Авторизация

Имя пользователя:

Пароль:

Новости   RSS подписка

Топ-новости   RSS подписка

Финансовые новости   RSS подписка

Финансы   RSS подписка

Фондовый рынок   RSS подписка

Банки и банковские технологии   RSS подписка

Страхование   RSS подписка

Ипотека и недвижимость   RSS подписка

Новости экономики   RSS подписка

Экономика   RSS подписка

Топливно-энергетический комплекс   RSS подписка

Нефть и бензин   RSS подписка

Агропромышленный комплекс   RSS подписка

Сырьевые рынки   RSS подписка

Приватизация   RSS подписка

Право   RSS подписка

Статистика   RSS подписка

Зарубежные новости   RSS подписка

Мир   RSS подписка

Ближнее зарубежье   RSS подписка

Региональные новости   RSS подписка

Украина   RSS подписка

Киев   RSS подписка

Политика   RSS подписка

Полезно знать   RSS подписка

Это интересно   RSS подписка

Информационные технологии   RSS подписка

Криминал   RSS подписка

Транспорт   RSS подписка

Управление бизнесом   RSS подписка

Маркетинг и реклама   RSS подписка

Менеджмент и карьера   RSS подписка

Аналитика   RSS подписка

Финансовый рынок   RSS подписка

Фондовый рынок   RSS подписка

Страхование   RSS подписка

Ипотека и недвижимостьRSS подписка

Экономика   RSS подписка

ТЭК (газ и электроэнергия)   RSS подписка

Нефть и бензин   RSS подписка

Сырьевые рынки   RSS подписка

Агропромышленный рынок   RSS подписка

Приватизация   RSS подписка

Менеджмент и карьера   RSS подписка

Политика   RSS подписка

Международная аналитика   RSS подписка

Страны ближнего зарубежья   RSS подписка

Полезно знать   RSS подписка

Информационные технологии   RSS подписка

Пресс-релизы

Новости компаний   RSS подписка

Котировки

Курс НБУ

Курс обмена наличной валюты

Курс доллара

Курс евро

Курс рубля

Курс британского фунта

Курс швейцарского франка

Курс канадского доллара

Курс валют на межбанковском валютном рынке

Курс доллара

Курс евро

Курс рубля

Курс рубля к доллару

Ставки

Депозитные ставки

Физические лица, гривна

Физические лица, доллар

Физические лица, евро

Юридические лица, гривна

Юридические лица, доллар

Юридические лица, евро

Депозитный калькулятор

Ставки на межбанковском кредитном рынке

Графики

График изменения курса НБУ

График изменения наличного курса

График изменения курсов на межбанковском валютном рынке

График изменения ставок на межбанковском кредитном рынке

Веб-мастеру

Информеры

Информер курсов НБУ

Информер наличных валют Киев

Информер курсов валют на межбанке

Графики

График курсов валют НБУ

График курсов обмена валют для физических лиц

График курсов валют на межбанковского валютного рынка

Экспорт новостей

Информация об агентстве

О нас

Размещение рекламы

Контакты

Подписка на новости

Крадём миллион с бесконтактной "кредитки"

Евгений Золотов

(Не)безопасность пластиковых карт всегда была темой горячей, но с распространением карт бесконтактных переросла в настоящую фобию - не хуже фобии ГМО, «телефонов-убийц», выжигающего мозги Wi-Fi и тому подобного. Если вдруг вы не слышали, многие и очень многие уверены, что бесконтактный «пластик», которым так легко оплатить покупку в магазине (провёл рядом с терминалом - и готово! Пин-код вводить не требуется), так же легко отдаёт деньги и «злобным хакерам». Популярная пресса подогревает истерию, не вдаваясь в детали. Страшные истории сменяют одна другую: если несколько лет назад этим забавлялись исследователи на security-конференциях, теперь уже настоящие воры, якобы, опустошают «кошельки» в общественном транспорте, просто проходя рядом с жертвами. Что там, на днях промелькнуло сообщение об устройстве для «мелкосерийного» клонирования бесконтактных карт - аж по 15 штук в секунду!

