Уязвимость любой платежной системы — NFC технология

Оплата наличностью всевозможных услуг или товаров сегодня все больше становится пережитком прошлого, уступая позиции безналичным расчетам. В недалеком будущем процедура оплаты приобретет совершенно другое обличие и будет производиться еще быстрее с помощью смартфонов или специальных карт. Многие финансовые структуры предрекают эффективное использование для этих целей новой технологии «коммуникации ближнего поля» — NFC (Near Field Communication).

Ее действие основано на возможности использования RFID-чипа с целью записи всей имеющейся информации. В первую очередь возникает вопрос о надежности таких технологических новинок. Действительно, существует несколько способов, играющих на руку злоумышленникам, которые позволят завладеть приватной информацией путем взлома любого NFC-чипа.

Платежные карты NFC, доступность данных

Общеизвестный факт, что данные на кредитках NFC не зашифрованы. Легкость считывания номера кредитки, а так же срока ее действия была публично продемонстрирована в Вашингтоне, на ShmooCon – конференции хакеров одним из представителей этого ремесла Кристином Паже еще в феврале текущего года. Сегодня уже существуют специальные приложения для смартфонов, позволяющие считывать подобную информацию.

Есть у NFC чипов и достоинство, дающее преимущество над Visa и MasterCard, оно заключается в отсутствии в нем некоторой важной информации, например, трехзначного CVV – кода для проверки подлинности. Преимущество, конечно, серьезное, потому что неуязвимость двух названных оппонентов заканчивается именно в тот момент, когда владелец на мгновение выпускает карту из рук, например, оплачивая обед в ресторане или в другом месте. Мошеннику этих секунд вполне достаточно, чтобы списать номер с карты, CVV в том числе. Однако, и это преимущество не бесконечно, потому что оно теряет всякий смысл, когда владелец пластика подключает себе услугу СМС-уведомлений обо всех произведенных транзакциях.

Relay-атаки – угрожающая перспектива для NFC

Насколько уязвима информация, передаваемая путем радиообмена, с блеском продемонстрировали в Израиле 2 ученых тель-авивского университета. Они разработали уникальный метод, применяя который можно записать все данные информационного обмена, даже если на карте или считывающем устройстве применяются самые высокотехнологичные алгоритмы шифрования и аутентификации.

У NFC Sparkasse карты для удобств пользователей предусмотрена функция доступности последних 15ти платежей и 3х поступлений. Если банки считают это за благо, предлагая ко всему прочему еще и приложения для считывания указанных данных, то у сотрудников информационной безопасности возникают опасения при учете возможности скрытого наблюдения за владельцем.

Речь идет о так называемой Relay-атаке, которую проводят с помощью Leech – считывающего устройства, и фальшкарты Ghost. Их действие напоминает своего рода ретранслятор, который включается с их помощью между картой и считывающим устройством. Для произведения атаки злоумышленнику достаточно лишь приблизиться в «жертве» — клиенту и подключить свой считыватель, который моментально активирует карту и передаст данные на фальшкарту своего сообщника, что позволит последнему совершить покупку на средства клиента.

Во время исследования все же возникли некоторые трудности относительно расстояния между клиентом с картой и псевдо-мошенниками, согласно нормам ISO, оно не может быть большим и измеряется всего несколькими сантиметрами. Но и это препятствие для ученых оказалось вполне преодолимым. Им пришлось усилить сигнал, что позволило увеличить расстояние между оппонентами с 10 до 50 см. Специальное ПО служит фильтром для удаления помех. Leech перенаправляет сигнал на фальшкарту, дистанция до которой может быть до 50 м. Карта, кстати, содержит активный NFC чип в отличие от клиента, у которого он пассивен, вследствие чего на него легко производится запись.

Рассмотренная ситуация указывает на ту опасность, которая подстерегает владельцев NFC-карт, когда они получат широкое распространение.