Хакеры считывают данные кредиток на расстоянии
Современному карманнику не нужно даже прикасаться к своим жертвам, ведь он может использовать недорогие и доступные технологии и устройства для чтения информации с кредитных карт на расстоянии. Девушка-хакер Кристина Пейдж смогла доказать и показать возможности применения новых технологий в воровском деле во время своей презентации на конференции хакеров Shmoocon, которая совсем недавно прошла в Вашингтоне.
При помощи компактного устройства - картридера Vivotech RFID (использует технологию радиочастотной идентификации и стоит всего 50 долларов), она смогла получить данные кредитных карт сразу нескольких добровольцев, которые согласились постоять рядом с ней на сцене всего несколько минут. Затем, на глазах у притихшей публики, с использованием еще одного инструмента, стоимость которого не превышает трехсот долларов, она записала данные на пустые карты. Но это еще не все, Кристина продемонстрировала возможности небольшого приложения для iPhone, также позволяющего считывать данные кредиток - и "облегчила" баланс одного из зрителей на 15 долларов! Правда, немедленно выплатила компенсацию наличными. Опасения, что хакеры будут воровать персональные данные или банковскую информацию кредитных карт, возникали и ранее.
Производители кошельков и бумажников, обложек для паспортов и кредитных карт всячески укрепляли и оснащали свою продукцию тонкими листами из нержавеющей стали или алюминиевой фольгой, чтобы блокировать их содержимое от нежелательных радиосигналов и возможности несанкционированного снятия информации. Сервисы, связанные с возможностью бесконтактных платежей, растут, они востребованы как покупателями, так и поставщиками товаров и услуг, очень скоро кредитные карты с поддержкой RFID станут использоваться повсеместно (можно легко определить, имеет ли ваша кредитная карта RFID- возможности - по специальному значку). Например, в Канаде кредитки Visa payWave и MasterCard PayPass c поддержкой RFID уже значительно облегчают и ускоряют оплату через специальные терминалы в тысячах торговых центров по всей стране, в том числе ими можно оплачивать аттракционы в парках развлечений и обеды в Макдональдс.
При оплате через такие терминалы есть одно существенное ограничение - они не могут принимать платежи на сумму больше 50 долларов. И это еще не полный перечень средств защиты. MasterCard использует особую технологию шифрования, а Visa внедряет специальные чипы для предотвращения краж в системах бесконтактных платежей, как уверяют веб-сайты этих уважаемых компаний. Сокращается "рабочее" расстояние между картой и терминалом, карта должна быть в непосредственной близости от считывающей машины для успешной транзакции, и Visa добавляет к этому, что "только безопасные и сертифицированные устройства, которые находятся в ведении уполномоченных торговцев", могут обрабатывать эти карты.
Но с хорошим оборудованием в руках хакера кражу такой информации, как номера кредитных карт, сроки их действия и коды транзакций, очень легко совершить, просто потолкавшись на людной улице или постояв минутку в ожидании нужного сигнала светофора, сказал еще один участник хакерской конференции 3ric (произносится как Эрик) Йохансон. Но потребителям, по словам Йохансона, не стоит слишком беспокоиться по этому поводу - по крайней мере пока. Преступники всегда выбирают самый простой и безопасный способ, чтобы украсть информацию о кредитной карте, на данный момент это хищение через специальные веб-сайты, "не выходя из собственного дома", добавил он.
Украденные данные кредиток трудно использовать в сети Интернет, так как большинство веб-сайтов требует адрес для подтверждения. Каждая бесконтактная транзакция включает в себя уникальный код CCV, но «вполне достаточное» количество таких кодов можно собрать в течение нескольких секунд, пояснил Йохансон. Мошенничество может быть обнаружено только если потребитель использовал свою карту непосредственно перед тем, как сделает мошенническую покупку либо транзакцию хакер. Несмотря на некоторые технические проблемы, это просто вопрос времени, когда RFID-хаки станут для всех нас обычным явлением, сказал 3ric. Есть дополнительные меры, которые могут предпринять кредитно-карточные компании, чтобы защитить своих клиентов, например, потребуют ввести пин-код, но это вряд ли произойдет, потому что значительно замедлит процесс оплаты. В заключение хакер дал общий совет - требовать от своих банков и компаний-эмитентов кредитные карты без RFID-поддержки.
К концу 2012 года все канадские паспорта будут оснащены RFID-чипами. Но информация через RFID станет доступна только после проверки штрих-кода на второй странице паспорта, то есть паспорт должен быть открыт для того, чтобы получить данные. Новые американские паспорта уже используют эту технологию.
Игорь Грень
При помощи компактного устройства - картридера Vivotech RFID (использует технологию радиочастотной идентификации и стоит всего 50 долларов), она смогла получить данные кредитных карт сразу нескольких добровольцев, которые согласились постоять рядом с ней на сцене всего несколько минут. Затем, на глазах у притихшей публики, с использованием еще одного инструмента, стоимость которого не превышает трехсот долларов, она записала данные на пустые карты. Но это еще не все, Кристина продемонстрировала возможности небольшого приложения для iPhone, также позволяющего считывать данные кредиток - и "облегчила" баланс одного из зрителей на 15 долларов! Правда, немедленно выплатила компенсацию наличными. Опасения, что хакеры будут воровать персональные данные или банковскую информацию кредитных карт, возникали и ранее.
Производители кошельков и бумажников, обложек для паспортов и кредитных карт всячески укрепляли и оснащали свою продукцию тонкими листами из нержавеющей стали или алюминиевой фольгой, чтобы блокировать их содержимое от нежелательных радиосигналов и возможности несанкционированного снятия информации. Сервисы, связанные с возможностью бесконтактных платежей, растут, они востребованы как покупателями, так и поставщиками товаров и услуг, очень скоро кредитные карты с поддержкой RFID станут использоваться повсеместно (можно легко определить, имеет ли ваша кредитная карта RFID- возможности - по специальному значку). Например, в Канаде кредитки Visa payWave и MasterCard PayPass c поддержкой RFID уже значительно облегчают и ускоряют оплату через специальные терминалы в тысячах торговых центров по всей стране, в том числе ими можно оплачивать аттракционы в парках развлечений и обеды в Макдональдс.
При оплате через такие терминалы есть одно существенное ограничение - они не могут принимать платежи на сумму больше 50 долларов. И это еще не полный перечень средств защиты. MasterCard использует особую технологию шифрования, а Visa внедряет специальные чипы для предотвращения краж в системах бесконтактных платежей, как уверяют веб-сайты этих уважаемых компаний. Сокращается "рабочее" расстояние между картой и терминалом, карта должна быть в непосредственной близости от считывающей машины для успешной транзакции, и Visa добавляет к этому, что "только безопасные и сертифицированные устройства, которые находятся в ведении уполномоченных торговцев", могут обрабатывать эти карты.
Но с хорошим оборудованием в руках хакера кражу такой информации, как номера кредитных карт, сроки их действия и коды транзакций, очень легко совершить, просто потолкавшись на людной улице или постояв минутку в ожидании нужного сигнала светофора, сказал еще один участник хакерской конференции 3ric (произносится как Эрик) Йохансон. Но потребителям, по словам Йохансона, не стоит слишком беспокоиться по этому поводу - по крайней мере пока. Преступники всегда выбирают самый простой и безопасный способ, чтобы украсть информацию о кредитной карте, на данный момент это хищение через специальные веб-сайты, "не выходя из собственного дома", добавил он.
Украденные данные кредиток трудно использовать в сети Интернет, так как большинство веб-сайтов требует адрес для подтверждения. Каждая бесконтактная транзакция включает в себя уникальный код CCV, но «вполне достаточное» количество таких кодов можно собрать в течение нескольких секунд, пояснил Йохансон. Мошенничество может быть обнаружено только если потребитель использовал свою карту непосредственно перед тем, как сделает мошенническую покупку либо транзакцию хакер. Несмотря на некоторые технические проблемы, это просто вопрос времени, когда RFID-хаки станут для всех нас обычным явлением, сказал 3ric. Есть дополнительные меры, которые могут предпринять кредитно-карточные компании, чтобы защитить своих клиентов, например, потребуют ввести пин-код, но это вряд ли произойдет, потому что значительно замедлит процесс оплаты. В заключение хакер дал общий совет - требовать от своих банков и компаний-эмитентов кредитные карты без RFID-поддержки.
К концу 2012 года все канадские паспорта будут оснащены RFID-чипами. Но информация через RFID станет доступна только после проверки штрих-кода на второй странице паспорта, то есть паспорт должен быть открыт для того, чтобы получить данные. Новые американские паспорта уже используют эту технологию.
Игорь Грень
Компьютерная газета. Статья была опубликована в номере 08 за 2012 год в рубрике новости