Пользуетесь бесконтактными платежами, документами с радиочастотной меткой или используете смартфон в качестве ключа? Все данные под угрозой — но мы научим вас избегать взлома.
Бесконтактные технологии: удобно, быстро, опасно
![011615_apple_nfc_payment[1]](https://www.iphones.ru/wp-content/uploads/2017/03/011615_apple_nfc_payment1-e1490180120194.jpg)
Пластиковые карты и документы с микрочипами на основе ближней радиосвязи (NFC) или с радиочастотными метками (RFID) сегодня есть у каждого. Ими оснащаются многие кредитные и платежные карты, водительские удостоверения, идентификационные карты, паспорта, проездные билеты на метро и многое другое.
Бесконтактная форма идентификации действительно удобна — особенно если это Apple Pay или подобная платежная система. Даже прикладывать к терминалу не нужно: поднес на достаточное для связи расстояние, подтвердил платеж отпечатком пальца, платеж прошел.
Несмотря на свое удобство, обе технологии содержат много дыр безопасности, позволяющих злоумышленникам получить конфиденциальные данные. Для того, чтобы украсть данные карты, пароли со смартфона или скопировать пропуск, не нужно подходить близко.
Чем опасен RFID
Чипы RFID позволяют считывать данные на расстоянии до нескольких метров. Все, что нужно для связи с меткой в документах — купить готовое устройство на eBay.
Считыватели близкого радиуса действия стоят около 50 долларов, дальнего — порядка сотни. Ссылок не дам, и доставка в Россию может вызвать проблему со спецслужбами. Но цена позволяет экспериментировать даже школьнику.
После считывания у злоумышленника на руках остается полная электронная копия всей информации RFID-метки. С ее помощью можно сделать поддельную копию, либо использовать другими методами — в зависимости от типа украденного документа.
Терминалы будут воспринимать копию в качестве оригинала. Доказать обратное практически невозможно.
Чем опасен NFC
![nfc_fb[1]](https://www.iphones.ru/wp-content/uploads/2017/03/nfc_fb1-e1490166458337.png)
NFC фактически является вариацией RFID, хотя и обладает меньшей дальностью — всего несколько сантиметров. Но это — только для заводских, лицензионных устройств.
Исследователи из британского Университета Суррей смогли считать данные по NFC на расстоянии до 80 см. Испанские хакеры и вовсе научили Android-смартфоны превращаться в ретранслятор NFC-сигнала, распространяющего собственные важные данные.
Подобный подход позволяет провести платеж прямо через смартфон владельца. Но есть и другие способы.
Например, подключившись через NFC другим смартфоном или серийно выпускаемым ридером с помощью приложения Banking card reader NFC (Android) можно получить все необходимые данные карт, использованных при операциях в браузере. Далее достаточно найти магазин, позволяющий проводить оплату без ввода указания CSV-кода (а такие еще существуют).
Как защитить свои деньги и данные? Самодельные варианты
Для того, чтобы полностью исключить нежелательные контакты с считывающими устройствами, программных средств может быть недостаточно (об этом — чуть позже).
Поэтому стоит обратиться к дедовским методам, и начисто отрезать излучению путь к своим деньгам картам. Идеальны для этого два материала — вода и металл.
Конечно в пакете с водой носить карты затруднительно. А вот кусок обычной пищевой фольги из рулона (подойдет и от шоколадки — но не из пачки от сигарет) полностью блокирует сигналов RFID и NFC.
Это наиболее эффективный и удобный способ. Достаточно обернуть карту фольгой, и доставать из нее только в момент оплаты.
Боитесь прослыть параноиком? Тогда пригодятся готовые решения.
Как защищают данные ответственные служащие?
Многие западные компании (о российских у меня нет данных) требуют от сотрудников пользоваться специальными бумажниками и обложками для документов с соответствующим логотипом “Protected from RFID”.
Наибольший выбор аксессуаров, блокирующие RFID-сигнал, предлагает компания Identity Stronghold. Часть их ассортимента изготовлено по заказу правительства США для государственных служащих.
Можно найти и более дешевый вариант — на AliExpress есть масса разнообразных чехлов для карт, бумажников с металлическими вставками. Например, такие, или такие. Можно и просто искать по тегу “NFC protected”.
