Używasz zbliżeniowej karty płatniczej? Uważaj na złodziei z czytnikami w komunikacji miejskiej!
Parę dni temu jeden z użytkowników Facebooka ujawnił nowy sposób kradzieży przy użyciu zbliżeniowych kart płatniczych. Złodziej wchodzi do pociągu lub innego miejsca, w którym znajduje się sporo osób. Zbliża się do ofiary z urządzeniem i przysuwa je jak najbliżej torebki lub kieszeni spodni. Po kilku sekundach z konta znika 50 zł!
W ten sposób jest w stanie wyłudzić od nieświadomych osób sporą ilość gotówki. Wystarczy, że stanie blisko lub będzie się przepychał przez tłum i dotknie kieszeni, w której znajduje się karta.
Nowa metoda jest szeroko rozpowszechniona w Wielkiej Brytanii, gdzie ofiarami rabusiów padło już tysiące osób. Na razie niewiele się o tym mówi i brak dokładnych statystyk osób oszukanych w ten sposób.
Myślałem, że to niemożliwe, dopóki nie zobaczyłem tego na własne oczy — pisze na Facebooku świadek kradzieży, Paul Jarvis.
Facebook/Paul Jarvis
Obecnie większość banków jako nowe karty płatnicze Visa lub MasterCard wydaje właśnie te z możliwością płatności zbliżeniowej.
To, że bardzo łatwo paść ofiarą takiej kradzieży, pokazała na żywo prelegentka konferencji Shmoocon. Kupiła na eBayu czytnik, którym zeskanowała kartę płatniczą ochotnika z widowni. W tej sposób przechwyciła numer jego karty, datę ważności oraz numer CVV. Wszystkie te dane skopiowała na czystą kartę i chwilę potem na oczach całej widowni przelała na własne konto 15$ z rachunku zszokowanego ochotnika.
Skopiowanie danych naszej karty przez telefon
Złodzieje mogą również skopiować dane naszej karty, używając telefonu z technologią NFC. Posiadając sklonowaną kartę, mogą nią zapłacić, używając smartfona z danymi ze skopiowanej karty (coraz więcej punktów obsługuje takie płatności) – zobacz film poniżej.
Na kolejnej stronie przeczytasz, w jaki sposób zabezpieczyć się przed takimi złodziejami.
źródło : metro.co.uk
Po pierwsze nie jest to nowy sposób, tylko znany od momentu wejścia tych kart do użytku. Po drugie nie trzeba mieć czytnika, wystarczy telefon z NFC, po trzecie aby to było możliwe, trzeba być naprawdę blisko i mieć tylko jedną kartę tego typu w portfelu. Wystarczy mieć dwie, lub kartę płatniczą i np. kartę miejską, aby to nie zadziałało. Dwie karty obok siebie wzajemnie się „zakłócają” i odczyt nie jest możliwy.
Niestety dwie karty obok siebie to nie jest zabezpieczenie. https://youtu.be/ge6r7C700DY
Ale mamy na to sposób ?
Tak, tak, oczywiście ;) Chcieć zarobić to jedno, ale kłamać w żywe oczy to już zupełnie inna sprawa. Skoro nie jest zabezpieczenie, to spróbujcie zapłacić w sklepie nie wyjmując kart z portfela i posiadając w nim obok siebie włożone dwie karty paypassowe, lub jedną kartę i kartę miejską opartą o nfc, albo spróbujcie w ten sposób wejść do metra ;) Powodzenia.
Ewentualnie spróbujcie telefonem z czytnikiem nfc zaczytać informacje z tych kart ;)
Nie kłamią. Da się. Na dowód masz info jakie mają problemy w Londynie. Mając dwie karty w portfelu czytniki metra czytają sobie losowo którą chcą…. więc nie zakłócają się. a nawet były sytuacje że ściągały z dwóch kart. I to nie jest jakiś tam artykulik tylko oficjalne info z metra.
https://tfl.gov.uk/fares-and-payments/contactless/card-clash
Nie wiem co mają w angielskim metrze i jak to sprawdzali.
Ja wiem że mając dwie karty w tej samej przegródce, mimo dziesiątków prób nie udało mi się ani wejść do metra, ani zapłacić, ani zaczytać informacji czytnikiem. Każdy może sprawdzić to osobiście zamiast bić pianę.
oni tego nie sprawdzali tylko mieli reklamacje od dziesiątek klientów, którym ściagneło nie z tej karty co trzeba:) nie bije piany. Ty masz swoją rację… co do metodologii można dyskutować, ale i tak wiesz swoje:)
ale nie zabezpieczamy się aby nie płacić w sklepie, albo nie wejśc do metra :) Na wejście do metra też mamy sposób: nasze portfele TAP&GO – gdzie jedna tylko kieszeń jest przeznaczona na karte do metra.
