Евгений Золотов
Компьютерра
(Не)безопасность пластиковых карт всегда была горячая тема, но с распространением бесконтактных карт превратилась в настоящую фобию — не хуже ГМО фобии «мобильные телефоны-убийцы», выжигающего мозги Wi-Fi и тому подобное. Если вы вдруг не слышали вы, многие и очень многие уверены, что бесконтактный «пластик», которые так легко оплатить покупку в магазине провел около терминалов и готово! Pin-код не требуется), чтобы дать просто так деньги и «злых хакеров». Популярная пресса подогревает истерию, не вдаваясь в подробности. Страшные истории сменяют друг друга: если несколько лет назад эти веселились исследователя на security-конференции, теперь уже настоящие воры якобы пустой «кошелек» в общественном транспорте, чтобы просто ходить с жертвами. Что там на днях промелькнуло сообщение о устройство для «мелкосерийного» клонирование бесконтактные карты — до 15 штук в секунду!
При этом у разумных людей мысль не висит где-то, что все это — именно беспричинная фобия, паранойя (карты на рынке уже полтора десятилетия и конец мира прибыл). Но чтобы подтвердить подозрения, необходимо углубиться в технические вопросы, что времени всегда не хватает. Так давайте сделаем это вместе.
Бесконтактные карты отличаются не только от банков: для удостоверения личности, проезда в общественном транспорте и т. д., Но то, что в кошельках большинства (включая россиян) кредитной или дебетовой банковской карты, производится с опорой на стандарт ISO/IEC 14443. Этот стандарт предполагает использование в качестве канала коммуникации NFC-протокол (цифровые каналы на частоте 13.56 МГц). Получатель лишен источника питания и работает за счет энергии, наводимой в антенне, спрятанные, внутри одной карты. Этого достаточно, чтобы принять и передать определенное небольшое количество информации. NFC — медленный протокол (десятки килобайт в секунду), но в данном случае много и не требовалось. VISA payWave, MasterCard PayPass и отечественная «мир» работают именно так.
И главная проблема бесконтактного «пластика» не в технологиях, а в поверхностном понимания принципа их работы. Постарайтесь максимально облегчить горожанам адаптироваться к новым продуктам, маркетологом втолковали, что дебетовая карта с магнитной полосой через считывающее устройство и сделать бесконтактный «клик» на NFC-это один и тот же терминал. Так что люди, особенно в странах, где культура пользования «пластиком» имеет более чем десятилетний (Magnetic Strip — ребенок 70-х), не вижу функциональной разницы между одним и другим. И рассуждать примерно так: раньше карту пришлось достать из кошелька, и теперь вор может просто идти рядом со мной и воровать даже не прикасаясь к нему, всю информацию на моей кредитной карте!
Ну, отчасти это действительно так, но лишь отчасти. Вы также можете попробовать себя в роли такого «высокотехнологичного вор». Для этого не придется ничего паять, а также нелегальные карты, купить читатель. Довольно современный смартфон с поддержкой NFC. Установите одну из множества программ для чтения NFC-метки (NFC Basic Banking Card Reader, и т. д.), приложить карту к телефону, и — вуаля, укравший данные«». Тонкость в том, что это за данные.
Прямым текстом бесконтактные банковские карты только номер, дату курса, реже имя пользователя и хранить историю транзакций. Формально это уже достаточно, чтобы воспользоваться вашей картой без вашего ведома, например, чтобы что-то через Интернет: не все Интернет-магазины требуют CVV-код на обратной стороне карты (но не записываемый в память). Так что — да, это повод для беспокойства.
Но вот «клонирование» карта заполнена (запишите информацию на чистую карту-болванку и использовать его в обычных магазинах без ограничений), что обещают продавцы устройств, таких как вышеуказанные незаконные High-Speed Card Reader (всего за $800!), так не удастся. Почему? Потому что любая офлайновая транзакция предполагает общение между, грубо говоря, кассовый аппарат и чип-карты, причем на каждой такой сессии чип генерирует одноразовый ключ с использованием стабильных криптовалют. Клонировать вашу карту, вы должны криптоключи вытащить из него и сделать это с помощью NFC невозможно.
Реальные возможности бесконтактной карты воспользоваться только двумя. Чтобы получить во-первых, вор может собственный PoS-терминал с поддержкой бесконтактных карт. Спрятал это в карман, он фактически в состоянии ходить по людным местам и начать покупать, когда рядом оказывается чья-то карта. Однако имена мошенников не трудно вычислить, в данном случае (все терминалы будут ограничены в органах), да и размер бесконтактных транзакций и не требуют Pin-кодов, в какой-то небольшой суммы.
Во-вторых, вор может с помощью диаграммы ретрансляции радиосигнала — воспользовавшись опытом «коллег», угоняющих автомобили. Здесь необходимы, стоят два NFC-устройства. Первое нужно с картой в непосредственной близости потерпевшего, второй — по месту приобретения, скажем, возле кассы в магазине. В качестве таких устройств могут выступать, например, смартфонов, поддерживающих NFC. Кассу возглавляет продаже, второе NFC смартфон отправляет сигнал на первый, который передает свою карту, и по той же цепочке назад информация. Потерпевший ничего не заметил, и покупка была осуществлена. Сложность, однако, находится под рукой. Вам понадобиться специальное программное обеспечение, которое до сих пор, насколько известно, не существует. Плюс это, в свою очередь, ограничивает размер сделки.
Каков результат? Клонируйте бесконтактную карту не представляется возможным. Украсть с ней, если вы зашли к нам, вы можете использовать только небольшую сумму. Так что рассказы о несчастных, «не потерял тысячи долларов в один момент, карту из кармана», либо глупость, либо заблуждение (вероятно был скомпрометирован, иначе карта).
Единственной реальной угрозой останется кража номера кредитной карты и использовать его для несанкционированных покупок через сеть. Риск на самом деле невелик: вор должен приблизиться к вам слишком близко, плюс в развитых странах Банк обязан отменить эту сделку на и потребовать возместить сумму.