Скопировать банковскую карту nfc

Xakep #248. Checkm8

Компания Symantec сообщает о появлении первого приложения для Android, которое пытается копировать платёжные реквизиты банковских карт, работающих через радиопротокол NFC. Речь идёт о программе Android.Ecardgrabber. Приложение способно считать номер пластиковой карты, срок её действия, а также номер банковского счёта пользователя.

Автор программы — немецкий исследователь в области безопасности. Он хотел продемонстрировать появление нового класса угроз для пользователей технологии NFC. Стандарт ближней связи NFC обеспечивает беспроводный обмен данными на коротком расстоянии. Подобные виды связи сегодня уже используются. В частности, некоторые банки выпустили бесконтактные карты для проезда в метрополитене. Существуют и другие подобные проекты.

Приложение было размещено на сервисе Google Play 13 июня, до удаления его успело скачать от 100 до 500 пользователей. Программа выдаёт себя за торговый терминал и производит считывание реквизитов банковской карты пользователя без его ведома.

По признанию самого автора, приложение было успешно протестировано только с двумя системами пластиковых карт: MasterCard и European credit card. При этом в коде есть функционал для снятия информации и из других систем: Visa V Pay, Cirrus, Maestro, Visa Electron и Visa.

Приложение может получать следующую информацию:

  • Номер пластиковой карты
  • Дата начала срока действия карты
  • Дата окончания срока действия карты
  • Номер банковского счёта

В программе не обнаружено средств извлечения кода безопасности карты.

Несмотря на то, что для извлечения данных требуется поднесение телефона к другому телефону на расстояние в несколько сантиметров, оно ярко иллюстрирует уязвимость технологии NFC, отмечают специалисты Symantec.

Данные крадут за секунды

Группа хакеров The CC Buddies продает в даркнете новый девайс, который способен клонировать 15 банковских карт в секунду с расстояния в восемь сантиметров. Не надо ни к кому прижиматься: прошел по вагону метро — девайс скопировал данные с современных бесконтактных карт и записал их во внутреннее хранилище. Впоследствии злоумышленник подключит прибор к компьютеру через USB-порт, а специальное приложение, которое The CC Buddies продают в комплекте с устройством, позволит извлечь украденную информацию и в буквальном смысле создать клон вашей карты на пластиковом носителе.

Но деньги украсть не получится

Продается прибор за 1,2 биткоина, что по текущему курсу составляет чуть более 800 долларов. Что же, пора оставлять дома бесконтактные карты?

На самом деле все совсем не так. Этот прибор рассчитан на не особо разбирающихся в теме «кулхацкеров» (англ. cool hacker, " крутой хакер" в ироничном смысле), желающих «халявы нахаляву». Если почитать описание прибора, то становится очевидна его безобидность: заявлено, что Contactless Infusion X5 собирает данные о номере карты и сроке ее действия (эти данные есть в любой карте), а также, при их наличии — дополнительные данные, а именно, адрес владельца и список последних операций по счету. Казалось бы, вон сколько данных! Однако украсть деньги они не помогут, и вот почему.

Читайте также:  Почему на почту перестали приходить письма

Устройство, которое клонирует 15 пластиковых карт за секунду / Softpedia

Клонировать бесконтактную карту таким образом нельзя, потому что здесь авторизация строится на генерации чипом ответа на запрос на базе хранящегося в защищенной области памяти ключа (откуда невозможно прочитать этот ключ физически). Расплатиться через интернет такой картой нельзя — недостаточно данных, плюс никто не отменял двухфакторную авторизацию 3D-Secure (в приличных банках без нее не работают платежи через интернет вообще). Залить данные карты на карту с магнитной полосой можно. Но карта же чиповая, и при операции по магнитной полосе банк, через который попытаются снять деньги, должен будет вернуть их, поэтому такие операции практически везде запрещены, и в любом случае ваш банк вернет вам средства по опротестованной операции. То есть бояться нечего — есть мнение, что подобные вбросы распространяются продавцами экранированных кошельков, чтобы увеличить спрос на свой товар.

