Подписаться RSS 2.0 |  Реклама на портале
Контакты  |  Статистика  |  Обратная связь
Поиск по сайту: Расширенный поиск по сайту
Регистрация на сайте
Авторизация

 
 
 
   Чужой компьютер
  • Напомнить пароль?


    Навигация


    Важные темы

    После неудачи с блицкригом в отношении России, когда Запад в нарушении всех принципов


    Наверное моментальное вступление в войну польской и румынской армий могло бы на некоторое время


    Мы делали это молча — чтоб не мешали, чтоб не вспугнуть ИХ раньше времени. И сегодня, когда


    Наших американских оппонентов дико бесит, что из Украины не получается (ну никак) сделать «русский


    Неотъемлемым элементом ближайших 15 лет станет большое количество разнообразнейших войн и


    Реклама






    Добавить новость в:




    » Как украсть миллион, не прикасаясь к банковской карте

    | 8 ноябрь 2014 | Экономика и финансы / Экономика: Новость дня |

    На проходящей до конца недели в штате Аризона конференции по безопасности компьютерных систем и средств связи CCS 2014 был представлен доклад о серьёзной уязвимости новых банковских карт VISA. Она касается функции быстрого списания малых сумм без необходимости их подтверждения.

    По замыслу разработчиков такие платежи должны выполняться с помощью коммуникации ближнего поля буквально в одно касание и не требовать ввода пин-кода, облегчая жизнь состоятельному владельцу. Однако автор доклада Мартин Эммс (Martin Emms) выяснил, что установленный лимит в двадцать фунтов не действует для других валют. С учётом функции автоматического пересчёта курсов, реальная сумма перевода ограничивается только техническим пределом адресации – 999999,99 в любых денежных единицах.

     

    Списание $999'999,99 (код валюты 0840) без подтверждения пин-кодом (фото: digitalmoney.shiftthought.co.uk).

    Списание $999’999,99 (код валюты 0840) без подтверждения пин-кодом (фото: digitalmoney.shiftthought.co.uk).

     

    Мартин собирает материал для докторской диссертации в Центре по изучению киберпреступности и компьютерной безопасности (CCCS) Университета Ньюкасла. Его исследование фокусируется на поиске потенциальных уязвимостей в бесконтактных платежных системах с использованием технологии NFC.

    Группа Мартина смогла сымитировать POS-терминал с помощью серийно выпускаемых мобильных устройств с поддержкой NFC. В своей работе исследователи показали, что для незаметного списания с карты почти миллиона в любой валюте (кроме фунта стерлингов), похитителям не требуется даже брать её в руки. Достаточно находиться рядом и просто махнуть смартфоном с запущенной программой-эмулятором.

     

    Запуск эмулятора POS-терминала на смартфоне с поддержкой NFC (скриншот: Martin Emms, Budi Arief et al.)

    Запуск эмулятора POS-терминала на смартфоне с поддержкой NFC (скриншот: Martin Emms, Budi Arief et al.)

     

    «Используя обычный смартфон мы смогли создать эмулятор платёжного терминала, который считывает карту прямо через бумажник, – говорит Мартин. – Все процедуры проверки в данном случае выполняются на самой карте, поэтому к терминалу не предъявляется никаких специфических требований. Процесс списания выглядит совершенно легитимным и не вызывает подозрений. Вы просто вводите желаемую сумму для перевода и направляете смартфон на чей-то карман. В наших тестах вся процедура от ввода значения до подтверждения перевода занимала секунды».

    Пока не сообщается о реальных случаях кражи средств с бесконтактных карт при помощи найденной уязвимости, однако её устранение займёт некоторое время, в течение которого владельцам таких карт VISA следует быть особенно осторожными и почаще контролировать свои расходы.

     

    Успешное списание 999999 евро (код валюты: 0978) эмулятором терминала (скриншот: Martin Emms / Newcastle University).

