Как незаметно украсть данные кредитной карты

Возьмите вашу платежную карту и переверните ее. Если на обратной стороне содержатся слова “PayPass” или “Blink”, универсальный значок беспроводных данных в виде нескольких дуг или же другие малопонятные иконки, то возможно ваша карта уязвима для скрытого карманного мошенничества.

Существует возможность провести мошенническую трансакцию вашей картой, используя оборудование стоимостью в несколько сотен долларов, причем сделать это незаметно через ваш бумажник, сумку или карман.

На конференции хакеров Shmoocon, Кристин Пейджет хотела доказать этот факт. Он давно известен хакерам и упорно отрицается индустрией платежных карт.

На eBay за 50 долларов Кристин купила считыватель радиочастотной идентификации («Vivotech RFID Credit Card Reader») и пригласила на сцену добровольца с его платежной картой. С помощью считывателя она получила данные о номере карты, дате истечения срока пользования и разовый номер CVV, который используется бесконтактными картами для аутентификации платежей.  Секунду спустя, она использовала намагничивающее карты устройство за 300 долларов для кодировки полученных данных на чистую платежную карту. Затем, она использовала устройство для iPhone под названием Square (https://squareup.com/), которое позволяет кому угодно считывать карты и получать платежи.  Кристин перевела себе 15 долларов, используя только что сделанную фальшивую карту.

Кристин намагничивает фальшивую карту с помощью украденных у добровольца данных

Если кто-то еще сомневался, что этот трюк работает, Кристин случайно «засветила» номер карты на экране перед аудиторией, состоящей из хакеров и исследователей проблем безопасности. «Вы ведь собирались заблокировать эту карту, не правда ли?» - застенчиво добавила она.

Бесконтактные карты гораздо более распространены, чем нам кажется. Согласно данным Smart Card Association, в обращении находится около ста миллионов карт, которые читаются RFID. Visa называет эту технологию payWave, MasterCard - PayPass, Discover - Zip, American Express - ExpressPay. Десятки присутствующих на конференции хакеров являлись пользователями таких карт, и около четверти не подозревали об этом, пока Кристин не предложила им рассмотреть обратную сторону их карт.

Кристин Пейджет, известный исследователь проблем безопасности консалтинговой фирмы Recursion Ventures (до смены пола носившая имя Кристофер Пейджет), использовала свой личный считыватель как  обычный кассовый терминал. По ее словам, мошенник может просто «столкнуться» со своей жертвой, имея считыватель в кармане плаща или же просканировать RFID-сигнал через кожаный бумажник или ткань одежды. Чтобы получить данные, прикосновение не обязательно.

Пейджет подчеркивает, что эта схема не демонстрирует какой-то отдельный провал в системе, а более фундаментальную проблему. Дело в том, что имеющиеся в свободной продаже  RFID-считыватели могут быстро и легко получать данные карт, так же как и кассовые терминалы.

Эта проблема обсуждается с 2006 года. Текущая версия карт не предоставляет по беспроводным каналам данные об имени пользователя, его PIN и трехзначном CVV на обратной стороне карты. Поэтому, по заявлениям деятелей индустрии платежных карт, информационная атака невозможна.

Как заявляет Ренди Вандерхув, исполнительный директор Smart Card Alliance, за 6 лет не было зарегистрировано ни одной атаки подобного рода, хотя сотни миллионов людей пользуются подобными картами. По его мнению, эта технология недоступна для извлечения прибыли мошенниками.

Более того, бесконтактные карты обладают дополнительным инструментом безопасности, который отличает их от традиционных карт. Вместе с шестнадцатизначным номером карты и датой истечения срока пользования, эти карты предлагают одноразовый CVV код во время каждого сканирования. Эти коды используются только для одной трансакции и только в том порядке, в котором они были сгенерированы. Если платежный процессор обнаруживает, что несколько трансакций были проведены с одинаковым кодом или что коды используются для совершения трансакций в неправильным порядке, карта будет заблокирована. Поэтому мошенник может использовать украденный код только однажды. В случае, если владелец использует карту до того, как преступник произведет незаконный платеж, все трансакции по этой карте будут заблокированы

Пейджет заявляет, что меняющийся одноразовый СVV приведет мошенника к необходимости искать сразу несколько жертв. Преступник может, например, стоять на многолюдной станции, считывать номера карт прохожих и пересылать данные сообщникам, которые будут проводить трансакции в реальном времени. Может быть, эти пятьдесят человек даже и не заметят чужие трансакции  в своих отчетах о платежах.
Простейшее решение проблемы – уничтожить RFID-чип, положив платежную карту в микроволновую печь на три секунды (обратите внимание, что пять секунд приведут к возгоранию карты).

Guardbunny, устройство для защиты платежных карт

Фирма Пейджет работает над другим решением проблемы. Они разрабатывают устройство для защиты кредитных карт GuardBunny, которое помещается в бумажник и блокирует RFID сигнал.

Уже существующие на рынке устройства подобного рода для паспортов и карт представляют собой слой алюминия или стали, который может преодолеваться мощными считывателями. В отличие от них Guardbunny глушит радиосигнал. К тому же, Guardbunny издает звук в случае опасности и зажигает огоньки на иконке в виде зайца. Пейджет признает, что некоторые виды атак не могут быть отражены даже Guardbunny, но они требуют самостоятельного конструирования считывателя, а не использования пятидесятидолларового устройства, купленного на eBay.