Сбережения и инвестиции
3,237,415
6,487
|
ФилипС ( Слушатель ) |
| 12 дек 2017 19:03:27 |
Убить NFC-режим.
новая дискуссия Дискуссия 868
Вот и до меня ВНЕЗАПНО
докатился прогресс...
Для начала - "вводная":
Внимания не обращал сам, а продавщица в магазине сегодня "обрадовала": "Так у Вас же вай-фай карточка! Не нужно её вставлять! Вот, смотрите!".
Прикладываем банковскую карту к pos-терминалу и - оп! - платёж совершён!
Удивился, "поигрался" в других магазинах, - да, таки работает!
Огорчился, поскольку "плотно контролировать банковскую карту", раз ей можно без пинкода воспользоваться, - это дополнительная головная боль...
В качестве некоторого оправдания своей паранойи могу сказать, что на работе используются для доступа в помещение подобные nfc-карты.
Карта у меня лежит в кармане куртки между несколькими толстыми корочками пропусков.
Для входа достаточно прислониться своим пузом к считывателю.
Ещё раз повторюсь - доставать конкретную карточку и прикладывать к определённому месту считывателя - не требуется.
То есть - с расстояния в пять-десять миллиметров процесс проходит успешно.
Поэтому факты, описанные выше в статье, на мой взгляд вполне реальны...
Пока что пойду искать "шапочку из фольги", чтобы завернуть в неё карточку.
Но проблема, кроме "считывания из кармана", заключается ещё и в том, что если обычную карту использовать без моего ведома, скажем так, - затруднительно, то с NFC-модулем - оказывается легче лёгкого.
Далее - пришёл в отделения банка.
"Девочки" сильно удивились моему желанию "или включить пинкод, или выключить NFС".
Аргументация - убийственная: "так пинкод не требуется, если сумма меньше тысячи рублей же! а если больше - то требуется вводить пинкод..."
На мой вопрос: "за сколько подходов я смогу потратить Вашу (провинциальную) зарплату?" она потупилась и пошла разбираться к начальнице.
Итог: а ничего сделать с этим нельзя!
То есть - физически изменить пороговую сумму - нельзя, включить "всегда пинкод" - нельзя, отключить nfc - нельзя. :-/
В данном ХоумКредитБанке организовано так, что сначала, в день обращения выдают неименную карту, на которой нет NFC, а затем неторопясь выпускают именную карту, на которой уже этот NFC есть.
Предложили проверить мою неименную, если она ещё жива, то принести им в банк именную и заблокировать её.
Других вариантов у них нет.
Но тутОстапа понесло меня посетила такая мысль: поскольку карту всё равно будем уничтожать, то можно над ней "слегка поиздеваться", а именно - попробовать убить NFC-модуль, или, хотя бы, просто пережечь печатную антенну.
Если, в результате, чип умрёт "целиком и полностью", это будет "неприятно, но не смертельно".
Однако же, конечно, не хотелось бы "просто бросить карточку в топку".
Тонкостей технологии изготовления я не знаю, поэтому и хочу тут спросить: возможно кто-то уже занимался подобными изысканиями?
"На первое" у меня есть бытовой сетевой размагничиватель, которым пользовались лет двадцать назад для быстрого размагничивания катушек с магнитной плёнкой.
"На второе" могу попробовать вч-передатчик в несколько киловатт...
Что ещё можно попробовать для избирательного уничтожения антенны NFC или его мозгов, не зацепив остальной части чипа?
докатился прогресс...Для начала - "вводная":
ЦитатаС пластиковых карт начали угонять деньги «по воздуху»
Выявлен новый способ хищения денег: сигналы карт с бесконтактными технологиями мошенники перехватывают с помощью специальных устройств
22 января 2016, 00:01
Анастасия Алексеевских
Фото предоставлено Zecurion
В России появился новый вид мошенничества — кража денег с карт россиян, оснащенных технологиями бесконтактной оплаты товаров (карта прикладывается к PoS-терминалу, сумма покупки списывается с «пластика»).
По данным компании Zecurion, мошенники увели с карт россиян с помощью своих самодельных терминалов (RFID-ридеров) 2 млн рублей в 2015 году.
Опрошенные компании, специализирующиеся на IT-безопасности, отметили, что мошенники научились воровать с карт с помощью смартфонов, оснащенных чипами NFC (NFC — разновидность RFID).
Технологии бесконтактной оплаты товаров разработаны американскими платежными системами Visa (PayWave) и Mastercard (PayPass) для ускорения и упрощения безналичной оплаты покупок.
Карты с технологией PayPass выпускает 43 крупных российских банка, карты c PayWave — 16. Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой.
При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей).
По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 млн россиян.
Заявлено, что в России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.
Visa и Mastercard на своих сайтах, посвященных PayPass и PayWave, предусмотрели правила безопасности, но они не отличаются от тех, что выработаны для классических банковских карт (PIN-код должен быть неочевидным; его не следует писать на обратной стороне «пластика»; карта всегда должна быть в поле зрения, а телефоны для связи с банком — под рукой). PayPass и PayWave начали распространять в России в 2008 году, но до сих пор широкого распространения не получили: небольшое количество банков, эмитирующих такие карты, объясняется сложностью и дороговизной этой технологии, да и сама карта стоит дороже обычных на 50–100% (в зависимости от дизайна и типа карты).
Суть схемы похожа на перехват сигналов электрозамков угонщиками автомобилей.
Как сообщили в Zecurion, средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID (см. фото).
По большому счету это аналоги легальных бесконтактных PoS-терминалов: RFID-ридеров, посылающие электромагнитные сигналы.
— Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью, — рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана.
В переполненном транспорте, на рынке, в магазине сделать это нетрудно.
Человек может даже не заметить «воровства».
Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций (влекут хищения средств с подлинных банковских карт).
Стоимость легального считывателя для PayPass и и PayWave — от 20 тыс. рублей.
Но надо понимать, что хакерам для считывателя нужно немного, а компоненты не очень сложно заказать.
Стоимость RFID-ридеров, которыми пользуются хакеры для воровства денег с банковских карт россиян, составляет $100, — их хакеры изготавливают самостоятельно.
Самый примитивный считыватель состоит из специального контроллера, антенны для приема сигнала и интерфейса для подключения к компьютеру и программного обеспечения на самом компьютере.
Как указывает замдиректора департамента аудита защищенности компании Digital Security Глеб Чербов, мошенникам достаточно бесконтактно получить номер карты и дату окончания срока ее обслуживания.
— Этих данных уже достаточно для проведения транзакций через подставные интернет-площадки или изготовления дубликата магнитной полосы карты, также достаточного для списания средств, — поясняет Чербов.
— Из доступной «по воздуху» информации для злоумышленников также представляет интерес и история операций по карте, включающая в себя точные суммы и даты списаний.
Располагая этими данными, несложно составить примерный профиль владельца и предположить текущий остаток по счету.
У мошенников есть и более дешевые способы кражи данных с бесконтактных карт — обычный смартфон с поддержкой NFC.
Им можно с расстояния в несколько сантиметров воровать данные банковских клиентов.
Но Чербов успокаивает, что защититься от мошеннической атаки не так сложно.
— Существуют кошельки, которые защищают карту от считывания (RFID blocking wallet), появились карты, которые кладутся в кошельки рядом с собственными — по цене около 500 рублей, — говорит Чербов.
— Также пользователям новых карт можно посоветовать придерживаться давно известных рекомендаций относительно того, чтобы быть внимательными с SMS-информированием и соблюдать другие известные правила при проведении трансакций.
https://iz.ru/news/602196
Внимания не обращал сам, а продавщица в магазине сегодня "обрадовала": "Так у Вас же вай-фай карточка! Не нужно её вставлять! Вот, смотрите!".
Прикладываем банковскую карту к pos-терминалу и - оп! - платёж совершён!
Удивился, "поигрался" в других магазинах, - да, таки работает!
Огорчился, поскольку "плотно контролировать банковскую карту", раз ей можно без пинкода воспользоваться, - это дополнительная головная боль...
В качестве некоторого оправдания своей паранойи могу сказать, что на работе используются для доступа в помещение подобные nfc-карты.
Карта у меня лежит в кармане куртки между несколькими толстыми корочками пропусков.
Для входа достаточно прислониться своим пузом к считывателю.
Ещё раз повторюсь - доставать конкретную карточку и прикладывать к определённому месту считывателя - не требуется.
То есть - с расстояния в пять-десять миллиметров процесс проходит успешно.
Поэтому факты, описанные выше в статье, на мой взгляд вполне реальны...
Пока что пойду искать "шапочку из фольги", чтобы завернуть в неё карточку.
Но проблема, кроме "считывания из кармана", заключается ещё и в том, что если обычную карту использовать без моего ведома, скажем так, - затруднительно, то с NFC-модулем - оказывается легче лёгкого.
Далее - пришёл в отделения банка.
"Девочки" сильно удивились моему желанию "или включить пинкод, или выключить NFС".
Аргументация - убийственная: "так пинкод не требуется, если сумма меньше тысячи рублей же! а если больше - то требуется вводить пинкод..."
На мой вопрос: "за сколько подходов я смогу потратить Вашу (провинциальную) зарплату?" она потупилась и пошла разбираться к начальнице.
Итог: а ничего сделать с этим нельзя!
То есть - физически изменить пороговую сумму - нельзя, включить "всегда пинкод" - нельзя, отключить nfc - нельзя. :-/
В данном ХоумКредитБанке организовано так, что сначала, в день обращения выдают неименную карту, на которой нет NFC, а затем неторопясь выпускают именную карту, на которой уже этот NFC есть.
Предложили проверить мою неименную, если она ещё жива, то принести им в банк именную и заблокировать её.
Других вариантов у них нет.
Но тут
Если, в результате, чип умрёт "целиком и полностью", это будет "неприятно, но не смертельно".
Однако же, конечно, не хотелось бы "просто бросить карточку в топку".
Тонкостей технологии изготовления я не знаю, поэтому и хочу тут спросить: возможно кто-то уже занимался подобными изысканиями?
"На первое" у меня есть бытовой сетевой размагничиватель, которым пользовались лет двадцать назад для быстрого размагничивания катушек с магнитной плёнкой.
"На второе" могу попробовать вч-передатчик в несколько киловатт...
Что ещё можно попробовать для избирательного уничтожения антенны NFC или его мозгов, не зацепив остальной части чипа?
Отредактировано: ФилипС - 12 дек 2017 19:10:10
ОТВЕТЫ (17)
|
Oleg.V. ( Слушатель ) |
| 12 дек 2017 19:52:07 |
Глупость по сути бороться с этим модулем. Если включить подобную логику, нужно уничтожить cvv код, сошлифовать имя и фамилию, а так же срок действия.
Короче бред по сути.
Будте аккуратны в обращении с картами и будет вам счастье.
Короче бред по сути.
Будте аккуратны в обращении с картами и будет вам счастье.
|
|
ФилипС ( Слушатель ) |
| 13 дек 2017 15:06:49 |
Цитата: Oleg.V. от 12.12.2017 19:52:07
Про "аккуратны" - никто, думаю, и не спорит.
А вот про "бред" - я не согласен.
CVV можно стереть с карты (отдельный вопрос - нафиг его вообще на них пишут? почему тогда пинкод рядом не пишут?) и безопасность, в случае утери, повысится.
Как использовать карту, зная только имя-фамилию и срок действия - я не знаю.
Магазинов, где не требуется cvv я давно не встречал, хотя, не удивлюсь, если таковые ещё есть.
