Kreditinės kortelės duomenis galima pavogti per atstumą

Programišių konferencijoje „Shmoocon“ Kristina Paget pademonstravo, kaip turint kelis šimtus dolerių kainuojančią aparatūrą, atsistojus šalia žmogaus, galima pasisavinti jo kreditinės kortelės duomenis, aukos net neliečiant.

Konferencijos metu K. Paget parodė, tai ką programišiai jau seniai žinojo, tačiau mokėjimo kortelių tiekėjai neigė. Informaciją iš RFID lustus turinčių kreditinių kortelių galima lengvai, pigiai ir paslapčia pavogti ir panaudoti įsigyjant prekių, rašo „Forbes“.

K. Paget už 50 JAV dolerių iš „eBay“ įsigijo „Vivotech“ RFID kreditinių kortelių skaitytuvą. Pasikvietusi savanorį ant scenos, ji per atstumą nuskaitė jo kreditinės kortelės numerį, galiojimo laiką, vienkartinį CVV numerį, kuris naudojamas atsiskaitant kortele per atstumą. Tuomet pasinaudojusi 300 JAV dolerių kainavusi įrenginiu, ji šią informaciją perkėlė į naują tuščią kortelę. Tada pasinaudojo „iPhone“ priedu „Square“, kuris leidžia, perbraukus kortele, atlikti atsiskaitymus ir sau sumokėjo 15 dolerių iš savanorio sąskaitos. Aišku, prieš tai jam įteikė 20 dolerių banknotą, kad nebūtų apkaltinta vagyste.

Lietuvoje tokio tipo kortelių kol kas nėra, tačiau „Smart Card“ asociacija skaičiuoja, kad šiuo metu pasaulyje jų yra apie 100 milijonų. „Visa“ tokias korteles žymi „payWave“ ženklu, „MasterCard“ - „PayPass“, „Discover“ - „Zip“, o „American Express“ - „ExpressPlay“. Keli šimtai „Schmoocon“ dalyvių turėjo tokio tipo korteles, o ketvirtadalis to nežinojo, kol K. Paget nepasakė į kokius simbolius reikia atkreipti dėmesį.

K. Paget, iki lyties pakeitimo operacijos buvusi Christopheriu Pagetu, yra žinoma saugumo analitikė. Išviliodama svetimus duomenis ji panaudojo paprastą triuką – įsigytą RFID skaitytuvą panaudojo kaip terminalą, kuriame galime atsiskaityti kreditine kortele per atstumą. Pasak jos, duomenis galima nuskaityti, įsidėjus RFID skaitytuvą į palto kišenę ir netyčiomis atsitrenkus į auką. K. Paget aiškina, kad tai nėra kažkokia klaida – kiekvienas prieinamas RFID skaitytuvas gali taip pat lengvai nuskaityti bevielės kreditinės kortelės duomenis, kaip ir tą pačią funkciją atliekantis terminalas.

„Smart Card“ asociacijos vadovas Randy Vanderhoofas tikino, kad realiame pasaulyje tokį įvykių nebuvo užfiksuota. Bevielės kortelės siūlo papildomą apsaugos sluoksnį, kurio neturi tradicinės. Be 16 skaitmenų numerio ir galiojimo datos, šios kortelės dar turi vienetinį CVV kodą, kuris sugeneruojamas kiekvieno nuskaitymo metu. Jei užfiksuojama, kad tuo pačiu kodu bandoma atlikti kelis atsiskaitymus, automatiškai blokuojama kortelė.

Todėl K. Paget būdu surinkti duomenys gali būti naudojami tik vieną kartą, o jei auka pasinaudoja kortele pirmiau, vagišiui pabandžius atsiskaityti, pasinaudojus pagrobtais duomenimis, kortelė bus užblokuota.

Tuo tarpu K. Paget teigė, kad dėl šios priežasties plėšikas turėtų vienu metu taikytis į kelias aukas, pavyzdžiui, stovėti traukinių stotyje ir nuskaityti praeinančių žmonių kortelių duomenis ir siųsti juos bendrininkui, kuris iškart atliktų atsiskaitymus.

Kaip išspręsti šią problemą? K. Paget siūlo mikrobangų krosnelėje sudeginti RFID mikroschemą. Tačiau šiuo atveju reikia būti atsargiems, mat mikroschema po trijų sekundžių suges, o po penkių sekundžių pradės degti ir sugadins visą kortelę.

Pašnekovės bendrovė šiuo metu kuria protingesnę išeitį: kreditinės kortelės dydžio prietaisą, kuris blokuoja RFID signalus. Prietaisui aptikus bandymą nuskaityti kreditinės kortelės duomenis, jis pradeda skleisti šaižų garsą. Tačiau K. Paget pastebėjo, kad pasitelkus sudėtingesnę įrangą galima apeiti net ir tokią apsaugą.

   

Facebook komentarai