Как защитить бесконтактную карту

значок бесконтактной оплаты на карте

Тут перевыпустил мне дебетовую карту Сбербанк. А она уже - насильственно - с бесконтактной оплатой (NFC, разновидность RFID и вот это всё). Поднапрягся, пошёл изучать матчасть. Выяснил, что всё традиционно плохо. Лазеек куча, все довольно печальные; в общем - бесконтактная оплата - очередной способ стибрить ваши деньги нетрадиционными путями. Такими, что привычные базовые понятия безопасности не работают и от вас, в общем-то, ничего уже не зависит.

Например, сама бесконтактная технология (в случае с банковской картой) подразумевает, что считывание метки происходит на расстоянии нескольких сантиметров - т.е., её фактически надо поднести очень близко к терминалу. Однако, теоретически есть возможность сделать куда более "дальнобойные" терминалы. Частота 13.56МГц, только мощность побольше. Исследователи технологии NFC демонстрировали возможность снятия данных карточки на расстоянии 80см, чего вполне достаточно для "прохождения мимо жертвы".

Однако, с такими "дальнобойными терминалами" не всё так просто, поскольку каждый терминал должен иметь криптоключи, полученные по договору у какого-нибудь банка-эквайра. Соответственно, расследовать такое мошенничество в теории должно быть много проще: есть, за кого зацепиться.

Окей, предположим, что мошенникам будет сложновато получить "фейковый терминал", могущий делать транзакции. Но у стандарта EMV, которым криптуется летящая по воздуху информация с карт, есть допущение: возможность хранить некоторые данные в незашифрованном виде (привет криворуким девелоперам). Вроде как, от самого банка зависит, что шифровать, а что нет. В ходе опытов с NFC, исследователи с помощью доступного приложения для сканирования получали с испытуемых карт как минимум номер и срок действия. Эта информация, вообще-то, самими банками не рекомендуется к разглашению - а тут на тебе. Остаётся угадать только трёхзначный CVV-код на обратной стороне карты (имя и фамилию сервисы иногда не запрашивают, а если и запрашивают, могут не уделять этому особого внимания). Панацеей от этого считается 3-D Secure, согласно которому на телефон владельца карты должен быть отправлен код подтверждения. Но некоторые интернет-магазины проводят транзакцию без всякого кода (даже если подключено 3-D Secure)! Я лично сталкивался с тем, что в одном зарубежном магазине никакое 3-D Secure не потребовалось, хотя у меня была карта именно с 3-D Secure, и до этого случая ни на одном сайте без SMS-кода её никто не принимал.

Хотите ещё? Мне особо понравился способ с трояном на смартфоне с NFC, который "ловит" карточку владельца в кармане (смартфон и кошелёк обычно находятся недалеко друг от друга) и передаёт данные через интернет (он же у большинства включен) злоумышленникам. Своеобразный "мост" карта-смартфон-терминал. Да, тут вступает в действие "сложность фейкового терминала". Проблема в том, что терминал этот может находиться в любой стране, а страны у нас на Земле ой какие разные: не найти концов вполне реально.

Как известно постоянным читателям, я не особенно параноидален в части компьютерной безопасности, где всё в основном зависит от меня: выбор криптостойкого пароля, хранение конфиденциальных данных, настройки софта и т.п. Однако, если речь заходит о беспроводных технологиях, я становлюсь куда более беспокойным. В сфере, где существует мгновенное считывание данных "вдруг откуда ни возьмись", сам Бог велел расплодиться различным мошенническим схемам. Я не использую bluetooth на смартфоне (кстати, недавно в нём нашли огромную "дыру"). Включаю WiFi только по нужде, используя наиболее криптостойкие алгоритмы аутентификации (кстати, пока писалась статья, и в WiFi нашли дыру, именно в "криптостойких алгоритмах" :). В общем, понимаю, что передача данных по воздуху - весьма опасное дело, и более-менее контролирую его. В случае же с банковской картой и NFC никакого контроля с моей стороны быть уже не может. Как в анекдоте про динозавра: или встречу - или не встречу.

Впрочем, есть неожиданное решение проблемы с защитой бесконтактной карты: экранированный кошелёк. Уже доступен в услужливых интернет-магазинах. Вопрос только в том - а экранирует ли этот кошелёк хоть что-нибудь?