Но, на мой взгляд, одно дело просто оплатить в розничном магазине/на заправке или в массовом интернет магазине, а другое искать под "ущербную карту" реликтовый магазин, где будет достаточно неполного набора данных.
|
inok ( Слушатель ) |
| 13 дек 2017 16:58:52 |
Цитата: ФилипС от 13.12.2017 15:06:49
Несколько RFID карт в одном кошельке не дадут считать (например добавит социальную и пару проездных, можно еще метку с одежды приклеить и звенеть на выходе
) ... Можете проверить... Для особо впечатлительных параноиков уже даже специальные кошельки выпускают. В целом защита такой карты лучше чем чем гугл или апл пэй.... Лучше не экономить и подключить смс информирование и поставить лимиты на карту. Гораздо больше шансов влететь на деньги при нечестной продавщице, которая спишет деньги дважды.... Попадал не один раз... Хорошо смс сразу приходили пока не отошел далеко от кассы...
|
|
ФилипС ( Слушатель ) |
| 13 дек 2017 18:26:36 |
Цитата: inok от 13.12.2017 16:58:52
Всё верно.
Но меня больше заботят "ручки шаловливые" в моё отсутствие.
Цитата: inok от 13.12.2017 16:58:52
Когда я после ночной смены утром ложусь спать, смски я могу увидеть только следующей ночью, что "несколько напрягает"...
Надеюсь, завтра проверю результат своих "очумелых ручек" на тему "выключения NFC".
Добавлю ещё, что попадалось мне в интернете, что "пороговую сумму можно изменить".
Я бы уменьшил порог до одного рубля и проблема была бы решена, однако, этот банк утверждает, что не может этого сделать.
|
А вон турист ( Слушатель ) |
| 13 дек 2017 21:02:14 |
Сообщение удалено
А вон турист
13 дек 2017 22:03:12
А вон турист
13 дек 2017 22:03:12
Отредактировано: А вон турист - 13 дек 2017 22:03:12
|
|
ФилипС ( Слушатель ) |
| 13 дек 2017 21:41:30 |
Это "бесплатная кредитка" в виде карты рассрочки.
Наличку снять вообще невозможно.
Только оплата "везде и всегда".
Это вообще - без вариантов".
|
|
ФилипС ( Слушатель ) |
| 14 дек 2017 17:12:04 |
Цитата: ФилипС от 13.12.2017 18:26:36
Итак, результат: С помощью "ножа кухонного" и
Пояснения к картинке :
0. Глазом "в натуре" видно гораздо лучше, чем при фотографировании в таких сложных условиях "на коленке".
1. Просвечиваем сзади карту очень ярким фонариком, видим, где проходят параллельные дорожки в карте. Глазом выглядит , как несколько параллельных линий, на картинке - синие полоски вправо и вниз от значка NFC. (Кто хоть раз видел печатный монтаж - поймёт). На картинке эта область выделена красным квадратом. Подозреваем, что это и есть антенна NFC. Прерываем эти дорожки. Можно иглой каждую дорожку, я - ножом сделал одно отверстие. На картинке эта дырка отмечена красной стрелкой.
2. Карта при использовании чипом - работает без замечаний, при использовании NFC - не работает совсем. Чего, собственно, и добивался. Проверил в нескольких магазинах. Продавщицы "сильно удивлялись, почему их терминал перестал срабатывать на вайфайные карты, ведь сегодня он успешно это делал!?"
Если не торопиться, использовать тонкий скальпель, да ещё и "замести следы", то есть - хотя бы для приличия замазать сделанную дырку, то "постороннему человеку ничего не видно и ничего не понятно".
)
|
|
ФилипС ( Слушатель ) |
| 13 дек 2017 20:48:53 |
Цитата: inok от 13.12.2017 16:58:52
Интернет говорит, что "прочитается несколько карт, однако платёж пройдёт с той, сигнал с которой будет сильнее".
Сам не пробовал.
|
Cocainum ( Слушатель ) |
| 14 дек 2017 00:51:09 |
Цитата: inok от 13.12.2017 16:58:52
А вот меня это БЕСИТ в Сбербанке. После кажой транзакции с картой шлют "Ваш оставшийся лимит на карте .....". Повбивав бы! Нафиг мне это не надо! Находка для гопников, фактически. Отожмут телефон у девочки, почитают что там 50000 рублей есть - и пойдут с ней до банкомата, спасибо блин Сбербанку! Да и СМСки чужие почитать тоже особых проблем нет. А тут получается что чуть ли не любому желающему вещают сколько у меня на карте. Спасибо, не надо.
Раньше как хорошо было - авторизация по одноразовым кодам. Теперь - вынудили телефон завести и засветить его банку.
ЦитатаГораздо больше шансов влететь на деньги при нечестной продавщице, которая спишет деньги дважды.... Попадал не один раз... Хорошо смс сразу приходили пока не отошел далеко от кассы...
А тут как раз опасности не вижу. Бывало что индусы и индонезийцы всякие в своих странах двойное списание на карту делали. И в Америке по ошибке кассир заправки два раза картой шмыгнул через считыватель. Служба безопасности срабатывала моментально и банки не давали моему счету потощать.
|
|
inok ( Слушатель ) |
| 14 дек 2017 08:07:23 |
Цитата: Cocainum от 14.12.2017 00:51:09
У Меня разок сербские авиалинии задвоили платеж и угнали кредитную карту в овердрафт (ниже кредитного лимита), что вообще теоретически должно быть невозможно... Полгода доказывал банку что я только один билет купил. А на овердрафт банк насчитал за неделю почти 2000 штрафов за незаконный овердрафт... Вернули штраф спустя почти год после долгой переписки, И то я даже этот незаконный овердрафт погасил сам, как только узнал... Не стал ждать справедливости, а так думаю что за полгода сумма штрафов набежала внушительная, и банк сначала коллекторов бы прислал.... А в сетевых "перекрестках" и на АЗС (тут вообще пипец), это вообще в порядке вещей... Глаз да глаз за ними...:(
|
|
Oleg.V. ( Слушатель ) |
| 13 дек 2017 23:10:17 |
Цитата: ФилипС от 13.12.2017 15:06:49
Все без исключения оплаты в онлайне требуют cvv.
Если же заморочиться можно и перехват смс делать
А главное - это все таки прослеживаемые платежные системы. Если что и уйдёт «налево» то можно отследить, а главное - вернуть.
Потому парится с чипом Карты не стоит. Бояться сказок про 5,10,20см дальности «перехвата» это именно бред. Реально 1, максимум 1,5 см. И время не забывайте. На считывание (читай идентификацию и собственно оплату) требуется несколько секунд, а это не мало учитывая необходимость держать расстояние. Мгновенно это невозможно.
Вывод- если вы держите на карте «на каждый день» миллионы $€£₽ то это диагноз (беспечность)
В противном случае переживания излишни. В крайнем случае заморочиться со спец кошельком (не мой вариант)
PS
Попадаются подобные статейки с завидной регулярностью. Вся эта возня подобна обсуждению антивирусов для iOS. Смешно, не более.
|
|
ФилипС ( Слушатель ) |
| 14 дек 2017 10:55:56 |
Цитата: Oleg.V. от 13.12.2017 23:10:17
Повторюсь - меня беспокоит больше не "считывание из кармана", а "неконтролируемое использование без моего ведома".
Цитата: Oleg.V. от 13.12.2017 23:10:17
Я речь веду о Кредитной карте, поэтому "ограничить сумму на ней" - не вариант...
|
|
Cocainum ( Слушатель ) |
| 13 дек 2017 12:30:26 |
Цитата: ФилипС от 12.12.2017 19:03:27
Прогресс - так и устроен, что многие его вещи "хочется бросить в топку". Потому как есть оптимисты-идиоты (интересно было бы поразмышлять, всегда ли оптимисты идиоты - но потом), которые видят только хорошее - а вот умных людей куда меньше. Например, куча идиотов сейчас прыгают от радости что будут машины без водителя - но не понимают КАКИМ геноцидом это может стать. Но это не для этой конфы. Для параноиков насчет карт - картинку прилагаю, чтобы спокойно не спалось.
