harmful_grumpy (harmfulgrumpy) wrote,
harmful_grumpy
harmfulgrumpy

Categories:

Вы уверены в безопасности своих "умных" банковских карт?

Банк России: держатели карт национальной платежной системы «Мир» могут пострадать от действий хакеров

Злоумышленники могут узнать информацию о карте через системы дистанционного обслуживания



ЦБ предупредил о том, что держатели карт национальной платежной системы «Мир» на первых порах работы этой системы могут стать жертвами злоумышленников, пишет «РБК».
Консультант центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовый сфере (FinCERT) Банка России Александр Чебарь на заседании комитета Торгово-промышленной палаты по финансовым рынкам и кредитным организациям сообщил, что такие карты могут быть уязвимы на начальном этапе использования через дистанционные каналы обслуживания.

По словам Александра Чебаря, уровень защиты карт национальной платежной системы соответствует уровню безопасности международных платежных систем. «Однако с точки зрения работы самих пользователей карт да, возможен небольшой провал в течение первого времени использования этих карт. То есть явный провал с точки зрения хищения денежных средств. Атака будет не на саму карту, а на какие-то системы, которые дополняют эту карту, например на системы дистанционного банковского обслуживания, чтение информации о платежной карте», — сообщил он.

В то же время начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка Николай Пятиизбянцев утверждает, что особой защиты у карты нет. «Для снятия средств с карты «Мир» надо знать всего лишь номер карты и ПИН-код. Ни о каких защищенных технологиях речи нет», говорит он. Более того, если данные карт станут известны злоумышленникам, то похищено может быть «в разы больше».

Заместитель начальника Главного управления безопасности и защиты информации ЦБ Артем Сычев заявил следующее: «НСПК соответствует требованиям международного стандарта безопасности индустрии платежных карт (PCI DSS) и закона «О национальной платежной системе». Технологии, применяемые в платежной карте «Мир», разрабатывались с учетом требований безопасности и в тесном взаимодействии с уполномоченными государственными органами в области безопасности».

По его мнению, карта «Мир» подвержена рискам, связанным с недостаточным уровнем понимания и финансовой грамотности ее пользователей, не более, чем прочие финансовые инструменты. «Мы абсолютно уверены, что при соблюдении стандартных правил безопасности (не записывать PIN-код на карте, не сообщать посторонним конфиденциальную информацию, включая CVV-код), держатели карт «Мир» надежно защищены», — комментирует ситуацию Сычев.

Закон РФ обязывает торговые точки с выручкой от 120 млн руб. в год принимать карты национальной платежной системы. Если выручка меньше, но компания при этом принимает другие карты, банк-эквайер должен подключить и ее к «Миру». Отечественные банки должны обеспечить прием карт «Мир» до 1 июля 2016 года.

Недавно выяснилось, что Роспотребнадзор начал штрафовать торговцев за отказ принимать карты «Мир» еще в мае 2015 года. На тот момент Национальная система платёжных карт (НСПК) ещё не выпустила ни одной карты, не было ни названия для карт, ни даже конкурса на бренд.

В марте этого года ЦБ направил 51 банку требование начать принимать карты «Мир» во всех обслуживаемых торговых точках. Банки также обязали выпускать карты для госслужащих с 1 июля.

Источник:  https://geektimes.ru/post/277304/


Contactless Infusion X5: девайс, способный удаленно копировать данные 15 банковских карт в секунду

Устройство работает на расстоянии до 8 сантиметров от целевой карты, клонирование ведется постоянно


В dark web поступило в продажу устройство, изготовленное группой The CC Buddies, которое способно клонировать данные 15 банковских карт в секунду. При этом само устройство имеет очень небольшой размер, и работает на расстояниях до 8 сантиметров от целевой карты. Конечно, это не так много. Но представьте, сколько карточек можно клонировать, если пройтись по посещаемому супермаркету, вагону метро, очередью в авиакассу или потолкаться в других подобных местах (клуб, концерт известной группы и т.п.).

Если раньше злоумышленники для этой же цели использовали довольно габаритные девайсы, которые можно было рассмотреть, то размеры этого устройства позволяют положить его в карман. А если кто-то и увидит гаджет в руках злоумышленника, вряд ли поймет, что это такое. Называется эта система X5, и предназначена она для копирования данных чипа, встроенного в современные банковские карты с RFID.

Все собираемые данные хранятся внутри устройства, девайс поставляется со встроенной памятью. Извлечь информацию очень просто — нужно подключить систему к ПК, посредством USB кабеля, и при помощи специального программного обеспечения загрузить данные на компьютер. Софт поставляется все той же командой CC Buddies вместе с устройством.

