Хакеры научились воровать деньги с карт, оснащенных чипами RFID

[alexsf]

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login, со ссылкой на компанию You are not allowed to view links. Register or Login, сообщает, что в России зафиксированы случаи нового вида мошенничества. Злоумышленники удаленно похищают деньги с банковских карт, оснащенных RFID чипами, используя самодельные бесконтактные ридеры. Специалисты Zecurion заявляют, что в 2015 году хакеры сумели похитить у россиян порядка 2 млн рублей.

Лишь около двух миллионов граждан РФ используют карты с RFID чипами. Две наиболее распространенные технологии бесконтактной оплаты товаров были разработаны компаниями Visa и Mastercard. Карты с технологией PayPass (Mastercard) выпускают 43 крупных российских банка, карты c PayWave (Visa) — 16. При расчетах такой картой в большинстве случаев не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки не превышает определенного лимита. В странах еврозоны такие операции ограничиваются 25 евро, в США 15 долларами, в Великобритании 20 фунтами стерлингов (с сентября 2015 года — 30), 50 злотыми в Польше, а в России — 1000 рублей.

Безопасность таких карт давно вызывает вопросы у специалистов. Дело в том, что аутентификация посредством PIN-кода требуется далеко не всегда, плюс RFID чип теоретически можно частично клонировать, притом дистанционно. Хотя PayPass и PayWave предотвращают прямое считывание содержимого с чипа (в том числе ключей шифрования),  с него все же можно достать такие данные, как номер карты и срок ее действия.

В России бесконтактные системы оплаты широкого распространения до сих пор не получили. PayPass и PayWave применяются в нашей стране с 2008 года, но лишь небольшим количеством банков. Проблема в сложности и дороговизне этой технологии, карты с RFID чипами стоят дороже обычных на 50–100% (в зависимости от дизайна и типа карты). В России насчитывается порядка 30 000 точек приема PayPass.

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Специалисты Zecurion рассказали «Известиям», что средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных ридеров, способных сканировать такие банковские карты. По сути, хакеры создали самодельные аналоги легальных бесконтактных PoS-терминалов. Стоимость настоящего терминала для работы с технологиями бесконтактной оплаты составляет порядка 20 000 рублей. Между тем, если собирать ридер самостоятельно, понадобится около $100 — именно в такую сумму обошлось мошенникам создание устройств.

«Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью, — рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана».

5-20 сантиметров расстояние, казалось бы, небольшое, вряд ли хакер сумеет подобраться так близко. Но в толпе или в общественном транспорте провернуть подобный трюк вполне возможно. Человек может даже не заметить «воровства». Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций.

Невзирая на защиту технологий PayPass и PayWave, с таких карт можно извлечь номер карты и дату окончания срока ее обслуживания – одного этого порой бывает достаточно для проведения транзакций и изготовления клона с магнитной полосой. Кроме того, хакерам доступна история операций по карте, в том числе точные суммы и даты списаний. Исходя из этих данных, можно весьма точно спрогнозировать остаток на счете.

Все же недаром на рынке в последние годы появились кошельки и чехлы для карт с защитой от несанкционированного считывания RFID. Также усложнить жизнь мошенникам можно просто положив две бесконтактные карты рядом – это тоже затруднит получение данных.

Фото: You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

[eutectic]

Спасибо за информацию. Нынче это весьма актуально. Воруют.
P.S. К сожалению и я стал жертвой мошенников. Правда, позже удалось вернуть деньги ...

[alexsf]

К сожалению и я стал жертвой мошенников. Правда, позже удалось вернуть деньги ...

Можно описать свой опыт с мошенничеством и тем более возвратом денег.
Кому то будет предостережением, а кто то может и деньги вернуть.
Расскажите свою историю

[eutectic]

Можно описать свой опыт с мошенничеством и тем более возвратом денег.
Кому то будет предостережением, а кто то может и деньги вернуть.
Расскажите свою историю

Пардон, что поздно отвечаю. Но история такова и неоригинальна, насколько я понял.
Если Вы чего-то продаете, то естественно даете свой тел. для связи и номер карты. В Украине большинство SIM карт неавториризовано, и мошенник может прийти отделение в отделение мобильной связи Вашего оператора и попросить заменить ему SIM- карту. Часто основанием для замены является последние номера телефонов куда звонила жертва.
Вот и мне несколько раз звонили с разных телефонов (жены, тещи и пр.) и просили перезвонить, мол связь «в деревне плохая». Вот я и перезвонил ... Потом звонящий пошел к оператору связи назвал телефоны, куда я ему перезванивал, и ему выдали дубликат моей SIM – карты, а мою заблокировали.  К сожалению эта SIM – карта привязана к банковской карте, номер которой он тоже знал. Далее затрудняюсь пояснить как происходит кража, но все деньги с карты были переведены на счет мобильного тел.. Как он их там обналичивал тоже не знаю.
Как я возвратил всю сумму?
Банковская карта была у меня персонифицирована, т. е привязана к паспорту и т.д., а оператор, которая выпускала дубликат моей SIM-карты «не проверила». В итоге она и оказалась крайней. Всю сумму пришлось возвращать ей, хотя в банке жаждали «крови»  и хотели судебного процесса, я решил, что у меня займет много времени ... Вот как, когда-то не поленился прийти с паспортом к оператору ...
Рекомендации:  иметь один авторизованый телефон, который привязан к банковской карте, номер которого никому, кроме Вас и банка не известен.