©2017, Анатолий Савенков
опубликовано: 29.10.2017

комментариев: 15

список статей в категории

Комментарии

1  Observer0395 гость	30.10.2017 00:03
Ну я вижу один способ,простую дебетовую карту которая не подходит для пользования забугром,в таких вроде нет этого воздушного модуля,и хранить основной капитал на ней, а по мере необходимости перекидывать на воздушную мелкие суммы, хотя запара та еще
+0

2  zeka-vasch свой человек	30.10.2017 02:03
как обычно надо шапочку из фольги .
+7

3  SaAnVi tzar	30.10.2017 04:06
Кошелёчек, не шапочку. Но из фольги.
+2

4  CTPAHHuK свой человек	30.10.2017 06:26
Кошелёк из фольги будет хлипким. Предлагаю из свинца. :) Пора пошукать дедовские портсигары...
+5

5  SaAnVi tzar	30.10.2017 06:27
Свинец, говорят - йад.
+0

6  schmer друг	30.10.2017 08:32
люмин? Кошелег изнутри под проклвдку металлоскотчем прошить? R666, ждем Вашего вердикта)
+3

7  Саддам свой человек	30.10.2017 12:59
А с каких это пор портсигары стали изготавливать из свинца? Латунные - видел, из нержавейки - видел, из "дюрки"/алюминия - видел, из драгметаллов - видел. Но про портсигар из СВИНЦА - первый раз слышу. Карман не оторвёт? ;-)
+0

8  CTPAHHuK свой человек	31.10.2017 06:07
Свинцовый портсигар - это моя рацуха. Заодно и от радиации будет защищать. :)
+5

9  R666 свой человек	31.10.2017 22:09
..ну, попробую ответы гамузом..:-) к 2,3,6: Дык, сами же предложили дельные и вполне реальные вещи! В принципе идея экранирования - стопудово правильная. Сгодится и пластинчатое портмоне-перекладка на резинках если пластинки будут алюминиевыми. Обшитых кошельков пока не попадалось, но еще лет 8 назад китайцы вовсю продавали в Таше мешочки для телефонов. Их обычно на торпедку вешали. Свойство они хитрое имели - на лежащий там аппарат дозвониться было невозможно. При ближайшем погляде обнаружилось, что мешочек был сшит из чего-то китайского четырехслойного с внутренними двумя слоями из мишурной плетенки. Очень мягкий и почти не шуршащий. Нувыпонели. ..можно вместе с экранированием лежащих ВНУТРИ портмоне карт вложить в самые наружные его карманы картонные листы с наклеенными чипами от сдохшик карт и/или RFID-ов от LTE и принтерных картриджей. (тут есть тонкости) И пусть злочинець выясняет, кто из этого букета будет бренчать громче.. к 7.8: Свинцовый портсигар основательно запакостит карман. особенно если его владелец потеет. И еще покрасит руки и придаст сигарам неповторимый сладковатый привкус. Если же цель именно оторвать карман - портсигар надо брать осмиевый. Да, еще вот знающие люди посоветовали: від радіації краще почепити свинцевий гульфик-нацюцюрник. =)
+3

10  R666 свой человек	01.11.2017 21:07
и вдагонку: уж если защищаться - то с головы до пят. Over9000 способов придумано уже. Например, это: [ссылка, veche.stezya.ru] Предупреждаю сразу: травы там забористые, так что надо сначала хвостом вокруг табуретки обмотаться, чтобы не грохнуться сразу. Публика там тоже своеобразная. Кто шлём из фольги ладит, кто каску покупает, ну или чугунную панамку из казанка запиливает..
+0

11  SaAnVi tzar	02.11.2017 03:58
> Предупреждаю сразу: травы там забористые Серебро - не металл. :)
+3

12  R666 свой человек	02.11.2017 20:24
к 11: >..Серебро - не металл. Дык, что же тогда? Галоген, что ли? И вообще странно как-то: на упырей действует, а на радиоволну - нет? Гы! А нафига же тогда прокладки в волноводах серебрят? =)
+0

13  schmer друг	03.11.2017 05:24
*на упырей действует, а на радиоволну - нет? Отсюда вывод - упырь природу квантовую имеет, не волновую отнюдь :) а вообще я не понял про вече это - клуб кому делать нех, или таки гетто бобруйское?
+3

14  R666 свой человек	03.11.2017 19:46
>..не понял про вече .. И лучше не надо даже пытаться. Ибо без основательных познаний в теории тонких струн и конспирологии сдобренных манией преследования и другими фобиями там ловить абсолютно нечего. Во всяком случае обитателям того веча тараканы за постой в головах не платят.. %(
+3

15  SaAnVi tzar	12.11.2017 14:42
Кстати, тут и там наблюдаю забавное. Люди не знают, что у них карты с бесконтактной оплатой. :) Суют в терминал по привычке. А на карте - значок соответствующий.
+2

↑ к началу комментариев    ↑↑ к началу страницы

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.