Не проходит и семь дней, дабы очередной банк не заявил о выпуске карт, стикеров MasterCard PayPass и Visa payWave или иных средств платежа на базе бесконтактных разработок. Портал Банки.ру узнал, защищены ли пользователи этих продуктов от «высокотехнологичных» мошенников.
Преимущества платежных средств, трудящихся без яркого контакта с терминалом, очевидны. По плану разработчиков PayPass, для оплаты приобретения посредством бесконтактной карты не требуется производить ее из рук, не требуется кроме того показывать ее кассиру.
Этим обеспечивается как удобство применения пластика, так и защита его данных от попадания не в те руки. Наряду с этим оплата в пределах маленькой суммы (1 тыс. рублей в Российской Федерации, 25 евро в Европе) не требует от держателя ввода ПИН-кода, что, например, разрешает применять бесконтактную карту как проездной билет на пригородный транспорт и городской.
И это само по себе порождает много вопросов касательно безопасности финансов держателя карты.
Бесконтактные средства платежа основаны на технологии RFID, подразумевающей применение микрочипа с антенной — так называемой RFID-метки. Большая часть таких меток пассивные, другими словами собственного питания не имеют. При попытке считывания метки чип активируется от изучения считывателя и выдает записанную на нем данные. Стандарт подразумевает срабатывание RFID-метки в 3—5 см от считывателя, но уже существуют достаточно компактные устройства, талантливые трудиться с меткой на дистанции до 30 см.
При совокупностей бесконтактных платежей встроенная в карту RFID-метка содержит базисные сведения о карте, в частности ее номер и дату срока действия. И, что самое увлекательное, передаются они считывателю в открытом, незашифрованном виде.
Как показывает опыт, этими разрешёнными может воспользоваться преступник для исполнения мошеннической трансакции.
Разработчики стандарта бесконтактных платежей, очевидно, не могли не предусмотреть функции обеспечения безопасности. В этом случае таковой функцией есть динамический CVV-код, другими словами код, изменяющийся при исполнении каждой трансакции.
Наряду с этим информации об простом CVV, разрешающем выполнять приобретения через Интернет, в RFID-метке не хранится. Казалось бы, этого хватит для защиты денег обладателя карты
Базисная разработка мошеннического снятия денег с таких карт очень несложна. Преступник, вооруженный несложным мобильным RFID-сканером (помещенным для маскировки в чехол для телефона либо маленькую сумку), отправляется в торговый комплекс, заполненный визитёрами, либо на станцию метро в час пик.
Пробираясь в толпе, он проводит сканером в близи от сумок и пиджаков карманов и внутренних курток ничего не подозревающих граждан. Со всех попавших в зону действия карт сканер запрашивает эти и приобретает их вместе с очередным динамическим CVV.
Сообщник преступника, получив информацию, посредством особого устройства записывает их на белый пластик (карту-клон) и отправляется выполнять приобретения ценой менее 1 тыс. рублей любая (один динамический CVV-код возможно применять лишь для одной трансакции, а следующего CVV белый пластик не знает). В то время, когда потом держатели таких отсканированных бесконтактных карт постараются совершить приобретение посредством пластика, совокупность найдёт повторное применение того же самого CVV и заблокирует карты.
Преступники к этому времени в далеком прошлом возьмут собственные товары и обратят их в деньги.
Как похитить деньги с бесконтактной карты ^ Взлом RFID