Новости о том, что хакеры придумали способ кражи денег с кредитных карт, поддерживающих бесконтактные платежи, появляются регулярно. И всегда оказываются уткой. Но в этот раз некоторое количество людей действительно пострадает на почве недоверия к payWave и PayPass, хотя банки и платежные системы здесь совершенно ни при чем.
В Сети распространяется информация об устройстве Contactless Infusion X5, которое якобы способно клонировать до 15 карт в секунду. Список характеристик занимает целый экран: там и физические параметры, и частота передатчика (13,56 MHz), максимальное расстояние до карты (аж 80 мм), габариты антенны (5 на 6 см, безумно ценная информация!) и даже поддержка на уровне операционных систем (можно использовать хоть Windows 2000).
Особо подчеркивается, что скорость записи и чтения равна 1 Мбайт/с. Мол, именно за счет этого достигается феноменальная скорость клонирования. Где брать столько карт, не уточняется, но в комплекте с чудо-машиной идет 20 пустых болванок кредиток, из которых якобы можно сделать рабочие карточки.
Действительно, при помощи Contactless Infusion X5 можно зарабатывать
Стоит столь полезное в хозяйстве устройство 1,2 биткоина, или $825 по нынешнему курсу. Продавцы говорят, что достаточно положить его в карман, пройтись в толпе (например, в переполненном транспорте или на концерте), потом записать на болванки данные карт и тут же окупить все затраты сторицей.
Действительно, при помощи Contactless Infusion X5 можно зарабатывать. Только не покупателям, а продавцам. Потому что реализовать обещанное на практике невозможно в принципе.
Мошенникам хватило честности признать, что устройство может считать только номер карты и срок ее годности. Ни ПИН-код, ни даже имя владельца ему не по зубам. На сайте есть трогательная оговорка, что если в RFID-чипе содержится имя, домашний адрес и описание владельца, они тоже будут безжалостно считаны. Но это обещание на уровне «Если вы пойдете по улице и встретите Александра Сергеевича Пушкина, мы гарантируем вам его автограф». На практике на беспроводные транзакции распространяется стандарт EMV для операций по банковским картам с чипом.
Банк-эмитент, теоретически, может понизить уровень безопасности, но он все равно остается слишком высоким для ридера Contactless Infusion X5. В чипе RFID никогда не содержится имя владельца и CVC2-код, что делает полученные данные бесполезными даже для интернет-транзакций. Для каждой беспроводной транзакции чип динамически генерирует одноразовый код на основе хранящихся в его защищенной области секретных тройных 112-битных ключей по алгоритму шифрования DES и реквизитов карты. Этот код и является подтверждением платежной операции.
Попытка использования клонированной карты приведет к тому, что банк заблокирует и оригинал, и клон
При нечеловеческом везении владелец чудо-сканера сможет считать такой код до его использования, что позволит создать один клон карты с магнитной полосой. И даже совершить одну покупку в магазине, где нет терминалов, поддерживающих чипованные карты. Правда, потребуется действительно очень сильное везение, потому что в современных картах используется три значения track2 - на магнитной полосе, при контактном чтении чипа и при бесконтактном чтении. Записать код с чипа на магнитную полосу можно, но сработает это только на совсем уж древних терминалах.
Но если владелец оригинальной картой успеет к тому моменту хоть раз ей воспользоваться, будет сгенерирован новый код подтверждения, а скопированный превратится в тыкву. Попытка использования клонированной карты приведет к тому, что банк заблокирует и оригинал, и клон. В банкомат клон тоже лучше не вставлять, без ПИН-кода он бесполезен.
Вишенка на торте — ограничения по сумме бесконтактного платежа. У каждого банка своя политика, но в России больше 5000 рублей добыть точно не удастся. В Штатах это максимум $100, но, скорее всего, не больше $25. Есть шанс не отбить затраты до поимки.
Максимум, на что способна машинка,— клонирование бесконтактных пропусков, но эта функциональность отсутствует в прилагаемом ПО. Таким образом, за немаленькую сумму продается настоящая пустышка с себестоимостью в районе $50. Невозможно не вспомнить анекдот:
— Здравствуйте! Мы начинаем семинар «Как за один день заработать миллион рублей». Вопрос к залу. Сколько стоил билет на семинар?
— Тысячу рублей.
— А сколько мест в этом зале?
— Тысяча.
— Спасибо, семинар окончен.
источник
16.06.2016, 08:51