При всём при этом у здравомыслящих людей болтается где-то мысль, что всё это - именно беспричинная фобия, паранойя (карты на рынке уже полтора десятилетия, а конец света так и не наступил). Но чтобы подозрение подтвердить, надо углубиться в технические вопросы, на что времени всегда не хватает. Так давайте сделаем это вместе.

Бесконтактные карты бывают разными, отнюдь не только банковскими: для удостоверения личности, проезда в общественном транспорте и т.п. Однако то, что лежит в бумажниках большинства (в том числе россиян) - это кредитные или дебетовые банковские карты, произведённые с опорой на стандарт ISO/IEC 14443. Стандарт этот предполагает использование в качестве канала связи протокола NFC (цифровой радиообмен на частоте 13.56 МГц). Приёмник лишён источника питания и работает за счёт энергии, наводимой в антенне, спрятанной внутри карты же. Этого хватает, чтобы принять и передать некоторый небольшой объём информации. NFC - медленный протокол (десятки килобайт в секунду), но в данном случае много и не требуется. Карты VISA payWave, MasterCard PayPass и отечественная «Мир» работают именно так.

А главная проблема бесконтактного «пластика» не в технологиях, а в поверхностном понимании принципа их работы. Стараясь максимально облегчить обывателям адаптацию к новому продукту, маркетологи втолковали им, что провести пластиковой картой с магнитной полосой по считывающему устройству и сделать бесконтактный «клик» по NFC-терминалу - это одно и то же. Так что люди, особенно в странах, где культура пользования «пластиком» насчитывает не одно десятилетие (магнитный стрип - детище 70-х), не видят функциональной разницы между тем и другим. И рассуждают примерно так: раньше карту нужно было достать из бумажника, теперь же вор может просто пройти рядом со мной и, даже не касаясь, украсть с моей кредитки всю информацию!

Что ж, отчасти это и в самом деле так, но лишь отчасти. Вы тоже можете попробовать себя в роли такого «высокотехнологичного вора». Для этого не придётся ничего паять и даже покупать нелегальный карт-ридер. Достаточно современного смартфона с поддержкой NFC. Установите любое из многочисленных приложений для чтения NFC-меток (NFC Basic, Banking Card Reader и др.), приложите карту к телефону, и - вуаля, данные «украдены». Тонкость в том, что это за данные.

В открытом виде бесконтактные банковские карты хранят лишь номер, дату экспирации, реже имя пользователя и историю транзакций. Формально этого уже достаточно, чтобы воспользоваться вашей картой без вашего ведома, например, для покупки чего-нибудь через интернет: не все интернет-магазины требуют CVV-код, размещённый на обороте карты (но не записываемый в память). Так что - да, это повод для тревоги.

 

Но вот «клонировать» карту полноценно (записать информацию на чистую карту-болванку и использовать её в обычных магазинах без ограничений), что обещают продавцы устройств вроде упоминавшегося нелегального высокоскоростного карт-ридера (всего-то за $800!), таким образом не удастся. Почему? Потому что любая офлайновая транзакция предполагает общение между, грубо говоря, кассовым аппаратом и чипом карты, причём на каждый такой сеанс чип генерирует одноразовый ключ с использованием стойкого крипто. Чтобы клонировать вашу карту, необходимо вытащить из неё криптоключи - а сделать это через NFC невозможно.

Реальных способов эксплуатировать бесконтактную карту всего два. Во-первых, вор может обзавестись собственным PoS-терминалом с поддержкой бесконтактных карт. Спрятав такой в сумке, он и правда может ходить по людным местам и инициировать покупки, когда рядом оказывается чья-то карта. Однако вычислить имя мошенника в таком случае не составит труда (все терминалы регистрируются в органах), да и размер бесконтактной транзакции, не требующей пин-кода, ограничен некоторой небольшой суммой.

Во-вторых, вор может использовать схему ретрансляции радиосигнала - воспользовавшись опытом «коллег», угоняющих таким образом автомобили. Здесь потребуются два вспомогательных NFC-устройства. Первое должно находиться рядом с картой жертвы, второе - в месте совершения покупки, скажем, рядом с кассой в магазине. В качестве таких устройств могут выступать, например, смартфоны, поддерживающие NFC. Касса инициирует продажу, второй смартфон транслирует NFC-сигнал на первый, тот передаёт его карте, и по той же цепочке информация возвращается обратно. Жертва ничего не заметила, а покупка совершена. Сложности, впрочем, очевидны. Необходим специальный софт, которого пока, насколько известно, не существует. Плюс опять-таки размер транзакции ограничен.

 

Что в итоге? Клонировать бесконтактную карту невозможно. Украсть с неё, находясь рядом, можно лишь незначительную сумму. Так что истории про несчастных, «потерявших тысячи долларов в один момент, не извлекая карту из кармана», либо выдумки, либо заблуждения (вероятно, карта была скомпрометирована иначе).

Единственной реальной угрозой остаётся похищение номера карты и использование его для несанкционированных покупок через Сеть. Риск на самом деле невелик: вор должен подобраться к вам слишком близко, плюс в развитых странах банк обязан отменить такую транзакцию по первому требованию, а сумму возместить.

 

ПО РУБРИКАМ

20.10 Меж­банк про­дол­жа­ет жить по­куп­ка­ми бан­ки­ров и слу­ха­ми о при­бли­жа­ю­щих­ся вы­пла­тах НДС Госказ­на­чей­ством

20.10 Це­на бит­ко­и­на впер­вые пре­вы­си­ла $6000

20.10 ОВГЗ в об­ра­ще­нии по сум­ме ос­нов­но­го дол­га на 20 ок­тяб­ря

20.10 Де­по­зит­ные став­ки для физ­лиц 20.10.17

20.10 Бан­ки обя­за­ли вы­пла­чи­вать вклад­чи­кам не­устой­ки, ес­ли вклад пе­ре­чис­лен на кар­точ­ный счет, но фак­ти­че­ски не вы­дан

20.10 Пер­спек­ти­вы пла­теж­но­го рын­ка гла­за­ми Visa

20.10 Кар­ты Mastercard ста­ли пас­пор­том жи­те­лей Маль­див

20.10 Ма­рио Дра­ги: крип­то­ва­лю­ты еще не со­зре­ли для ре­гу­ли­ро­ва­ния

20.10 Сред­не­взве­шен­ный курс дол­ла­ра на меж­бан­ке 20 ок­тяб­ря со­ста­вил 26,5389 грн

20.10 Фон­до­вые ин­дек­сы АТР вы­рос­ли 20 ок­тяб­ря, япон­ский Nikkei под­нял­ся 14-ю сес­сию под­ряд

20.10 Суд аре­сто­вал сче­та ря­да пла­теж­ных си­стем

20.10 Ин­декс меж­бан­ков­ских ста­вок по блан­ко­вым кре­ди­там и де­по­зи­там 19.10.2017

20.10 Остат­ки средств на кор­с­че­тах бан­ков 20.10.17

20.10 Кур­сы ва­лют по кар­точ­ным опе­ра­ци­ям на 20 ок­тяб­ря

20.10 Нор­ма­тив до­ста­точ­но­сти ре­гу­ля­тив­но­го ка­пи­та­ла бан­ков в сен­тяб­ре сни­зил­ся на 0,14 п. п. до 15,27%

20.10 "Нафтогаз" уве­ли­чит це­ны на газ для пром­по­тре­би­те­лей с но­яб­ря на 7,5-7,8%

20.10 Укра­и­на за 9 мес. уве­ли­чи­ла по­треб­ле­ние элек­тро­энер­гии на 1,3%

20.10 Це­на ДТ в опте вы­рос­ла на 140 грн/т – до 26 380 грн/т

20.10 Нефть вновь рас­тет в цене 20 ок­тяб­ря, Brent тор­гу­ет­ся у $57,5 за бар­рель

20.10 Укра­и­на за 8 мес. им­пор­ти­ро­ва­ла 8,9 млрд куб. м га­за на $2 млрд - Гос­стат

20.10 Обо­рот роз­нич­ной тор­гов­ли Укра­и­ны в ян­ва­ре-сен­тяб­ре вы­рос на 8,8% - Гос­стат

20.10 98% та­мо­жен­ных де­кла­ра­ций оформ­ля­ет­ся в элек­трон­ном ви­де, - ГФС

20.10 В ян­ва­ре-сен­тяб­ре объ­ем на­зна­чен­ных суб­си­дий на опла­ту жил­ко­му­слуг уве­ли­чил­ся на 22,7% до 3,3 млрд гри­вен

20.10 По­сле ре­фор­мы: сред­няя пен­сия в Укра­ине вы­рос­ла на 559 гри­вень

20.10 60% экс­порт­ных опе­ра­ций про­хо­дят через оф­шо­ры - ГФС

20.10 Вен­грия и Ру­мы­ния со­глас­ны ждать. Как Укра­ине ис­поль­зо­вать язы­ко­вое "перемирие"

20.10 Кар­ты Mastercard ста­ли пас­пор­том жи­те­лей Маль­див

20.10 Дай­джест Financial Times и The Wall Street Journal от 20 ок­тяб­ря 2017 го­да

20.10 По­сред­ник из За­гре­ба: за­чем пре­зи­дент Хор­ва­тии по­еха­ла к Пу­ти­ну

20.10 Ирак на­звал сдел­ку Рос­неф­ти с вла­стя­ми Ирак­ско­го Кур­ди­ста­на не­за­кон­ной

20.10 Се­нат США от­крыл путь для ре­а­ли­за­ции на­ло­го­вой ре­фор­мы Трам­па

20.10 Пре­зи­дент Ав­стрии по­ру­чил Се­бастья­ну Кур­цу сфор­ми­ро­вать пра­ви­тель­ство

20.10 Ев­ро­па под­твер­ди­ла под­держ­ку ядер­ной сдел­ки с Ира­ном - за­яв­ле­ние сам­ми­та ЕС

20.10 Фран­ция офи­ци­аль­но при­зна­ла флаг ЕС

20.10 Bellingcat счи­та­ет но­вое фо­то "Бука" до­ка­за­тель­ством при­част­но­сти Рос­сии к кру­ше­нию MH17

19.10 ЕС не го­тов об­суж­дать от­но­ше­ния с Лон­до­ном по­сле Brexit

19.10 ВТБ сно­ва по­мо­жет ино­стран­цам ку­пить до­лю в Рос­неф­ти

19.10 Пра­ви­тель­ство Ис­па­нии при­оста­но­вит ав­то­но­мию Ка­та­ло­нии

19.10 Вла­сти Ва­ну­а­ту опро­верг­ли про­да­жу граж­дан­ства за бит­ко­и­ны: нас ин­те­ре­су­ют толь­ко дол­ла­ры

19.10 В Ав­стра­лии офи­ци­аль­но от­ме­не­но двой­ное на­ло­го­об­ло­же­ние бит­ко­и­на

20.10 В Ки­е­ве сно­ва мож­но ку­пить ал­ко­голь но­чью

19.10 Ку­бив рас­крыл де­та­ли про­ек­та мет­ро на Тро­е­щи­ну

19.10 В ян­ва­ре-сен­тяб­ре на рын­ке пер­вич­ной не­дви­жи­мо­сти в Ки­е­ве пред­ло­же­ние уве­ли­чи­лось в 3 ра­за до 66 тыс. квар­тир, - City Development Solution

12.10 Что вы­ве­ло ин­фо­тех­но­ло­гии в трой­ку ли­де­ров укра­ин­ско­го экс­пор­та

05.10 Ки­ев­со­вет про­сит Ра­ду раз­ре­шить со­здать му­ни­ци­паль­ную пар­ко­воч­ную ин­спек­цию

04.10 Ки­ев­ский ры­нок не­дви­жи­мо­сти стал по­сте­пен­но ожи­вать

02.10 В этом го­ду в Ки­е­ве нач­нет­ся стро­и­тель­ство пе­ше­ход­но­го «лег­ко­го» мо­ста

29.09 Меж­ду­на­род­ные ком­па­нии го­то­вы вло­жить $500 млн в парк раз­вле­че­ний в Гид­ро­пар­ке в Ки­е­ве - Клич­ко