Что думает платежная система?

В MasterCard отметили, что пользоваться бесконтактной технологией оплаты просто, удобно и так же безопасно, как и другими решениями MasterCard для оплаты покупок и услуг. Это современное и высокозащищенное решение. Чтобы ваши деньги остались при вас, вовлечено сразу несколько уровней защиты – на самой карте (или другом бесконтактном устройстве), в терминале, в котором обслуживается карта, на уровне платежной системы, на уровне банков – и эмитентов карт, и эквайеров. Важно понимать, что безопасность в вопросах безналичной оплаты банковскими картами – это всегда комплекс мер: технических, административных, логистических и т.д.

Прежде всего бесконтактная оплата – это операция, совершаемая только на сертифицированном терминале, который подключен к инфраструктуре банка, а банк, в свою очередь, – к платежной системе. Операция обрабатывается участниками платежной системы, которые выполняют соответствующие правила. Обычный человек не может получить банковский терминал. Терминал связан с банком защищенным каналом, и банк не просто «передает» данные, но и исполняет определенные требования по безопасности, за которыми следит платежная система. В частности – банк проверяет при подключении торговые и сервисные компании.

Обмен данными между терминалом и бесконтактной картой происходит на очень коротком расстоянии – менее 4 см. Поле контакта достаточно маленькое – в него нужно довольно точно попасть, чтобы совершилась оплата. Повторная оплата исключена – терминал переходит в пассивный режим после проведения транзакции.

Фото: Олег Горобец / Блог «Лаборатории Касперского»

Диалог между картой и терминалом содержит одноразовые зашифрованные пароли, которые генерирует специальный чип, и минимум информации о карте – например, в нем нет даже имени владельца карты.

Держатель карты получает СМС о расходах по карте. Вы знаете, что потерянные наличные нельзя вернуть. Но если вы забыли или потеряли любую карту − обычную или бесконтактную – вы всегда можете ее оперативно заблокировать через банк.

Читайте также:  Почему не работает билайн сейчас

Кстати, похожую историю уже описывал один из сотрудников «Лаборатории Касперского» в своем аккаунте Facebook. Он заметил в метро пассажира с банковским терминалом в руках и раздул панику, что деньги с бесконтактных банковских карт могут украсть «по воздуху». Правда, через полчаса пост был удален, но белки-истерички уже полгода как пишут со ссылкой на него о том, как страшно жить, в смысле, ездить в метро с банковскими картами PayPass и PayWave в кошельке. Мол, для покупок до 1000 рублей никакой авторизации не требуется, поэтому прячьте ваши денежки и надевайте шапочки из фольги.

На самом же деле бояться нечего и картами с NFC можно пользоваться. Если же вы совсем параноик – используйте NFC-оплату в смартфоне, привязав карту к нему через промежуточный сервис вроде "Карты Билайн": в этом случае без запуска приложения и ввода пароля бесконтактная оплата работать вообще не будет.

iOS 13 сильно прокачала возможности NFC в iPhone, равно как и функциональность приложения Команды Siri.

Теперь любая банковская карта с функцией бесконтактной оплаты (у вас такая точно есть) может использоваться как метка NFC.

Подносите карту к айфону – и автоматически выполняется какая угодно команда. Например, открывается приложение банка. Или гаснет свет дома.

Больше не нужно покупать никакие NFC-метки, и это здорово. Рассказываю, как настроить фичу.

Коротко: что такое Команды?

Для тех, кто не в курсе, приложение Команды встроено в iOS уже два года и позволяет выполнять сложные алгоритмы всего в один тап.

Например, мгновенно скачать видео с Instagram, автоматически менять целые списки настроек iOS, ставить сложные напоминания и так далее.

Команды можно делать запланированными, реагирующими на изменения геолокации или просто включающимися прямо с рабочего стола iOS.


Мои несколько команд и интерфейс приложения в iOS.

