Бесконтактный грабеж

Не проходит и семь дней, дабы очередной банк не заявил о выпуске карт, стикеров MasterCard PayPass и Visa payWave или иных средств платежа на базе бесконтактных разработок. Портал Банки.ру узнал, защищены ли пользователи этих продуктов от «высокотехнологичных» мошенников.

Преимущества платежных средств, трудящихся без яркого контакта с терминалом, очевидны. По плану разработчиков PayPass, для оплаты приобретения посредством бесконтактной карты не требуется производить ее из рук, не требуется кроме того показывать ее кассиру.

Этим обеспечивается как удобство применения пластика, так и защита его данных от попадания не в те руки. Наряду с этим оплата в пределах маленькой суммы (1 тыс. рублей в Российской Федерации, 25 евро в Европе) не требует от держателя ввода ПИН-кода, что, например, разрешает применять бесконтактную карту как проездной билет на пригородный транспорт и городской.

И это само по себе порождает много вопросов касательно безопасности финансов держателя карты.

Бесконтактные средства платежа основаны на технологии RFID, подразумевающей применение микрочипа с антенной — так называемой RFID-метки. Большая часть таких меток пассивные, другими словами собственного питания не имеют. При попытке считывания метки чип активируется от изучения считывателя и выдает записанную на нем данные. Стандарт подразумевает срабатывание RFID-метки в 3—5 см от считывателя, но уже существуют достаточно компактные устройства, талантливые трудиться с меткой на дистанции до 30 см.

При совокупностей бесконтактных платежей встроенная в карту RFID-метка содержит базисные сведения о карте, в частности ее номер и дату срока действия. И, что самое увлекательное, передаются они считывателю в открытом, незашифрованном виде.

Как показывает опыт, этими разрешёнными может воспользоваться преступник для исполнения мошеннической трансакции.

Разработчики стандарта бесконтактных платежей, очевидно, не могли не предусмотреть функции обеспечения безопасности. В этом случае таковой функцией есть динамический CVV-код, другими словами код, изменяющийся при исполнении каждой трансакции.

Наряду с этим информации об простом CVV, разрешающем выполнять приобретения через Интернет, в RFID-метке не хранится. Казалось бы, этого хватит для защиты денег обладателя карты

Базисная разработка мошеннического снятия денег с таких карт очень несложна. Преступник, вооруженный несложным мобильным RFID-сканером (помещенным для маскировки в чехол для телефона либо маленькую сумку), отправляется в торговый комплекс, заполненный визитёрами, либо на станцию метро в час пик.

Пробираясь в толпе, он проводит сканером в близи от сумок и пиджаков карманов и внутренних курток ничего не подозревающих граждан. Со всех попавших в зону действия карт сканер запрашивает эти и приобретает их вместе с очередным динамическим CVV.

Сообщник преступника, получив информацию, посредством особого устройства записывает их на белый пластик (карту-клон) и отправляется выполнять приобретения ценой менее 1 тыс. рублей любая (один динамический CVV-код возможно применять лишь для одной трансакции, а следующего CVV белый пластик не знает). В то время, когда потом держатели таких отсканированных бесконтактных карт постараются совершить приобретение посредством пластика, совокупность найдёт повторное применение того же самого CVV и заблокирует карты.

Преступники к этому времени в далеком прошлом возьмут собственные товары и обратят их в деньги.

Как похитить деньги с бесконтактной карты ^ Взлом RFID


Похожие заметки:

Понравилась статья? Поделиться с друзьями: