Хакери навчилися віддалено зчитувати інформацію з безконтактних карток
На хакерській конференції Shmoocon фахівець з безпеки Kristin Paget з компанії Recursion Ventures провела демонстрацію дистанційного зчитування конфіденційної інформації з банківської карти, оснащеної радіочіпи RFID. Взагалі-то, про уразливість безконтактних карток говорять уже років п'ять, але нинішня демонстрація показала, що надійного захисту безпеки досі не з'явилося. Для зчитування інформації з карт використовувалося недороге обладнання сукупною вартістю в пару сотень доларів.
Для дистанційного зчитування номера карти, терміну дії та одноразового номера CVV використовувався кард-рідер Vivotech, який можна купити на eBay за $ 50. Далі, за допомогою намагнічує пристрої вартістю $ 300 ці дані можна записати на чисту карту, повідомляє xakep.ru.
Під час демонстрації Пейджет запросила на сцену добровольця, яка не виймав з кишені гаманець з карткою. Зчитування даних і намагнічування нової картки зайняло пару хвилин, після чого Пейджет дістала iPhone з модулем Square, який дозволяє приймати платежі, і перевела $ 15 на свій рахунок, використовуючи тільки що зроблений клон картки. Щоб ні в кого не залишалося сумнівів в правдивості фокусу, Пейджет показала номер клонованої картки на великому екрані зі сцени.
В даному випадку хакерський RFID кард-рідер нічим не відрізняється від легального терміналу торгової точки. Найскладніше в такій атаці - наблизити кард-рідер на максимально близьку відстань до гаманця з карткою. На практиці це можна зробити в переповненому транспорті або в черзі, сховавши пристрій в кишені і «випадково» зіткнувшись з власником карти. В принципі, фізичний контакт навіть необов'язковий, досить максимально близько наблизитися до жертви.
Даний тип атаки - не якась діра в безпеці, а фундаментальна вада платіжної системи, яку спеціально зробили максимально простий у використанні. У нинішній версії технології RFID-картки не передають бездротовим способом ім'я користувача, PIN-код і тризначний постійний CVV. Представники платіжних систем говорять, що за шість років не задокументовано жодного випадку подібного роду шахрайства, що є доказом достатнього захисту для такого роду атак, де зловмисникові важко зберегти свою анонімність.
Справді, використання одноразового CVV робить можливим проведення тільки однієї транзакції з клонованої картки, а при спробі другий транзакції вона буде заблокована.
На думку Пейджет, це означає тільки те, що зловмисникові потрібно відвідати жваве місце, де за один вечір можна набрати безліч «одноразових» карт. За словами фахівця, вони в компанії Recursion Ventures зараз працюють над створенням спеціального гаманця Guardbunny з RFID-детектором, який буде сигналізувати про спробу сканування - очі у кролика на гаманці починають світитися і він видає гучні звуки. Крім того, в гаманці буде проактивний захист проти сканування замість малоефективних алюмінієвої прокладки, яку зараз вшивають в гаманці і яка не рятує від потужного сканера.
Рішення Palo Alto Networks® Traps забезпечує розширену захист робочих станцій, яка запобігає витончені атаки експлойтів, що використовують уразливості системи безпеки, і атаки за допомогою раніше невідомого шкідливого ПО
Завдяки безлічі варіантів трансформації цифрового бізнесу, які потребують значних інвестицій, Gartner визначила 10 кращих способів фінансування переходу на цифровий бізнес.