Мы уже писали подробно про возможности Команд и делали подборки самых интересных из них:

Сама Apple отлично подошла к теме: прямо в Командах есть раздел Галерея с большим списком готовых алгоритмов. Так что советую заглянуть туда, это отличная вещь для тех, кто хочет автоматизировать однообразные или сложные действия с айфоном до одного нажатия.

В iOS 13.1 был добавлен новый вид команд: Автоматизации. Это автоматически срабатывающие Команды-алгоритмы действий, реагирующие на изменения настроек девайса, смену геолокации и другие пассивные ситуации без прямого взаимодействия пользователя с гаджетом.

Именно Автоматизации и понадобятся нам далее.

Инструкция: как сделать банковскую карту меткой NFC для Команд в iOS

Увы, старые айфоны несовместимы с этой фичей. Их считыватели NFC не сканируют сигнал в пассивном режиме. iPad тоже проходят мимо, в них просто нет NFC-модулей.

Вам понадобится iPhone Xs/XR и новее с прошивкой iOS 13.1. Ну и банковская карта с функцией бесконтактной оплаты. Их сейчас выдают почти повсеместно, даже какой-нибудь МИР должен подойти.

Читайте также:  Программа для просмотра видео с регистратора dvr

1. Открываем приложение Команды на iPhone. Если его нет, бесплатно качаем из App Store

2. Заходим в раздел Автоматизации (это внизу)

3. Создаём Новую автоматизацию -> Создать автоматизацию для себя

4. Внизу открывшегося списка нажимаем на пункт NFC

5. Тыкаем на кнопку Сканировать напротив Тег NFC

6. Прикладываем карту к айфону, можно как снизу, так и сверху

7. Называете тег как хотите, советую написать хотя бы сам банк, чтобы не спутать

8. Жмёте в правом верхнем углу на Следующий

9. Тапаем на Добавить действие.

Тут включаем фантазию. На ваш новый банко-тег NFC можно повесить все функции, которые вообще доступны через Автоматизацию. Даже уже ранее сохранённые быстрые команды (свои или из внешних источников).

Как закончите играть в программиста, не забудьте сохранить получившуюся автоматизацию.


Не забудьте отключить настройку «Спрашивать до запуска».

А ещё очень советую открыть только что созданную и выключить пункт Спрашивать до запуска. Иначе вам придется подтверждать выполнение команды вручную каждый раз, когда прикладываете карту.

Протестировали, всё работает? Отлично!

Дальнобойность NFC у банковских карт очень мала, поэтому айфон к «пластику» надо прикладывать в упор. Чехлы ухудшают распознавание, но с оригинальными кожаными и силиконовыми проблем не будет. А вот металлические однозначно помешают.

Что с этим теперь можно делать?

Для iPhone банковская карта ничем не отличается от «покупной» метки NFC. Поэтому использовать пластик можно в качестве активатора абсолютно любого алгоритма Автоматизаций.

Самая простая идея? Подносите карту, открывается приложение банка. Не впечатляет, но вполне удобно, когда нужно перевод кому-то сделать.

Гораздо логичнее взять какую-нибудь карту с истёкшим сроком действия и использовать её стационарно. Положить на стол на работе, в машине, дома где-нибудь. И просто проводить ей по айфону для запуска команды.

Тот же таймер на стирку отлично ставить: пока загружаете машинку, кладёте айфон на заранее подготовленную карту. И всё, вроде ничего не сделал, а айфон теперь напомнит.

Ещё полезнее эта фича будет владельцам гаджетов для умного дома. Например, ненужную банковскую карту можно положить рядом с кроватью. Проводите ей по айфону – и одновременно делаете кучу всего: выключаете свет в квартире и все розетки, ставите дверь на сигнализацию, включаете ночники, режим «Не беспокоить» на айфоне, ставите будильник на 7 утра…

Кстати, транспортные карты вроде «Тройки», игрушки Amiibo от Nintendo и беспроводные наушники с NFC также можно сделать активаторами команд. Подходит вообще всё, в чём есть NFC, даже ваша проходка с работы.

(4.75 из 5, оценили: 32)

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>