Что касается информации, которую собирает гаджет, то она включает номер карты и срок ее действия. Если чип хранит и другую информацию, включая имя держателя, домашний адрес, мини-выписки, она также будет извлечена устройством и сохранена. Причем данные хранятся не в открытом виде, а шифруются. Владельцы устройства без проблем расшифровывают данные при помощи прилагаемого к Х5 программного обеспечения. После этого можно без проблем создать клон скопированной банковской карты, и использовать ее для различных целей.

Поставляется устройство с несколькими заготовками для создания дубликатов пластиковых карт, а стоимость системы достигает $800. Это по текущему курсу всего 1.2 биткоина. Отправляется Х5 по почте. вместе с USB дата-кабелем и 20 пустыми пластиковыми болванками. Доступна и подробная техническая информация.

«Contactless Infusion X5 является первым бесконтактным считывателем банковских карт, который продается хакерами на черном рынке. Этот продукт был спроектирован и создан командой The CC Buddies. Contactless Infusion X5 может обнаружить и считать любую банковскую карту на расстоянии до 8 сантиметров. Скорость передачи данных составляет 1024kbps, а это означает скорость считывания в 15 карт в секунду», — сообщается на ресурсе, где продается девайс.

В корпусе находится 5-вольтовая батарея, заряжаемая посредством кабеля USB 3.0 (прилагается). Для полной зарядки аккумулятора необходимо около 3 часов, после этого время работы системы составит около 10 часов. Считывает Х5 и другие карты с RFID, работающим с частотой 13.56 МГц. Пока что софт, поставляемый хакерами, не может расшифровать данные, собранные с других карт, но команда уже над этим работает. Так что в скором времени может быть представлено универсальное устройство.

Характеристики:
-Источник питания: USB 3.0
-Скорость: 480 Mbps (полная скорость)
-напряжение: 5V DC
-Ток: 200 mA (максимум); 50 mA (спящий режим); 100 mA (нормальный режим)
Работает с картами:
— SO 14443 Part 4 Type A и B карты, FeliCa, и еще четыре типа беспроводных карт (ISO/IEC 18092 tags)
-Протокол: FeliCa protocol, T=CL protocol
-Рабочая частота: 13.56 MHz
-Рабочее расстояние: до 80 mm
-Память: 8 ГБ
-Скорость чтения/записи: 1024kbps
Физические характеристики
-Размеры: 98.0 мм x 65.0 мм x 12.8 мм
-Вес: 70 г
-Материал: Поликарбонат
-Цвет: Черный
-Размер антенны: 60 мм x 50 мм
-Длина кабеля: 50 см (USB 3.0)
Дополнительно:
-Красный и зеленый светодиоды
-Вибромотор
Совместимость с ОС:
-Microsoft WHQL 2000, XP, Vista, 7, 8, 10, Server 2003, Server 2008, Server 2008 R2, Server 2012
Что в коробке:
1 x Contactless Infusion X5
20 x пустых пластиковых болванки (с чипом)
1 x USB 3.0
1 x The CC Buddies софт
1 x упаковка


Как видим, охота на банковские карты (причем «умные» карты) выходит на поистине промышленный уровень. Такие системы могут собирать данные карт практически в неограниченном количестве.

Ранее в этом году по многим СМИ разошлась фотография человека в метро, который держит переносной «сканер» (на самом деле — мобильный терминал оплаты), считывающий банковские карты. Сканер на фотографии работал, и пользователи сети решили, что этот человек — мошенник, который дистанционно списывает суммы до 1000 рублей у своих соседей по вагону.



И действительно, это можно осуществить. «Согласно правилам платежных систем, бесконтактная оплата до тысячи рублей может осуществляться без введения пин-кода. Если рассуждать гипотетически, то на вопрос «может ли человек в метро с таким терминалом в час пик, прислоняя его к одежде и сумкам, списывать деньги со счетов пассажиров» ответ будет положительным. При определенной ловкости – сможет. Но черт, как обычно, кроется в деталях», — пояснил Александр Бородкин, начальник управления пластиковых карт ВТБ24.

Но проблема (для злоумышленников) с таким терминалом состоит в том, что денежные средства с вашего карточного счета в банке спишутся и попадут в банк – эквайер, владеющий этим терминалом. Плюс ко всему, при снятии денег с карты клиента банка ему будет приходить SMS-уведомление.

А вот у X5 никаких ограничений нет — здесь деньги никуда не переводятся, а считываются сами данные карты. Так что мошенник может беспрепятственно обходить десятки вагонов метро или ходить по очень людным местам. И никто ничего не заподозрит.

Источник: https://geektimes.ru/post/277238/
Tags: интернет, комп, программы
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments