^
SaAnVi.Ru музыкальные пародии / смешное
фотоприколы / банная / фотообои
мои минусовки: HiFi / LoFi
политота / компота / житота / сцылки
блог / думы
рецензии на фильмы
избранные минусовки
фотоотчёты
Don't speak Russian?В избранноеПодпискаРейтингАктивностьПоддержатьКЖП

последние запросы

Яндекс поискпоиск Яндекса по сайту

  
нафигатор
*Главная
*Музыка
Приколы, пародии, ремиксыПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMIDI
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
*Чтиво
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиФинансыИстории моей жизниОт других авторовПолитотаКомпотаЖитотаСцылки
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
*Рингтоны
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайтГорячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

18.07.2018 ВРПВ: бензин, автомобиль, медовуха, BOFH

16.07.2018 музыка

07.07.2018 Яндекс индексирует документы Google Docs с паролями

03.07.2018 ВРПВ: вина, пенсия, список, ASIO, НДС

02.07.2018 Порезать шины, поцарапать краску... Ну-ну.

25.06.2018 Слепаков, пух

20.06.2018 Звонок и сразу сброс?

18.06.2018 почта, посещаемость

13.06.2018 ВРПВ: Самойлова, музыка, налог

11.06.2018 ошибка, футбол

весь блог >>

 

подпишизь

RSS новости RSS комментарии
ВКонтакте Facebook Канал YouTube LiveJournal

 

щотчики
Рейтинг@Mail.ru
Яндекс.Метрика
EC: 794

Как защитить бесконтактную карту

значок бесконтактной оплаты
значок бесконтактной оплаты на карте

Тут перевыпустил мне дебетовую карту Сбербанк. А она уже - насильственно - с бесконтактной оплатой (NFC, разновидность RFID и вот это всё). Поднапрягся, пошёл изучать матчасть. Выяснил, что всё традиционно плохо. Лазеек куча, все довольно печальные; в общем - бесконтактная оплата - очередной способ стибрить ваши деньги нетрадиционными путями. Такими, что привычные базовые понятия безопасности не работают и от вас, в общем-то, ничего уже не зависит.

Например, сама бесконтактная технология (в случае с банковской картой) подразумевает, что считывание метки происходит на расстоянии нескольких сантиметров - т.е., её фактически надо поднести очень близко к терминалу. Однако, теоретически есть возможность сделать куда более "дальнобойные" терминалы. Частота 13.56МГц, только мощность побольше. Исследователи технологии NFC демонстрировали возможность снятия данных карточки на расстоянии 80см, чего вполне достаточно для "прохождения мимо жертвы".

Однако, с такими "дальнобойными терминалами" не всё так просто, поскольку каждый терминал должен иметь криптоключи, полученные по договору у какого-нибудь банка-эквайра. Соответственно, расследовать такое мошенничество в теории должно быть много проще: есть, за кого зацепиться.

Окей, предположим, что мошенникам будет сложновато получить "фейковый терминал", могущий делать транзакции. Но у стандарта EMV, которым криптуется летящая по воздуху информация с карт, есть допущение: возможность хранить некоторые данные в незашифрованном виде (привет криворуким девелоперам). Вроде как, от самого банка зависит, что шифровать, а что нет. В ходе опытов с NFC, исследователи с помощью доступного приложения для сканирования получали с испытуемых карт как минимум номер и срок действия. Эта информация, вообще-то, самими банками не рекомендуется к разглашению - а тут на тебе. Остаётся угадать только трёхзначный CVV-код на обратной стороне карты (имя и фамилию сервисы иногда не запрашивают, а если и запрашивают, могут не уделять этому особого внимания). Панацеей от этого считается 3-D Secure, согласно которому на телефон владельца карты должен быть отправлен код подтверждения. Но некоторые интернет-магазины проводят транзакцию без всякого кода (даже если подключено 3-D Secure)! Я лично сталкивался с тем, что в одном зарубежном магазине никакое 3-D Secure не потребовалось, хотя у меня была карта именно с 3-D Secure, и до этого случая ни на одном сайте без SMS-кода её никто не принимал.

Хотите ещё? Мне особо понравился способ с трояном на смартфоне с NFC, который "ловит" карточку владельца в кармане (смартфон и кошелёк обычно находятся недалеко друг от друга) и передаёт данные через интернет (он же у большинства включен) злоумышленникам. Своеобразный "мост" карта-смартфон-терминал. Да, тут вступает в действие "сложность фейкового терминала". Проблема в том, что терминал этот может находиться в любой стране, а страны у нас на Земле ой какие разные: не найти концов вполне реально.

Как известно постоянным читателям, я не особенно параноидален в части компьютерной безопасности, где всё в основном зависит от меня: выбор криптостойкого пароля, хранение конфиденциальных данных, настройки софта и т.п. Однако, если речь заходит о беспроводных технологиях, я становлюсь куда более беспокойным. В сфере, где существует мгновенное считывание данных "вдруг откуда ни возьмись", сам Бог велел расплодиться различным мошенническим схемам. Я не использую bluetooth на смартфоне (кстати, недавно в нём нашли огромную "дыру"). Включаю WiFi только по нужде, используя наиболее криптостойкие алгоритмы аутентификации (кстати, пока писалась статья, и в WiFi нашли дыру, именно в "криптостойких алгоритмах" :). В общем, понимаю, что передача данных по воздуху - весьма опасное дело, и более-менее контролирую его. В случае же с банковской картой и NFC никакого контроля с моей стороны быть уже не может. Как в анекдоте про динозавра: или встречу - или не встречу.

Впрочем, есть неожиданное решение проблемы с защитой бесконтактной карты: экранированный кошелёк. Уже доступен в услужливых интернет-магазинах. Вопрос только в том - а экранирует ли этот кошелёк хоть что-нибудь?

 

©2017, Анатолий Савенков
опубликовано: 29.10.2017

комментариев: 15

 

 
dummy
просмотров:
536
глас народа:
+8 / -0
+зачёт    -незачёт

голос будет учтён
в рейтинге

список статей в категории

 

Комментарии

 

1  Observer0395   гость30.10.2017 00:03
Ну я вижу один способ,простую дебетовую карту которая не подходит для пользования забугром,в таких вроде нет этого воздушного модуля,и хранить основной капитал на ней, а по мере необходимости перекидывать на воздушную мелкие суммы, хотя запара та еще
2  zeka-vasch   свой человек30.10.2017 02:03
как обычно надо шапочку из фольги .
3  SaAnVi   tzar30.10.2017 04:06
Кошелёчек, не шапочку. Но из фольги.
4  CTPAHHuK   свой человек30.10.2017 06:26
Кошелёк из фольги будет хлипким.
Предлагаю из свинца.
:)

Пора пошукать дедовские портсигары...
5  SaAnVi   tzar30.10.2017 06:27
Свинец, говорят - йад.
6  schmer   друг30.10.2017 08:32
люмин? Кошелег изнутри под проклвдку металлоскотчем прошить? R666, ждем Вашего вердикта)
7  Саддам   свой человек30.10.2017 12:59
А с каких это пор портсигары стали изготавливать из свинца?

Латунные - видел, из нержавейки - видел, из "дюрки"/алюминия - видел, из драгметаллов - видел. Но про портсигар из СВИНЦА - первый раз слышу. Карман не оторвёт? ;-)
8  CTPAHHuK   свой человек31.10.2017 06:07
Свинцовый портсигар - это моя рацуха.
Заодно и от радиации будет защищать.
:)
9  R666   свой человек31.10.2017 22:09
..ну, попробую ответы гамузом..:-)
к 2,3,6:
Дык, сами же предложили дельные и вполне реальные вещи! В принципе идея экранирования - стопудово правильная. Сгодится и пластинчатое портмоне-перекладка на резинках если пластинки будут алюминиевыми. Обшитых кошельков пока не попадалось, но еще лет 8 назад китайцы вовсю продавали в Таше мешочки для телефонов. Их обычно на торпедку вешали. Свойство они хитрое имели - на лежащий там аппарат дозвониться было невозможно. При ближайшем погляде обнаружилось, что мешочек был сшит из чего-то китайского четырехслойного с внутренними двумя слоями из мишурной плетенки. Очень мягкий и почти не шуршащий. Нувыпонели.
..можно вместе с экранированием лежащих ВНУТРИ портмоне карт вложить в самые наружные его карманы картонные листы с наклеенными чипами от сдохшик карт и/или RFID-ов от LTE и принтерных картриджей. (тут есть тонкости) И пусть злочинець выясняет, кто из этого букета будет бренчать громче..

