагають самостійного конструювання зчитувача, а не використання пятідесятідолларового пристрої, купленого на eBay.