Хакеры научились удаленно получать информацию с RFID-карточек

Хакеры научились удаленно получать информацию с RFID-карточек

На хакерской конференции Shmoocon, которая прошла в Вашингтоне в минувший уикенд (27-29 января) известный специалист по безопасности Кристин Пейджет (Kristin Paget) из компании Recursion Ventures провела демонстрацию дистанционного считывания конфиденциальной информации с банковской карты, оснащённой радиочипом RFID. Вообще-то, об уязвимости бесконтактных карточек говорят уже лет пять, но нынешняя демонстрация показала, что надёжной защиты безопасности до сих пор не появилось. Для считывания информации с карт использовалось недорогое оборудование совокупной стоимостью в пару сотен долларов.



Для дистанционного считывания номера карты, срока действия и одноразового номера CVV использовался кард-ридер Vivotech, который можно купить на eBay за $50. Далее, с помощью намагничивающего устройства стоимостью $300 эти данные можно записать на чистую карту, сообщает xakep.ru.

Во время демонстрации Пейджет пригласила на сцену добровольца, который не вынимал из кармана кошелёк с карточкой. Считывание данных и намагничивание новой карточки заняло пару минут, после чего Пейджет достала iPhone с модулем Square, который позволяет принимать платежи, и перевела $15 на свой счёт, используя только что сделанный клон карточки. Чтобы ни у кого не оставалось сомнений в правдивости фокуса, Пейджет показала номер клонированной карточки на большом экране со сцены.

Бесконтактные карточки появились в обращении относительно недавно, и платёжные системы широко рекламируют их как удобное средство платежа. По данным Smart Card Association, сейчас в обращении находится около 100 млн таких карт. Соответствующая технология у компании Visa называется payWave, у MasterCard — PayPass, у Discover — Zip, а у American Express — ExpressPay. Все они одинаково уязвимы для съёма данных.

В данном случае хакерский RFID кард-ридер ничем не отличается от легального терминала торговой точки. Самое сложное в такой атаке — приблизить кард-ридер на максимально близкое расстояние к кошельку с карточкой. На практике это можно сделать в переполненном транспорте или в очереди, спрятав устройство в кармане и «случайно» столкнувшись с владельцем карты. В принципе, физический контакт даже необязателен, достаточно максимально близко приблизиться к жертве.

Данный тип атаки — не какая-то дыра в безопасности, а фундаментальный изъян платёжной системы, которую специально сделали максимально простой в использовании. В нынешней версии технологии RFID-карты не передают беспроводным способом имя пользователя, PIN-код и трёхзначный постоянный CVV. Представители платёжных систем говорят, что за шесть лет не задокументировано ни единого случая подобного рода мошенничества, что является доказательством достаточной защиты для такого рода атак, где злоумышленнику трудно сохранить свою анонимность.

В самом деле, использование одноразового CVV делает возможным проведение только одной транзакции с клонированной карточки, а при попытке второй транзакции она будет заблокирована.

По мнению Пейджет, это означает только то, что злоумышленнику нужно посетить оживлённое место, где за один вечер можно набрать множество «одноразовых» карт. По словам специалиста, они в компании Recursion Ventures сейчас работают над созданием специального бумажника Guardbunny с RFID-детектором, который будет сигнализировать о попытке сканирования — глаза у кролика на бумажнике начинают светиться и он издаёт громкие звуки. Кроме того, в бумажнике будет проактивная защита против сканирования вместо малоэффективных алюминиевой прокладки, которую сейчас вшивают в кошельки и которая не спасает от мощного сканера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

  • Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
  • В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru