На днях в интернете началась паника: в продаже появились устройства, которые якобы могут клонировать вашу банковскую карту на расстоянии. Утверждается, что гаджет может создать 15 копий бесконтактной карты всего за секунду. Hi-Tech.Mail.Ru оперативно разобрался в ситуации и выяснил, правда ли это.
Данные крадут за секунды
Группа хакеров The CC Buddies продает в даркнете новый девайс, который способен клонировать 15 банковских карт в секунду с расстояния в восемь сантиметров. Не надо ни к кому прижиматься: прошел по вагону метро — девайс скопировал данные с современных бесконтактных карт и записал их во внутреннее хранилище. Впоследствии злоумышленник подключит прибор к компьютеру через USB-порт, а специальное приложение, которое The CC Buddies продают в комплекте с устройством, позволит извлечь украденную информацию и в буквальном смысле создать клон вашей карты на пластиковом носителе.
Но деньги украсть не получится
Продается прибор за 1,2 биткоина, что по текущему курсу составляет чуть более 800 долларов. Что же, пора оставлять дома бесконтактные карты?
На самом деле все совсем не так. Этот прибор рассчитан на не особо разбирающихся в теме «кулхацкеров» (англ. cool hacker, "крутой хакер" в ироничном смысле), желающих «халявы нахаляву». Если почитать описание прибора, то становится очевидна его безобидность: заявлено, что Contactless Infusion X5 собирает данные о номере карты и сроке ее действия (эти данные есть в любой карте), а также, при их наличии — дополнительные данные, а именно, адрес владельца и список последних операций по счету. Казалось бы, вон сколько данных! Однако украсть деньги они не помогут, и вот почему.
Устройство, которое клонирует 15 пластиковых карт за секунду / Softpedia
Клонировать бесконтактную карту таким образом нельзя, потому что здесь авторизация строится на генерации чипом ответа на запрос на базе хранящегося в защищенной области памяти ключа (откуда невозможно прочитать этот ключ физически). Расплатиться через интернет такой картой нельзя — недостаточно данных, плюс никто не отменял двухфакторную авторизацию 3D-Secure (в приличных банках без нее не работают платежи через интернет вообще). Залить данные карты на карту с магнитной полосой можно. Но карта же чиповая, и при операции по магнитной полосе банк, через который попытаются снять деньги, должен будет вернуть их, поэтому такие операции практически везде запрещены, и в любом случае ваш банк вернет вам средства по опротестованной операции. То есть бояться нечего — есть мнение, что подобные вбросы распространяются продавцами экранированных кошельков, чтобы увеличить спрос на свой товар.
Бесконтактные транзакции защищены не хуже, чем платежи по чипованным картам (тем более, что карты, поддерживающие бесконтактные платежи, всегда чипом оснащены). Стандарт EMV, по которому защищены беспроводные платежи, исключает саму возможность клонирования карты по информации, передаваемой во время транзакции. Это даже сложнее, чем клонировать человека по капле слюны. Ну и если бы у кого-то появилась такая возможность, вряд ли бы он торговал ей по цене айфона, потому что Visa и MasterCard купили бы описание уязвимости гораздо дороже
Сергей Вильяновредактор направления IT и инноваций портала bankir.ru
Что думает платежная система?
В MasterCard отметили, что пользоваться бесконтактной технологией оплаты просто, удобно и так же безопасно, как и другими решениями MasterCard для оплаты покупок и услуг. Это современное и высокозащищенное решение. Чтобы ваши деньги остались при вас, вовлечено сразу несколько уровней защиты – на самой карте (или другом бесконтактном устройстве), в терминале, в котором обслуживается карта, на уровне платежной системы, на уровне банков – и эмитентов карт, и эквайеров. Важно понимать, что безопасность в вопросах безналичной оплаты банковскими картами – это всегда комплекс мер: технических, административных, логистических и т.д.
Прежде всего бесконтактная оплата – это операция, совершаемая только на сертифицированном терминале, который подключен к инфраструктуре банка, а банк, в свою очередь, – к платежной системе. Операция обрабатывается участниками платежной системы, которые выполняют соответствующие правила. Обычный человек не может получить банковский терминал. Терминал связан с банком защищенным каналом, и банк не просто «передает» данные, но и исполняет определенные требования по безопасности, за которыми следит платежная система. В частности – банк проверяет при подключении торговые и сервисные компании.
Обмен данными между терминалом и бесконтактной картой происходит на очень коротком расстоянии – менее 4 см. Поле контакта достаточно маленькое – в него нужно довольно точно попасть, чтобы совершилась оплата. Повторная оплата исключена – терминал переходит в пассивный режим после проведения транзакции.
Фото: Олег Горобец / Блог «Лаборатории Касперского»
Диалог между картой и терминалом содержит одноразовые зашифрованные пароли, которые генерирует специальный чип, и минимум информации о карте – например, в нем нет даже имени владельца карты.
Каждая бесконтактная операция уникальна – ее просто нельзя повторить, потому что каждый раз между картой и терминалом происходит обмен одноразовыми динамическими паролями.
Держатель карты получает СМС о расходах по карте. Вы знаете, что потерянные наличные нельзя вернуть. Но если вы забыли или потеряли любую карту − обычную или бесконтактную – вы всегда можете ее оперативно заблокировать через банк.
Кстати, похожую историю уже описывал один из сотрудников «Лаборатории Касперского» в своем аккаунте Facebook. Он заметил в метро пассажира с банковским терминалом в руках и раздул панику, что деньги с бесконтактных банковских карт могут украсть «по воздуху». Правда, через полчаса пост был удален, но белки-истерички уже полгода как пишут со ссылкой на него о том, как страшно жить, в смысле, ездить в метро с банковскими картами PayPass и PayWave в кошельке. Мол, для покупок до 1000 рублей никакой авторизации не требуется, поэтому прячьте ваши денежки и надевайте шапочки из фольги.
На самом же деле бояться нечего и картами с NFC можно пользоваться. Если же вы совсем параноик - используйте NFC-оплату в смартфоне, привязав карту к нему через промежуточный сервис вроде "Карты Билайн": в этом случае без запуска приложения и ввода пароля бесконтактная оплата работать вообще не будет.
Степан Зайцев
https://hi-tech.mail.ru/news/nfc-cards-to-clone/#a03