    Успешное списание 999999 евро (код валюты: 0978) эмулятором терминала (скриншот: Martin Emms / Newcastle University).

     

    Банковские системы безопасности не опираются только на технические средства. Помимо систем мониторинга транзакций большое значение для их стабильной работы имеют общие правила предоставления услуг. К примеру, автоматический запрос на перевод крупной суммы может потребовать дополнительной ручной проверки – вплоть до звонка клиенту.

    В то же время, списывать деньги с карты преступники могут и малыми суммами при помощи методов, основанных на социальном инжиниринге и технических модификациях. Первый вариант требует физического присутствия рядом с жертвой в любом людном месте, где предполагается безналичная оплата. Также можно просто найти предлог, под которым жертва потянулась бы к своему бумажнику, демаскируя его положение. Многие хранят в них фотографии, карты лояльности, парковочные талоны… поводов заставить открыть его хоть отбавляй.

     

    Схема снятия и обналичивания денежных средств с бесконтактных банковских карт (изображение: Martin Emms).

    Схема снятия и обналичивания денежных средств с бесконтактных банковских карт (изображение: Martin Emms).

     

    Первые бесконтактные карты были представлены на выставке в Сеуле ещё в 1995 году. Однако в международные платёжные системы они стали внедряться только спустя десять лет. Из повседневного опыта многие знают, что на практике бесконтактные карты часто требуется поднести вплотную к считывателю для повышения качества связи и скорости передачи данных. Однако по стандарту ISO/IEC 18092:2013 протокол NFCIP 1 позволяет выполнять бесконтактный обмен на расстоянии до двадцати сантиметров.

    Альтернативный стандарт ISO/IEC 15693 предусматривает взаимодействие уже на расстоянии до полуметра. Это значит, что даже без дополнительных ухищрений незаметную кражу можно выполнить и в тех случаях, когда владелец не достаёт карту. Присесть или встать рядом с жертвой так, чтобы её сумка или внутренний карман оказались как можно ближе на пару секунд – что может быть проще?

    Дополнительно атаки могут развиваться в сторону увеличения радиуса действия. Для этого потребуется модифицировать устройство, имитирующее POS-терминал. Например, изготовив рамочную антенну с большим коэффициентом усиления или повысив магнитную индукцию за счёт эффекта резонанса. «Если мы догадались, как сделать это, то злоумышленники тоже смогут», – резюмирует свой доклад Мартин.



    Комментарии (0) | Распечатать | | Жалоба

    Источник: http://www.computerra.ru/109743/vulnerability-in-emv-visa-cards/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+ct_news+%28Computerra%29

    Голосовало: 0  


    Или через КИВИ кошелёк

     
    Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

    Другие новости по теме:

     

    » Добавление комментария
    Ваше Имя:
    Ваш E-Mail:
    Код:
    Кликните на изображение чтобы обновить код, если он неразборчив
    Введите код:

     


    На портале



    Наш опрос
    Чем вы готовы пожертвовать ради России в противостоянии с Западом?




    Показать все опросы

    Облако тегов
    Австралия Австрия Азербайджан Аргентина Армения Афганистан Африка БРИКС Балканы Белоруссия Ближний Восток Болгария Бразилия Британия Ватикан Венгрия Венесуэла Германия Греция Грузия ЕАЭС Евросоюз Египет Израиль Индия Ирак Иран Испания Италия Казахстан Канада Киргизия Китай Корея Латинская Америка Ливия Мексика Молдавия НАТО Новороссия Норвегия ООН Пакистан Польша Прибалтика Приднестровье Румыния СССР США Саудовская Аравия Сербия Сирия Турция Узбекистан Украина Финляндия Франция Чехия Швеция Япония

    Реклама



    Фито Центр











    Популярные статьи

    Главная страница  |  Регистрация  |  Добавить новость  |  Новое на сайте  |  Статистика  |  Обратная связь
    COPYRIGHT © 2014-2021 Politinform.SU Аналитика Факты Комментарии © 2021