27.09 Укра­и­на в еже­год­ном рей­тин­ге кон­ку­рен­то­спо­соб­но­сти WEO под­ня­лась на 81-е ме­сто

22.09 Ли­тов­цы по­мо­гут ки­ев­ским чи­нов­ни­кам вер­нуть Ки­е­вэнер­го в ком­му­наль­ную соб­ствен­ность

21.09 В Ки­е­ве по­явит­ся му­ни­ци­паль­ная охра­на: ре­ше­ние при­ня­то

21.09 Ко­мис­сия по во­про­сам пе­ре­име­но­ва­ний КГГА под­дер­жа­ла пе­ре­име­но­ва­ние стан­ции мет­ро «Пет­ров­ка» на «По­чай­ну»

21.09 Укра­и­на ис­пол­ни­ла ре­ше­ние су­да о ком­пен­са­ции ча­сти из­дер­жек по про­цес­су о дол­ге пе­ред РФ

15.09 Пять фак­тов о стро­и­тель­ном бу­ме в Ки­е­ве: сто­ит ли ждать об­ва­ла цен на квар­ти­ры

14.09 Це­ны квар­тир на "вторичке" в Ки­е­ве про­дол­жат па­де­ние - экс­перт

20.10 Вен­грия и Ру­мы­ния со­глас­ны ждать. Как Укра­ине ис­поль­зо­вать язы­ко­вое "перемирие"

20.10 Ко­нец пе­ре­ми­рия. Где ждать но­во­го боль­шо­го на­ступ­ле­ния ги­бри­дов

20.10 По­че­му псев­до Май­да­ном оста­лись до­воль­ны все. Кро­ме Ко­ло­мой­ско­го

20.10 Пре­рван­ный по­лет: За­чем Ро­зен­блат устро­ил пи­ар НАБУ и САП

20.10 Док­тор Дур­нев, Ти­мо­шен­ко и Бо­го­мо­лец про­тив. По­че­му они оста­лись в мень­шин­стве

20.10 Bellingcat счи­та­ет но­вое фо­то "Бука" до­ка­за­тель­ством при­част­но­сти Рос­сии к кру­ше­нию MH17

19.10 Трейд Ком­мо­ди­ти ма­ни­пу­ли­ру­ет дан­ны­ми о це­нах на дизтоп­ли­во

19.10 Ра­да от­кло­ни­ла три за­ко­но­про­ек­та об из­ме­не­нии си­сте­мы вы­бо­ров в Укра­ине

19.10 Чем от­ли­ча­ют­ся два за­ко­на об от­мене де­пу­тат­ской не­при­кос­но­вен­но­сти

19.10 Чем от­ли­ча­ют­ся за­да­чи США и Ко­ло­мой­ско­го в Укра­ине. По­че­му рас­ко­лол­ся Ми­хо-май­дан

19.10 Ра­да вклю­чи­ла в по­вест­ку и на­пра­ви­ла в КС пре­зи­дент­ский и де­пу­тат­ский за­ко­но­про­ек­ты об от­мене не­при­кос­но­вен­но­сти нар­де­пов

19.10 Ро­зен­блат по­пы­тал­ся вы­ле­теть из Укра­и­ны и был за­дер­жан со­труд­ни­ка­ми НАБУ

19.10 По­че­му По­ро­шен­ко не с кем раз­го­ва­ри­вать на Ми­хо-май­дане

19.10 Сти­вен Пай­фер: Сра­зу по­сле вступ­ле­ния в НАТО Укра­и­на по­про­сит во­ен­ной по­мо­щи, а это ни­ко­му не нуж­но

19.10 Что за со­гла­ше­ние о во­ен­ном со­труд­ни­че­стве с Рос­си­ей рас­торг­ло пра­ви­тель­ство

20.10 Но­вый Lexus LS по­лу­чит «ум­ный» руль

20.10 Пер­спек­ти­вы пла­теж­но­го рын­ка гла­за­ми Visa

20.10 За­ряд­ку элек­три­че­ских мо­то­цик­лов Zero уда­лось уско­рить в шесть раз