к 7.8:
Свинцовый портсигар основательно запакостит карман. особенно если его владелец потеет. И еще покрасит руки и придаст сигарам неповторимый сладковатый привкус.
Если же цель именно оторвать карман - портсигар надо брать осмиевый.
Да, еще вот знающие люди посоветовали: від радіації краще почепити свинцевий гульфик-нацюцюрник. =)
10  R666   свой человек01.11.2017 21:07
и вдагонку: уж если защищаться - то с головы до пят. Over9000 способов придумано уже. Например, это: [ссылка, veche.stezya.ru]
Предупреждаю сразу: травы там забористые, так что надо сначала хвостом вокруг табуретки обмотаться, чтобы не грохнуться сразу. Публика там тоже своеобразная. Кто шлём из фольги ладит, кто каску покупает, ну или чугунную панамку из казанка запиливает..
11  SaAnVi   tzar02.11.2017 03:58
> Предупреждаю сразу: травы там забористые

Серебро - не металл. :)
12  R666   свой человек02.11.2017 20:24
к 11:
>..Серебро - не металл.
Дык, что же тогда? Галоген, что ли? И вообще странно как-то: на упырей действует, а на радиоволну - нет? Гы! А нафига же тогда прокладки в волноводах серебрят? =)
13  schmer   друг03.11.2017 05:24
*на упырей действует, а на радиоволну - нет?

Отсюда вывод - упырь природу квантовую имеет, не волновую отнюдь :)

а вообще я не понял про вече это - клуб кому делать нех, или таки гетто бобруйское?
14  R666   свой человек03.11.2017 19:46
>..не понял про вече ..
И лучше не надо даже пытаться. Ибо без основательных познаний в теории тонких струн и конспирологии сдобренных манией преследования и другими фобиями там ловить абсолютно нечего. Во всяком случае обитателям того веча тараканы за постой в головах не платят.. %(
15  SaAnVi   tzar12.11.2017 14:42
Кстати, тут и там наблюдаю забавное. Люди не знают, что у них карты с бесконтактной оплатой. :) Суют в терминал по привычке. А на карте - значок соответствующий.

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 1024 символов)
введите две первые цифры из четырёх: 1511 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

новостя
21.07.2018
ZX music: Прекрасное далёко
20.07.2018
фотосет: Усть-Мана
15.07.2018
статья: Деление диска надвое: сакральный смысл
11.07.2018
фотоприкол: каратель
10.07.2018
статья: ZyXEL Keenetic: проблема с USB-модемами
06.07.2018
история: Аккумуляторы от ноутбуков
05.07.2018
банная: глобуэ
28.06.2018
банная: тубарет
26.06.2018
инструментал: G song
21.06.2018
очумелые ручки: Садовый насос и подача воды в дом
все новости >>

 

популярЪ

1. чтиво: Тёплый ламповый звук и сферический винил в вакууме

2. чтиво: Деление диска надвое: сакральный смысл

3. чтиво: ZyXEL Keenetic: проблема с USB-модемами

4. Морковь "Каратель" (на деле, сорт называется "Каротель"). Фото: Elena-D.

5. чтиво: Как я клиенту компьютер собирал

6. музыкальная пародия: Винда

7. чтиво: Защита компрессора холодильника

8. чтиво: Аккумуляторы от ноутбуков

9. фотосессия: Озеро-парк "Емельяновское" (Семирадское)

10. чтиво: Садовый насос и подача воды в дом

весь TOP >>

 

последния каменты

1. Морковь "Каратель" (на деле, сорт называется "Каротель"). Фото: Elena-D.

2. блог: долдончики, герметик, wago

3. чтиво: Деление диска надвое: сакральный смысл

4. чтиво: HashFlare: облачный майнинг

5. фотосессия: Озеро-парк "Емельяновское" (Семирадское)

6. блог: ВРПВ: бензин, автомобиль, медовуха, BOFH

7. блог: музыка

8. Пригодных компонентов нет. Фото: R666.

9. Профессионалы не должны быть открыты. Фото: R666.

10. блог: ВРПВ: вина, пенсия, список, ASIO, НДС

 

голо-сувание
Ваше текущее отношение к Олимпийским играм?
Голосовать или смотреть результаты на сайте KrasOpros.Ru
все опросы >>

 

сейчас на сайте
Домовой (1)

гости: 10

статистика за 10 минут
юзеры >>
изображениезакрыть