Cracker demonstroval rizika bezkontaktních platebních karet

Luboš Doležel , 01. únor 2012 13:49 5 komentářů
Rubriky: Security

Kristin Paget minulý víkend předvedla, jakým způsobem je možné okrádat vlastníky bezkontaktních platebních karet. Nebezpečí zneužití je jasné už z principu platby, která probíhá bez autorizace majitele karty, avšak výrobci karet vždy rizika označovali za nedůležitá.

Kristin Paget si pořídila jednoduchou RFID čtečku, se kterou získala informace z platební karty dobrovolníka. Tento útok jde snadno učinit i na větší vzdálenost, pokud máte výkonnější čtečku. Není tedy pravda, že karta musí být v naprosté blízkosti. Jedinou možnou ochranu představují speciální kovové kryty, jež kartu odstíní.

Následně bylo veřejnosti předvedeno, jak jsou údaje získané z karty nahrány na magnetický pásek "prázdné" karty. Tento částečný klon původní karty pak šlo použít k provedení bezhotovostní platby.

Skutečný útok by ale vyžadoval složitější koordinaci. Karta totiž při každém bezdrátovém přečtení vygeneruje nový kód CVV. Tyto kódy pak musejí být použity ve správném pořadí. Při realizaci, kterou si lze například představit na autobusovém či vlakovém nádraží, by jeden útočník četl karty a druhý mezitím vybíral peníze.

Karetní společnosti každopádně tvrdí, že za několik let provozu nemají záznamy o žádných podvodech.


Komentáře

Sten #1
Sten 01. únor 2012 15:56

Nemají záznamy o žádných podvodech. Hmm, asi to vždycky odbyli tím, že CVV kód souhlasil, tak to nemohla být neautorizovaná transakce.

CET #4
CET 02. únor 2012 08:49

Nemají záznamy o žádných podvodech

Spis bych rekl, ze v zajmu povesti zadne nezverejnuji. Pokud uz se nejaky zakaznik nenecha vyjebat, ze CVV kod souhlasi a zacne byt neprijemnej, tak mu tu castku vrati a ututlaji to, aby nemeli problemy s dalsima lidma a pripadne s odchodem zakazniku.

Mrakovic #2
Mrakovic 01. únor 2012 23:22

No především se autoři článku nezmiňují v jakých částkách lze cless platby používat no a pak že o zneužívání a podvodech uvažují především ve východních státech (myslím jimi samozřejmě i ČR) každopádně je to smutné, když tolik energie se vynakládá na to jak dokázat druhým že umím krást !!! Bylo by možná také dobré zveřejňovat, kolik za to chycení vyfásnou. Možná se už blíží doba kdy sáhnutí na peníze nebude při použití kulky do hlavy trestné. Nakonec i v těchto končinách dokáže ukrajinec za malý obnos vykonat práci za soud. Ta že Vám přeji hodně úspěchů i v okrádání svých blízkých.

Ostap Bender #3
Ostap Bender 02. únor 2012 08:46

Hmm, Kristin Paget je, co jsem tak koukal, z Velké Británie. On někdo přesunul Britské ostrovy na východ Evropy?

CET #5
CET 02. únor 2012 08:55

Naopak, kdyz tvoris nejakej system, tak mas uvazovat vsechny moznosti. Je sice hezke predpokladat, ze uzivatel neni blbej a tak vyplni vsechny kolonky ve formulari spravne, ale proste je to takova praxe osetrovat vsechny vstupy na vsechny mozne varianty (resp. povolit jen ty spravne hodnoty, ostatni ignorovat nebo nahlasit spatne zadani).

A stejne tak by to melo platit i v bankovnictvi. Bohuzel lidi jsou prevazne tupci, takze je to moc nezajima. Je jim jedno, ze jim gmail cte postu a pak je spamuje, muze sledovat jejich pohyb po internetu, zobrazovat jim reklamu podle toho sledovani atd. Kdyby se lidi zajimali, tak by alespon sifrovali. A kdyby se zajimali, tak by nemeli zavirovane pocitace, dostavali bychom mene spamu atd.

Takze je dobre, ze nekdo ukazuje jako bankeri na zakazniky kaslou, jen z nich dostat prachy.

Ale mozna jsi jinej, asi by se ti libilo, kdyby se nepouzivaly zamky a piny, kazdej by si mohl prijit prohlidnout tvuj byt, tvoje dokumenty - prece ti nic neukradne, tak to neres. Kazdy by se ti mohl podivat na ucet. Ano, takovy svet je skvely, ale bohuzel zatim neexistuje, takze je dulezite pouzivat bezpecnosti prvky a je dulezite vedet, jak jsou ruzne systemy bezpecne/zabezpecene.

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Hackeři ukradli zdravotní záznamy 1,5 milionu Singapurců

ČTK , 20. červenec 2018 14:37

Cílem útoku bylo prý získat podrobné údaje o singapurském premiérovi a také o lécích, které užíval....

Více 0 komentářů

Ericsson je díky úsporám v mírném zisku

ČTK , 20. červenec 2018 11:36

Švédský podnik se v poslední době potýkal se slábnoucí poptávkou telekomunikačních operátorů....

Více 0 komentářů

Čip v občanském průkazu si zatím aktivovala třetina lidí

ČTK , 20. červenec 2018 08:00

Prostřednictvím Portálu občana lidé mají přístup např. k údajům o důchodu nebo si mohou pořídit výpi...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Red Hat Ansible Engine přináší další automatizaci cloudu

Pavel Houser , 19. červenec 2018 13:52

Nejnovější verze platformy Red Hat Ansible Engine 2.6 rozšiřuje automatizaci cloudů AWS, Google Clou...

Více 0 komentářů

Samsung chystá na příští rok telefon se sklopným displejem

ČTK , 19. červenec 2018 10:00

Displej půjde složit na polovinu jako peněženku. Ve složeném stavu je na přední straně přístroje men...

Více 0 komentářů

Internet Mall snížil ztrátu, tržby mu vzrostly na 7,2 miliardy Kč

ČTK , 18. červenec 2018 17:29

Internet Mall mj. investuje do distribučního centra v Jirnech u Prahy, které by mělo sloužit 7 střed...

Více 0 komentářů

Google dostal kvůli Androidu od EK rekordní pokutu 4,34 mld. eur (aktualizace)

ČTK , 18. červenec 2018 13:26

Google využil Android k upevnění dominantní pozice svého internetového vyhledávače, uvádí EK....

Více 0 komentářů