20.10 В Google Chrome мо­жет по­явить­ся за­щи­та от крип­то­май­не­ров

20.10 Daimler по­про­сил Ев­ро­ко­мис­сию офор­мить ему яв­ку с по­вин­ной

20.10 Ком­па­ния Mercedes-Benz пред­ста­ви­ла про­щаль­ную спе­цвер­сию вне­до­рож­ни­ка Mercedes-AMG G 65 AMG - Final Edition

19.10 У по­бе­ре­жья Шот­лан­дии за­ра­бо­та­ла пер­вая в ми­ре пла­ву­чая вет­ря­ная элек­тро­стан­ция

19.10 По­ли­цей­ских на­учат об­щать­ся с бес­пи­лот­ни­ка­ми

19.10 На­зва­ны функ­ции ма­шин, ко­то­рые ме­ша­ют во­ди­те­лю

18.10 По­че­му во мно­гих тор­го­вых ком­па­ни­ях та­кая вы­со­кая те­ку­честь пер­со­на­ла

18.10 Все боль­ше вла­дель­цев ма­шин счи­та­ют Android Auto и Apple CarPlay обя­за­тель­ны­ми си­сте­ма­ми

18.10 Нац­банк по­валь­но про­ве­ря­ет бан­ков­ские хра­ни­ли­ща по­сле ограб­ле­ний и атак «обо­рот­ней»

18.10 В дет­ское ав­то­крес­ло впер­вые встро­и­ли по­душ­ки без­опас­но­сти

18.10 Укра­ин­цы пред­ста­ви­ли на Kickstarter уни­вер­саль­ный кон­трол­лер для игр

18.10 Microsoft пред­ста­ви­ла Surface Book 2 — свои са­мые мощ­ные но­ут­бу­ки

18.10 По­че­му во мно­гих тор­го­вых ком­па­ни­ях та­кая вы­со­кая те­ку­честь пер­со­на­ла

13.10 Как луч­ше учить со­труд­ни­ков ки­бер­без­опас­но­сти

12.10 Facebook пе­ре­осмыс­лит прин­ци­пы раз­ме­ще­ния по­ли­ти­че­ской ре­кла­мы

11.10 Как стать эф­фек­тив­ным ли­де­ром ко­ман­ды

09.10 Как ра­бо­тать, ко­гда бо­ле­ет ре­бе­нок

04.10 3 не­до­оце­нен­ных на­вы­ка, ко­то­рые по­мо­гут в ка­рье­ре

03.10 Facebook уже­сто­чит про­вер­ку ре­кла­мы из-за скан­да­ла с объ­яв­ле­ни­я­ми из Рос­сии

02.10 10 за­блуж­де­ний, ко­то­рые ме­ша­ют до­стичь успе­ха

28.09 8 глав­ных сек­ре­тов аген­тов по най­му

26.09 Как фир­ме Levi's уда­лось вер­нуть по­пуляр­ность

25.09 Пять стран­ных, но на­уч­ных спо­со­бов по­луч­ше со­сре­до­то­чить­ся

25.09 Все боль­ше аме­ри­кан­ских ком­па­ний при­креп­ля­ют на­став­ни­ков к но­вым ди­рек­то­рам

25.09 Apple и Google ста­ли са­мы­ми до­ро­ги­ми брен­да­ми пя­тый год под­ряд

22.09 Со­ци­аль­ные се­ти на­би­ра­ют по­пуляр­ность сре­ди ри­эл­то­ров

21.09 Ко­гда быть тру­до­го­ли­ком не вред­но для здо­ро­вья

теги

Apple, Aston Martin, Audi, bitcoin, BMW, Credit Suisse, Deutsche Bank, Facebook, Ford, Google, Huawei, Jaguar, Lamborghini, Lenovo, LG, Mercedes-Benz, Microsoft, Porsche, Samsung, Tesla, Toyota, Volkswagen, Volvo, Xiaomi, Англия, Белоруссия, Венесуэла, Газпром, ЕС, Казахстан, Китай, Молдова, Россия, США, Туркменистан, Турция, акции, депозитные ставки, золото, ипотека, кредит, межбанк, облигации, прогноз, форекс

ТОП-НОВОСТИ

ПОДПИСКА НА НОВОСТИ

 

Это интересно