На сайте BetaBrand.com можно приобрести одежду с защитой от несанкционированного доступа. Аналоги есть. К тому же, металлизированную ткань можно найти в продаже и прошить ей карманы одежды (но это уже чересчур суровый DIY).
Кстати, есть и защищенные от беспроводного взлома рюкзаки — например, Dash Keyboard.
Как исключить кражу данных
Впрочем, стоит помнить, что металлический кошелек или визитница для карт не исключают возможность кражи данных карт.
1. Не включайте NFC без надобности, не держите его постоянно включенным.
2. То же касается других беспроводных интерфейсов — Bluetooth и Wi-Fi.
3. Проверяйте активность фоновых процессов, при частом обращении к сетевым интерфейсам неподходящих для этого приложений — проверьте смартфон антивирусом.
4. Не устанавливайте приложения из непроверенных источников.
5. Не теряйте и не оставляйте смартфон в людных местах — как средство доступа к данным он может принести куда большую выгоду, вернувшись в ваши руки.
(8 голосов, общий рейтинг: 4.38 из 5)
40 комментариев
Форум →Любители ведроида – фольгу от шоколадки не выбрасывайте!
@bassist, считаете, что Apple Pay под надежной защитой?)
@Николай Маслов, за всю историю эпплпэй нет ни одного случая кражи денег. снова тут дешевая лапша для школоло
месяца 4 не заходил на айфонс, и не надо было, вы превратились в желтую прессу..
и да, я знаю что вы заблокируете мой каммент, чтоб только я его видел.
@6ec, я вижу твой камент
Страшные сказки! Все застраховано! Поэтому не страшно!
@Lazarus36, читать условия договора с банком?!?! Зачем?
@Lazarus36, вы хотя бы раз пробовали вернуть украденные с карты деньги? НЕ дай бог еще в сбербанке?
@Николай Маслов, странный вы.. а почему банк должен их возвращать!? центробанк печатающий банковские билеты (деньги по вашему) не возвращает из при краже.
этим занимается полиция.
а вот в случае косяков самого банка, вощвращают и идут на всяческую поддержку вплоть до выдачи карты в ближайшем банке партнере за границей.
надо аккуратно обращаться со своими сбережениями
Страшилки на ночь…
Этой страшилке уже пару лет, главный спонсор – продавцы фольги с алиэкспресс.
Вот факты:
1) Чтобы заиметь такой чемоданчик, нужно заключить договор с банком, оформить кучу документов, стать на учёт и вам выдадут терминал с конкретным номером – итого минус как минимум 500.000 – 1000.000 расходов.
2) Работает терминал на расстоянии 30-50 см, т.е вы должны переобнимать полтолпы, прежде чем, что-то вам капнет.
3) За раз снимается не более 999 рублей, более 3 транзакций по одной карте за минуту и вы в черном списке.
4) Если хоть один из обнятых вами пожалуется в свой банк, то по номеру транзакции высветится ваш номер терминала и далее все ваши данные, т.е для полиции вы на голубом блюдечке с бантиком.
Догадайтесь, почему до сих пор никто этим заморачиваться не стал
@zenya2014, 3) За раз снимается не более 999 рублей, более 3 транзакций по одной карте за минуту и вы в черном списке.
По номеру 3:
С чего это вы взяли? Лимиты за одну операцию банк не устанавливает.
До 1000 рублей просто подпись не требуется, свыше 1000 на кассовом чеке.
И то если отключена опция ввода пин свыше 1000 руб.
@rushave, знаток :)
Fraud Management System (FMS) отрабатывает и не дает снимать, жди минут 15 и будет карта работать.
@red2121, дилетант :)
ВЫ вообще это к чему?
Фрод – система безопансти банка. И ее работа и алгоритмы стого засекреченны. И как правило она работает при использовании реквизитов карты (интернет-эквайринг и переводов С2С), а не при использовании пластика.
@zenya2014, так много писали, а судей текст прочитать не удосужились – не обязательно снимать сразу деньги, можно сделать слепок. а после расплачиваться им в магазинах, пока не заблокируют…
в штатах, например, фишинговыми картами покупают подарочные сертификаты в аптеках/гипермаркетах и карточки айтюнс…это огромный бизнесс о котором все знают
@zenya2014, Потому что не сталкивались.
Я работал с компанией, занимающейся пересылкой товаров из США. К ним по поводу покупок, купленных на краденые карты, приходили регулярно – раз в 3 дня. Раз в месяц по этому же поводу ФБР закрывали контору на перепроверку документации и т.д.
