Газета «Известия», со ссылкой на компанию Zecurion, сообщает, что в России зафиксированы случаи нового вида мошенничества. Злоумышленники удаленно похищают деньги с банковских карт, оснащенных RFID чипами, используя самодельные бесконтактные ридеры. Специалисты Zecurion заявляют, что в 2015 году хакеры сумели похитить у россиян порядка 2 млн рублей.

Лишь около двух миллионов граждан РФ используют карты с RFID чипами. Две наиболее распространенные технологии бесконтактной оплаты товаров были разработаны компаниями Visa и Mastercard. Карты с технологией PayPass (Mastercard) выпускают 43 крупных российских банка, карты c PayWave (Visa) — 16. При расчетах такой картой в большинстве случаев не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки не превышает определенного лимита. В странах еврозоны такие операции ограничиваются 25 евро, в США 15 долларами, в Великобритании 20 фунтами стерлингов (с сентября 2015 года — 30), 50 злотыми в Польше, а в России — 1000 рублей.

Безопасность таких карт давно вызывает вопросы у специалистов. Дело в том, что аутентификация посредством PIN-кода требуется далеко не всегда, плюс RFID чип теоретически можно частично клонировать, притом дистанционно. Хотя PayPass и PayWave предотвращают прямое считывание содержимого с чипа (в том числе ключей шифрования),  с него все же можно достать такие данные, как номер карты и срок ее действия.

В России бесконтактные системы оплаты широкого распространения до сих пор не получили. PayPass и PayWave применяются в нашей стране с 2008 года, но лишь небольшим количеством банков. Проблема в сложности и дороговизне этой технологии, карты с RFID чипами стоят дороже обычных на 50–100% (в зависимости от дизайна и типа карты). В России насчитывается порядка 30 000 точек приема PayPass.

5b8a987ae141d03bea75416da3d69559
Zecurion; автор — Павел Жовнер (twitter.com/zhovner)

Специалисты Zecurion рассказали «Известиям», что средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных ридеров, способных сканировать такие банковские карты. По сути, хакеры создали самодельные аналоги легальных бесконтактных PoS-терминалов. Стоимость настоящего терминала для работы с технологиями бесконтактной оплаты составляет порядка 20 000 рублей. Между тем, если собирать ридер самостоятельно, понадобится около $100 — именно в такую сумму обошлось мошенникам создание устройств.

«Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью, — рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана».

5-20 сантиметров расстояние, казалось бы, небольшое, вряд ли хакер сумеет подобраться так близко. Но в толпе или в общественном транспорте провернуть подобный трюк вполне возможно. Человек может даже не заметить «воровства». Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций.

Невзирая на защиту технологий PayPass и PayWave, с таких карт можно извлечь номер карты и дату окончания срока ее обслуживания – одного этого порой бывает достаточно для проведения транзакций и изготовления клона с магнитной полосой. Кроме того, хакерам доступна история операций по карте, в том числе точные суммы и даты списаний. Исходя из этих данных, можно весьма точно спрогнозировать остаток на счете.

Все же недаром на рынке в последние годы появились кошельки и чехлы для карт с защитой от несанкционированного считывания RFID. Также усложнить жизнь мошенникам можно просто положив две бесконтактные карты рядом – это тоже затруднит получение данных.

Фото: pixabay.com



3 комментария

  1. mk-ultra

    23.01.2016 at 18:13

    А если карту завернуть в фольгу, смогут считать, допустим в метро, в час пик в толпе?

    • Jeffrey Davis

      25.01.2016 at 09:40

      Фейспальмовый вопрос какой-то.
      Ну, допустим, сделают Вам чехол защитный от считывания. Не из фольги тупо, а попродвинутее. Но идиотизм-то ситуации в том, что бесконтактная карта — это такое удобное средство совершения платежей, и всё rulez, а тут вдруг, внезапно, выясняется, что покрасть деньги с такой карты очень просто, как раз из-за того самого. И нужно как-то по-особому теперь её хранить, носить в защитном чехле или специальном кошельке.
      В сухом остатке мы получаем, что удобство использования куда-то улетучивается, а головной боли прибавилось.

  2. toOr

    25.01.2016 at 10:09

    Господа, а как вам раздел, в статье, «безопасность»?

Оставить мнение