SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпотажитота вкладка меню  сцылкиблогдумырецензиипоржатьфотоотчётыподдержать (12.5%)
^
Читаешь?
Интересно?
Поддержи.
SaAnVi.Ru
восклицалка
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотоотчёты
Don't speak Russian?В избранноеПодписка РейтингАктивностьПоддержать (12.5%)

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMODsMIDI
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайт (12.5%)Горячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

19.03.2024 DNS: проверяем товары тщательней

18.03.2024 HDD

12.03.2024 Спамер-идиот

11.03.2024 проект, затычки, голосование

05.03.2024 Над ЖЖ нависла Ж?

04.03.2024 вокал, кабели, шрифт

01.03.2024 Яндекс.Дурак

29.02.2024 Фейковые мастера на Авито

28.02.2024 Очередной межгалактический следователь

26.02.2024 падение, бар, bitcoin

весь блог ▶
популярные посты ▶

 

подпишизь

RSS новости RSS комментарии

Как защитить бесконтактную карту

значок бесконтактной оплаты
значок бесконтактной оплаты на карте

Тут перевыпустил мне дебетовую карту Сбербанк. А она уже - насильственно - с бесконтактной оплатой (NFC, разновидность RFID и вот это всё). Поднапрягся, пошёл изучать матчасть. Выяснил, что всё традиционно плохо. Лазеек куча, все довольно печальные; в общем - бесконтактная оплата - очередной способ стибрить ваши деньги нетрадиционными путями. Такими, что привычные базовые понятия безопасности не работают и от вас, в общем-то, ничего уже не зависит.

Например, сама бесконтактная технология (в случае с банковской картой) подразумевает, что считывание метки происходит на расстоянии нескольких сантиметров - т.е., её фактически надо поднести очень близко к терминалу. Однако, теоретически есть возможность сделать куда более "дальнобойные" терминалы. Частота 13.56МГц, только мощность побольше. Исследователи технологии NFC демонстрировали возможность снятия данных карточки на расстоянии 80см, чего вполне достаточно для "прохождения мимо жертвы".

Однако, с такими "дальнобойными терминалами" не всё так просто, поскольку каждый терминал должен иметь криптоключи, полученные по договору у какого-нибудь банка-эквайра. Соответственно, расследовать такое мошенничество в теории должно быть много проще: есть, за кого зацепиться.

Окей, предположим, что мошенникам будет сложновато получить "фейковый терминал", могущий делать транзакции. Но у стандарта EMV, которым криптуется летящая по воздуху информация с карт, есть допущение: возможность хранить некоторые данные в незашифрованном виде (привет криворуким девелоперам). Вроде как, от самого банка зависит, что шифровать, а что нет. В ходе опытов с NFC, исследователи с помощью доступного приложения для сканирования получали с испытуемых карт как минимум номер и срок действия. Эта информация, вообще-то, самими банками не рекомендуется к разглашению - а тут на тебе. Остаётся угадать только трёхзначный CVV-код на обратной стороне карты (имя и фамилию сервисы иногда не запрашивают, а если и запрашивают, могут не уделять этому особого внимания). Панацеей от этого считается 3-D Secure, согласно которому на телефон владельца карты должен быть отправлен код подтверждения. Но некоторые интернет-магазины проводят транзакцию без всякого кода (даже если подключено 3-D Secure)! Я лично сталкивался с тем, что в одном зарубежном магазине никакое 3-D Secure не потребовалось, хотя у меня была карта именно с 3-D Secure, и до этого случая ни на одном сайте без SMS-кода её никто не принимал.

Хотите ещё? Мне особо понравился способ с трояном на смартфоне с NFC, который "ловит" карточку владельца в кармане (смартфон и кошелёк обычно находятся недалеко друг от друга) и передаёт данные через интернет (он же у большинства включен) злоумышленникам. Своеобразный "мост" карта-смартфон-терминал. Да, тут вступает в действие "сложность фейкового терминала". Проблема в том, что терминал этот может находиться в любой стране, а страны у нас на Земле ой какие разные: не найти концов вполне реально.

Как известно постоянным читателям, я не особенно параноидален в части компьютерной безопасности, где всё в основном зависит от меня: выбор криптостойкого пароля, хранение конфиденциальных данных, настройки софта и т.п. Однако, если речь заходит о беспроводных технологиях, я становлюсь куда более беспокойным. В сфере, где существует мгновенное считывание данных "вдруг откуда ни возьмись", сам Бог велел расплодиться различным мошенническим схемам. Я не использую bluetooth на смартфоне (кстати, недавно в нём нашли огромную "дыру"). Включаю WiFi только по нужде, используя наиболее криптостойкие алгоритмы аутентификации (кстати, пока писалась статья, и в WiFi нашли дыру, именно в "криптостойких алгоритмах" :). В общем, понимаю, что передача данных по воздуху - весьма опасное дело, и более-менее контролирую его. В случае же с банковской картой и NFC никакого контроля с моей стороны быть уже не может. Как в анекдоте про динозавра: или встречу - или не встречу.

Впрочем, есть неожиданное решение проблемы с защитой бесконтактной карты: экранированный кошелёк. Уже доступен в услужливых интернет-магазинах. Вопрос только в том - а экранирует ли этот кошелёк хоть что-нибудь?

 

©2017, Анатолий Савенков
опубликовано: 29.10.2017

комментариев: 15

 

 
просмотров:
1293
глас народа:
+12 / -0
+зачёт    незачёт

голос будет учтён
в рейтинге

▶ Понравилось? Поддержи! ◀

список статей в категории

 

Комментарии

 

1  Observer0395
гость
30.10.2017 00:03
Ну я вижу один способ,простую дебетовую карту которая не подходит для пользования забугром,в таких вроде нет этого воздушного модуля,и хранить основной капитал на ней, а по мере необходимости перекидывать на воздушную мелкие суммы, хотя запара та еще
2  zeka-vasch
свой человек
30.10.2017 02:03
как обычно надо шапочку из фольги .
3  SaAnVi
tzar
30.10.2017 04:06
Кошелёчек, не шапочку. Но из фольги.
4  CTPAHHuK
свой человек
30.10.2017 06:26
Кошелёк из фольги будет хлипким.
Предлагаю из свинца.
:)

Пора пошукать дедовские портсигары...
5  SaAnVi
tzar
30.10.2017 06:27
Свинец, говорят - йад.
6  schmer
друг
30.10.2017 08:32
люмин? Кошелег изнутри под проклвдку металлоскотчем прошить? R666, ждем Вашего вердикта)
7  Саддам
свой человек
30.10.2017 12:59
А с каких это пор портсигары стали изготавливать из свинца?

Латунные - видел, из нержавейки - видел, из "дюрки"/алюминия - видел, из драгметаллов - видел. Но про портсигар из СВИНЦА - первый раз слышу. Карман не оторвёт? ;-)
8  CTPAHHuK
свой человек
31.10.2017 06:07
Свинцовый портсигар - это моя рацуха.
Заодно и от радиации будет защищать.
:)
9  R666
свой человек
31.10.2017 22:09
..ну, попробую ответы гамузом..:-)
к 2,3,6:
Дык, сами же предложили дельные и вполне реальные вещи! В принципе идея экранирования - стопудово правильная. Сгодится и пластинчатое портмоне-перекладка на резинках если пластинки будут алюминиевыми. Обшитых кошельков пока не попадалось, но еще лет 8 назад китайцы вовсю продавали в Таше мешочки для телефонов. Их обычно на торпедку вешали. Свойство они хитрое имели - на лежащий там аппарат дозвониться было невозможно. При ближайшем погляде обнаружилось, что мешочек был сшит из чего-то китайского четырехслойного с внутренними двумя слоями из мишурной плетенки. Очень мягкий и почти не шуршащий. Нувыпонели.
..можно вместе с экранированием лежащих ВНУТРИ портмоне карт вложить в самые наружные его карманы картонные листы с наклеенными чипами от сдохшик карт и/или RFID-ов от LTE и принтерных картриджей. (тут есть тонкости) И пусть злочинець выясняет, кто из этого букета будет бренчать громче..