Да, много карт уводится онлайн – но ничуть не меньше в оффлайне. Хорошо, если дело как в России – одна юрисдикция, одни законы. Но в США начинаются проблемы. Собстенно, в России их не меньше.
Если у вас украли карту, купили с нее что-то у мелкого частника, а потом владелец отменил транзакцию – кто-то все равно остался без товара. С учетом того, что кардеров ловить не любят – денег мелкий продавец не дождется.
@Николай Маслов, Бред!
@baraba6ka, ну да, конечно. Мне, присутствовавшему на подобной проверке – конечно все показалось.
@zenya2014, перечитал. Вопрос – какой еще чемоданчик и договор? НА eBay готовые комплекты продают – бери и пользуйся. Расстояние – до полутора метров.
Ну а деньги отоварить можно из далекой страны через Tor и 10 проксей. :/
Кстати, про отоваривание – почитайте, как Pochtoy.com с кардером ругался.
del
“После считывания у злоумышленника на руках остается полная электронная копия всей информации RFID-метки.”
Вы бы хоть прежде чем статью публиковать, почитали бы как бесконтактный банкинг работает.
@FiLunder_7, Расскажите? Больших перемен разговоры о новых технологиях не произвели.
Ничто не защищено. Все дозволено.
@Николай Маслов, Пока искал для вас инфу, понял что это мой товарищ ввел меня в заблуждение. Так что приношу извинения. Он говорил, что в стандарте бесконтактных EMV используется DDA (Dynamic data authentication), динамический код-ответ, как и при операции с чипом. А на самом деле он пока не используется, а только планируется в следующем стандарте.
@FiLunder_7, https://habrahabr.ru/post/161401/
После таких статей появляется острое желание забыть про этот сайт. И что обидно, происходит это все чаще. Жаль.
И шапочку из фольги на голову. Торсионные поля – это не шутки.
Лавров.jpg
Выпустить бесконтактную карточку, а потом везде ссаться ее носить? В жопу, надежнее обычной с паролем пока не придумали…Либо АР
@The AGENT, У меня на учебе поставили турникеты с доступом по бесконтактной карте сбера. Туда еще и деньги догадались переводить. :/
@Николай Маслов, ну может хоть так соберут на ремонт класса и последний звонок.
Вообще нет связи с iPhone
@vozz, Apple Pay и куча обычных банковских карт – не для вас?
А чем включённый BT и WiFi мешает то?
@vetok, по BT можно получить доступ к NFC, по WIFI – более глубокий.
@Николай Маслов, ваши комментарии читать дико смешно, спасибо за хорошее настроение в понедельник!
более глубокий, Карл!!! более, более глубокий))))) ыыыыы)))) ой мама!!!!!
Брал на Али за пару центов. Использовал не для защиты, а чтоб проездной в метро с другими картами не конфликтовал.
Такое ощущение, что статья попросту скопирована с какого-то ресурса про Андройд! Зачем это тут?
Зачем фольга? Достаточно держать карточку рядом с айфоном в одном кармане.
К примеру если я держу карточку в одной руке с айфоном (6+) то она срабатывает только при полном контакте, а если айфон закрывает карту то и вообще сигнал не пробивает.
У компании Викторинокс есть куча сумочек, кошельков и других сумок с защитой от сканирования.
все эти сумочки и чехлы на самом деле были слеланы чтоб карты не глючили и не помирали от кривых считывателей и прочих ищлучателей.
к примеру все подмосковные точки пополнения карт тройка умеют убивать из на раз два при пополнении. люди прикладывающие весь кошелек к турникетам в автобусе и метро тоже сталкиваются потом с мертвой картой
Автора статьи, я бы уволил! статья- любая, что бы не лил шлак!
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Повышает ли износ аккумулятора iPhone использование Smart Battery Case
Как на iPhone запретить приватный режим Safari
Как настроить вывод видео и звука на телевизор с macOS или iOS?
Как на iPhone убрать виджет плеера на экране блокировки при подключении гарнитуры
Как в iOS установить время по умолчанию для напоминаний на весь день
Как на iPhone найти и изменить ненадежные пароли из связки ключей
Не могу отключить щелчок камеры при съемке. Работает в любом режиме.
Не обновляется прошивка на Apple Watch, что делать?