Added by on 2013-07-09

Как украсть миллион, не прикасаясь к банковской карте

На проходящей до конца семь дней в штате Аризона конференции по безопасности компьютерных средств и систем связи CCS 2014 был представлен доклад о важной уязвимости новых банковских карт VISA. Она касается функции стремительного списания малых сумм без необходимости их подтверждения.

По плану разработчиков такие платежи должны быть выполнены посредством коммуникации ближнего поля практически в одно касание и не потребовать ввода пин-кода, облегчая жизнь состоятельному обладателю. Но создатель доклада Мартин Эммс (Martin Emms) узнал, что установленный лимит в двадцать фунтов не действует для других валют. С учётом функции автоматического пересчёта направлений, настоящая сумма перевода ограничивается лишь техническим пределом адресации – 999999,99 в произвольных финансовых единицах.

Списание $999’999,99 (код валюты 0840) без подтверждения пин-кодом (фото: digitalmoney.shiftthought.co.uk).

Мартин собирает материал для диссертации в Центре по изучению киберпреступности и компьютерной безопасности (CCCS) Университета Ньюкасла. Его изучение фокусируется на поиске потенциальных уязвимостей в бесконтактных платежных совокупностях с применением разработки NFC.

Несколько Мартина смогла сымитировать POS-терминал посредством серийно производимых мобильных устройств с помощью NFC. В собственной работе исследователи продемонстрировали, что для незаметного списания с карты практически миллиона в любой валюте (не считая фунта стерлингов), похитителям не нужно кроме того брать её в руки. Достаточно пребывать рядом и просто махнуть смартфоном с запущенной программой-эмулятором.

Запуск эмулятора POS-терминала на смартфоне с помощью NFC (скриншот: Martin Emms, Budi Arief et al.)

«Применяя простой смартфон мы смогли создать эмулятор платёжного терминала, что считывает карту прямо через кошелёк, – говорит Мартин. – Все процедуры проверки в этом случае выполняются на самой карте, исходя из этого к терминалу не предъявляется никаких своеобразных требований. Процесс списания выглядит совсем легитимным и не вызывает подозрений. Вы желаемую сумму для перевода и направляете смартфон на чей-то карман.

В отечественных тестах вся процедура от ввода значения до подтверждения перевода занимала секунды».

Пока не сообщается о настоящих случаях кражи средств с бесконтактных карт при помощи отысканной уязвимости, но её устранение займёт некое время, за который обладателям таких карт VISA направляться быть особенно осмотрительными и

почаще осуществлять контроль собственные затраты.

Успешное списание 999999 евро (код валюты: 0978) эмулятором терминала (скриншот: Martin Emms / Newcastle University).

Банковские совокупности безопасности не опираются лишь на технические средства. Кроме совокупностей мониторинга транзакций громадное значение для их стабильной работы имеют неспециализированные правила предоставления одолжений. К примеру, непроизвольный запрос на перевод большой суммы может настойчиво попросить дополнительной ручной проверки – впредь до звонка клиенту.

Одновременно с этим, списывать деньги с карты преступники смогут и малыми суммами при помощи способов, основанных на технических модификациях и социальном инжиниринге. Первый вариант требует физического присутствия рядом с жертвой в любом людном месте, где предполагается безналичная оплата. Кроме этого возможно предлог, под которым жертва потянулась бы к собственному бумажнику, демаскируя его положение.

Многие хранят в них фотографии, карты лояльности, парковочные талоны… предлогов вынудить открыть его куры не клюют.

Схема снятия и обналичивания денежных средств с бесконтактных банковских карт (изображение: Martin Emms).

Первые бесконтактные карты были представлены на выставке в Сеуле ещё в 1995 году. Но в интернациональные платёжные совокупности они стали внедряться лишь спустя десятилетие. Из повседневного опыта многие знают, что на практике бесконтактные карты довольно часто требуется поднести прикасаясь к считывателю для скорости качества передачи и повышения связи данных.

Но по стандарту ISO/IEC 18092:2013 протокол NFCIP 1 разрешает делать бесконтактный обмен на расстоянии до двадцати сантиметров.

Другой стандарт ISO/IEC 15693 предусматривает сотрудничество уже на расстоянии до полуметра. Это значит, что кроме того без дополнительных ухищрений незаметную кражу возможно выполнить и в тех случаях, в то время, когда обладатель не добывает карту. Присесть либо подняться рядом с жертвой так, дабы её сумка либо внутренний карман были как возможно ближе на несколько секунд – что возможно несложнее?

Дополнительно атаки смогут развиваться в сторону повышения радиуса действия. Для этого потребуется модифицировать устройство, имитирующее POS-терминал. К примеру, изготовив рамочную антенну с громадным коэффициентом усиления либо повысив магнитную индукцию за счёт результата резонанса. «В случае если мы додумались, как сделать это, то преступники также смогут», – резюмирует собственный доклад Мартин.

Источник: www.computerra.ru

Как украсть миллион — cinema

Увлекательные записи:

Подборка статей, которая Вас должна заинтересовать:

Comments are closed.