А если практически - то наверное не стоит париться. У меня таких карт три или четыре, плюс карта беспроводная метро, и если они пачкой лежат - то хрен они работают, так как начинают сразу вместе отзываться. Ради интереса попробуйте карту Тройка или свой пропуск сложить пачкой с беспроводными бансковскими картами и ко считывателю метро или на работе поднесите. Не должно работать. Другое дело, что идиоты-оптимисты своими улиточными мозгами, например, не подумали что В ЛЮБОЙ МОМЕНТ может завестись хакер, который проломает системы NFC-считывателей в метро, и начнет не только списывать 35 рублей за проезд, но и 999 рублей с карты, которая в кошельке рядом лежит. Или дистанционно проломают считыватели пропусков в офисе (а бывают к интернету подключенные) - и устроит в офисные центры платный вход.
Кстати, ваш паспорт (пока заграничный только) тоже можно дистанционно считать. Вроде пока на него кредит взять еще нельзя - но то ли дело впереди!Бытовой сетевой размагничиватель - использовать не советую. Сотрется магнитный стрип на карте, она не будет признана банкоматом и невозможно будет заплатить во многих терминалах при поездке в Америки и Канады всякие.
Уничтожения антенны NFC или его мозгов, не зацепив остальной части чипа сделать вряд ли (да еще за малые деньги) - так как мне кажется что это один кристалл под контактами расположенный. Поэтому сознательные люди в той же Америке уже активно покупают бумажники с функцией экранирования NFC. (Экранируют они ЛУЧШЕ чем в фольгу завернуть.) Или пока моим методом - носите карты пачкой, рабочая посередине, и снаружи побольше всякого NFC. Но если у вас телефон с NFC - в ДРУГОМ кармане. Хрен его знает что там в этих андроидах всяких.
|
|
ФилипС ( Слушатель ) |
| 13 дек 2017 15:02:38 |
Цитата: Cocainum от 13.12.2017 12:30:26
Про магнитный стрип - вопрос: все банкоматы, которые "заглатывают" карту - пользуются магнитным стрипом?
Америки с Канадами мне не грозят, и я больше опасаюсь не "считывания из кармана", а "несанкционированного использования в случае утери/похищения".
Если с обычными картами нужен пинкод, то тут - всё гораздо хуже...
спасибо.
|
|
Cocainum ( Слушатель ) |
| 14 дек 2017 00:45:00 |
Цитата: ФилипС от 13.12.2017 15:02:38
Ну кто ж это вам официально скажет.
Я исхожу из того, что ИЗНАЧАЛЬНО все банкоматы магнитным считывателем оснащены (так как ОБЯЗАНЫ принимать и старые и американские карты без чипа еще). И просто глупо было бы не использовать эту двойную авторизацию и при обнаружении чипованной/NFC карты.ЦитатаЕсли с обычными картами нужен пинкод, то тут - всё гораздо хуже...
Тут куда важнее политика банка. Я в такие ситуации, слава Богу, не попадал, но про западные "приличные" (если такие еще остались) банки мне рассказывали что банки возвращают списанные при такой ситуации деньги, даже если формально и не обязаны. Про наш Сбер не знаю возвращают ли они украденное, но могу сказать что там отнюдь не идиоты работают, установившие алгоритмы безопасности, и если обнаружится что вы до этого покупок по 900 рублей пару-тройку в месяц только делали, а в один день пошло уже 10 раз подряд списаний безпиновых, причем по дурацким назначениям (то есть вы за один час постриглись на 850, купили бензина на 900 рублей, в булочную три раза зашли по 970, и так далее) - то довольно быстро такое дело будет заблокировано, до вашего звонка. До катастрофическиз масштабов не дорастет.
Про америку кстати знаю. Там все покупки до 20 долларов без пина. Все!!! Причем большинство терминалов и карт - без чипов. А магнитная полоса - она некриптованная, скопировать магнитным ридером стандартным как два байта переслать. Ну и если потеряешь карту - то тоже может негрило ее найти и давай себе. И заправляйся себе бензином и обпокупайся в Волмартах и кафешках по 18 долларов. Причем эти платежи идут в реальном времени, просто по считыванию карты, без онлайн - авторизации. (Учитывая какого качества инет в Америке - было бы очень заметно, если бы требовалось разрешение на транзакцию). Но никакой эпидемии нету.