к 7.8:
Свинцовый портсигар основательно запакостит карман. особенно если его владелец потеет. И еще покрасит руки и придаст сигарам неповторимый сладковатый привкус.
Если же цель именно оторвать карман - портсигар надо брать осмиевый.
Да, еще вот знающие люди посоветовали: від радіації краще почепити свинцевий гульфик-нацюцюрник. =)
10  R666
свой человек
01.11.2017 21:07
и вдагонку: уж если защищаться - то с головы до пят. Over9000 способов придумано уже. Например, это: [ссылка, veche.stezya.ru]
Предупреждаю сразу: травы там забористые, так что надо сначала хвостом вокруг табуретки обмотаться, чтобы не грохнуться сразу. Публика там тоже своеобразная. Кто шлём из фольги ладит, кто каску покупает, ну или чугунную панамку из казанка запиливает..
11  SaAnVi
tzar
02.11.2017 03:58
> Предупреждаю сразу: травы там забористые

Серебро - не металл. :)
12  R666
свой человек
02.11.2017 20:24
к 11:
>..Серебро - не металл.
Дык, что же тогда? Галоген, что ли? И вообще странно как-то: на упырей действует, а на радиоволну - нет? Гы! А нафига же тогда прокладки в волноводах серебрят? =)
13  schmer
друг
03.11.2017 05:24
*на упырей действует, а на радиоволну - нет?

Отсюда вывод - упырь природу квантовую имеет, не волновую отнюдь :)

а вообще я не понял про вече это - клуб кому делать нех, или таки гетто бобруйское?
14  R666
свой человек
03.11.2017 19:46
>..не понял про вече ..
И лучше не надо даже пытаться. Ибо без основательных познаний в теории тонких струн и конспирологии сдобренных манией преследования и другими фобиями там ловить абсолютно нечего. Во всяком случае обитателям того веча тараканы за постой в головах не платят.. %(
15  SaAnVi
tzar
12.11.2017 14:42
Кстати, тут и там наблюдаю забавное. Люди не знают, что у них карты с бесконтактной оплатой. :) Суют в терминал по привычке. А на карте - значок соответствующий.

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 1055 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

группа ВКонтакте Яндекс.Дзен Канал YouTube
 
Яндекс.Метрика Top.Mail.Ru
EC: 1504
новостя
15.03.2024
рецензия: Кентавр
09.03.2024
рецензия: Холоп 2
03.03.2024
банная: Хата азиата
22.02.2024
рецензия: Крушение
20.02.2024
статья: ASUS System Control Interface и иже с ними
07.02.2024
фотоприкол: Рыбалка
27.01.2024
фотоприкол: Простоквашино
23.01.2024
рецензия: Поехавшая
15.01.2024
статья: Firefox: пришла пора прощаться?
14.01.2024
рецензия: Синдром
все новости ▶

 

популярЪ

1. статья: Тёплый ламповый звук и сферический винил в вакууме

2. Хата азиата. Фото: NETDTHC.

3. статья: Firefox: пришла пора прощаться?

4. музыкальная пародия: Стоят девчонки

5. статья: ASUS System Control Interface и иже с ними

6. рецензия: Холоп 2

7. рецензия: Крушение (Plane)

8. музыкальная пародия: Винда

9. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

10. статья: Отключение ненужных служб Windows

весь TOP ▶

 

крайние каменты

1. блог: HDD

2. блог: проект, затычки, голосование

3. статья: Куда пропали компьютерные вирусы

4. рецензия: Холоп 2

5. блог: Отзыв о Nolix

6. блог: Искусственный интеллект, и почему он терпит поражение

7. блог: Web-oil.com: на каждого найдётся свой мошенник

8. блог: Спамер-идиот

9. Святые рёбрышки. Фото: GanZ. Кстати, успеха достигли: "народ" уже..

10. Пахата. Зато "с фрезою". Фото: NETDTHC.

 

на сайте
гости: 6

статистика за 10 минут

юзеры ▶
изображениезакрыть
dummy