Zabezpieczamy się po to, aby ktoś nie wszedł zdalnie w posiadanie informacji o naszej karcie. Robiąc to co robię, nie udało mi się wejść w ich posiadanie mimo warunków „laboratoryjnych”, a nie chwilowego kontaktu z czytnikiem z odległości kilku, czy więcej cm.
Trochę przesadzacie, nie tak się okrada z kart zbliżeniowych – chodząc z terminalem nie masz najmniejszych szans na dostanie pieniędzy za te fałszywe transakcje, bo wystarczy jedna reklamacja czy wykrycie anomalii przez automatyczne systemy i można się spodziewać naprawdę solidnej kontroli, która wykaże oczywiste nieprawidłowości. Nie można sobie po prostu zniknąć z terminalem, zanim dostanie się środki z transakcji dokonanych za jego pośrednictwem potrafią minąć dwa miesiące.
Klonowanie kart zbliżeniowych na telefon to kolejny mit, nie jest to technicznie wykonalne i tyle. Można skopiować jedynie numer karty, co jest zbyt małą ilością informacji żeby przeprowadzić jakąkolwiek transakcję. W przypadku kiepsko zabezpieczonych systemów bankowych da się również zgrać z karty dodatkowo jednorazowy kod autoryzacyjny, nagrać go odpowiednio na kartę z paskiem, znaleźć sklep który ma odpowiednio stary terminal i tam zapłacić korzystając z takiej fałszywej karty, jednak atak nie powiedzie się jeśli prawowity właściciel karty zapłaci nią gdziekolwiek pierwszy (klucz autoryzacyjny wygaśnie), ale nawet jeśli zapłaci (czy raczej spróbuje zapłacić) jako drugi, system wykryje anomalię, dane karty zostaną zablokowane i żadne pieniądze z konta nie zostaną ściągnięte.
Inną sprawą jest atak, gdzie dwa telefony robią za „most” i zbliżając na raz telefony do karty i do terminala płatniczego, terminalowi wydaje się, że to karta jest obok, atak ten jest jednak uznawany za bardzo niepraktyczny (konieczność idealnego zgrania czasowego, bardzo niska czułość modułu NFC w telefonie – kto próbował kiedyś odczytać zawartość karty ten wie, o czym mówię, do tego opóźnienia większe od milisekund mają spore prawdopodobieństwo zerwania transakcji).
W każdym przypadku doniesienia o atakach z użyciem każdej technologii były jednostkowe, często niepotwierdzone, błędne (na przykład okazywało się, że sklonowany został ale pasek magnetyczny za pomocą skrimmera w bankomacie), na pewno nie było żadnych ataków na masową skalę, a jeśli jakieś będą to na 100000% nie będą wyglądały tak jak na zdjęciu (którego źródło swoją drogą to Twitter, na Fb ono poleciało później).
Niemnjej szanuję projekt koszulki z drugiej strony, ona jest dobrym pomysłem z innych względów – jak pisałem wcześniej, danymi które da się odczytać z karty jest numer karty, jednak czasami nie tylko to – wiele kart większości polskich banków trzyma także w publicznej pamięci informacje o kwotach 10-ciu ostatnich transakcji, a to w połączeniu z danymi z kamer monitoringu… wystarczyłoby, żeby centrum handlowe wystawiło w paru przejściach odpowiednio mocne skanery dające sobie radę z wieloma kartami na raz, czytało z nich jedynie informacje publiczne i na podstawie unikalnych numerów (tyczy się to też wszelkich kart miejskich czy nawet wielu biletów na siłownię) miałoby całkiem ładne dane do profilowania klientów – przed tym już warto się zabezpieczać i do tego idealnie nada się ta koszulka wyżej, szkoda jedynie że nie podaliście źródła zdjęć (chociaż jest logo). MEM-SY górą! ?
Jakiś czasu temu naczytałem się o możliwości kradzieży i kupiłem sobie takie etui jak na zdjęciu w waszym artykule. Etui działało bo sprawdzałem ale wyglądało jak wyciągnięte psu z gardła po 3 tygodniach użytkowania. Później kupiłem na aukcji etui antykradzieżowe safe case. Mam je już ponad 4 miesiące i jest jak nowe. Znajomy nosi kartę owiniętą w folię aluminiową kuchenną i też zadowolony jest :)