21:17
1/2/2012

W poprzednim artykule pokazaliśmy jak odczytać dane ze zbliżeniowych kart kredytowych. Wtedy fałszywą transakcję wykonywaliśmy przez telefon autoryzując ją odczytanymi bezprzewodowo danymi. W tym artykule pokażemy że można sklonować oryginalną bezstykową kartę kredytową, czyli przenieść zapisane na niej informację na fałszywkę, a następnie wykonać jedną fałszywą transakcję w imieniu ofiary …kradnąc pieniądze z jej konta bankowego.


Temat bezpieczeństwa kart płatniczych, także zbliżeniowych, poruszyliśmy w drugim odcinku naszego podcastu Na Podsłuchu. Dowiecie się z niego, nie tylko dlaczego w internecie warto jak najczęściej płacić kartą płatniczą (w umiejętny sposób), ale również dlaczego nikt nie zaatakuje was chodząc po autobusie ze sklepowym terminalem i przykładając go wam do kieszeni (po internecie krąży zdjęcie złodzieja z terminalem w autobusie, ale jest miejską legendą). Zapraszamy do podsłuchiwania!

Jak działają bezstykowe karty kredytowe?

Przypomnijmy, że na bezstykowych kartach kredytowych znajduje się RFID (standard NFC), który bezprzewodowo udostępnia czytnikowi (czyli sklepowemu terminalowi) takie dane jak: numer karty, datę ważności (a w starszych wersjach także imię i nazwisko posiadacza karty). Dodatkowo, bezstykowe karty kredytowe każdorazowo w trakcie “zbliżeniowej” transakcji generują jednorazowe kody CVV do jej potwierdzenia (tzw. dCVV).

Atak na RFID – czyli PayPass my Ass

Kristin Paget w trakcie konferencji Shmoocon udowodniła, że sklonowanie zbliżeniowej karty kredytowej jest możliwe (do pewnego stopnia). Kristin, przy pomocy kupionego na eBay’u czytnika RFID i programatora elektromagnetycznego (w sumie 350 USD) odczytała z karty ofiary wszystkie potrzebne do przeprowadzenia fałszywej transakcji dane (łącznie z jednorazowym kodem CVV). Następnie, Kristin zaprogramowała pasek magnetyczny (sic!) swojej “czystej” karty odczytanymi informacjami i przeprowadziła za jej pomocą transakcję na 15 USD poprzez terminal Square dla iPhone.

Kristin Paget klonuje kartę kredytową zbliżeniową

Kristin Paget klonuje zbliżeniową kartę płatniczą

Kristin do przeprowadzenia ataku wykorzystała sugerowaną przez nas w poprzednim artykule metodę na “złośliwy terminal”.

Jednorazowy kod CVV

Ponieważ do autoryzacji transakcji bezstykowych używany jest jednorazowy kod CVV, sklonowaną kartą można wykonać tylko jedną transakcję (i zazwyczaj na niewielką kwotę — patrz limity danego banku).

Warto również zauważyć, że jeśli przed wykonaniem fałszywej transakcji, ofiara przeprowadzi płatność swoją kartą (a więc wygeneruje kolejny jednorazowy kod CVV) centrum obsługi kart zauważy, że karta “pominęła” jeden kod lub próbuje drugi raz wykorzystać ten sam kod — efekt powinien być następujący: automatyczna blokada karty.

Kristin Paget klonowanie kart RFID

Wszystko czego potrzeba do sklonowania karty zbliżeniowej (RFID reader, i programator)

Dla atakującego korzystniej będzie więc odczytać dane kilkunastu kart różnych osób, niż skupić się na okradaniu jednej ofiary (większa szansa, że któraś z ofiar nie skorzysta z karty do momentu “lewej” transakcji). Odczytanie wielu kart nie jest trudne, tak jak prezentowaliśmy to w poprzednim artykule, wystarczy przejść obok osoby, która posiada “nowoczesną, bezstykową kartę kredytową”, albo po prostu stanąć w ruchliwym miejscu takim jak środek prostestu przeciwko ACTA :)

Jak groźny jest ten atak?

Na początek bądźmy fair i podkreślmy, że w przypadku bezstykowej kradzieży danych z karty, atakujący może wykonać tylko jedną transakcję naszymi pieniędzmi — do wysokości limitu transakcji. Druga się nie uda (jednorazowe CVV). Więc z jednej strony korzystanie z bezstykówek jest bardziej niebezpieczne (można bez naszej wiedzy sklonować kartę bezprzewodowo) a z drugiej strony bardziej bezpieczne (lewą transakcję można wykonać tylko raz — chyba, że atakujący stale/regularnie będzie odczytywał dane karty ofiary)…

Dodajmy też, że każdą transakcję na karcie kredytowej można reklamować — jest szansa, że bank uzna naszą reklamację i zwróci gotówkę (nie do końca jednak wiadomo, kto wtedy zostanie obciążony kosztami “złodziejskiej” transakcji? Sklepikarz? Ubezpieczyciel banku?).

Jak unieszkodliwić RFID na karcie?

Jeśli nie chcecesz podejmować niepotrzebnego ryzyka to:

  • proś swój bank o wydanie kart bez RFID lub zamianę obecnej karty z chipem na taką, która nie jest bezstykowa.
  • możesz włożyć swoją kartę na 3 sekundy do mikrofalówki — to powinno zabić RFID (nie przesadźcie z czasem w mikofali, po 5 sekundach pojawią się płomienie ;).
  • zastosuj poradę naszego czytelnika i naciąć kartę w odpowiednim miejscu, aby przeciąć zwoje anteny RFID
  • możesz obwinąć kartę kredytową folią aluminiową przed włożeniem do portfela. To zapobiegnie “przypadkowym” zdalnym odczytom danych z twojej karty przez atakującego.

 

Koniec tradycyjnego skimmingu?

Oczywiście dla skimmerów wciąż bardziej opłacalne jest klonowanie standardowych “pasków magnetycznych” z kart — taką kartą można płacić wielokrotnie, dopóki ofiara się nie zorientuje i nie zablokuje jej w banku. Kristin pokazała jednak, że jeśli ktoś chce, to bardzo łatwo (i niewielkim kosztem) może zacząć okradać użytkowników kart w nowy, bezprzewodowy sposób. A warto tu zauważyć, że Polska jest liderem w liczbie wykorzystywanych kart bezstykowych…

Powyższy tekst dedykujemy Mastercard Polska, które rozesłało ostatnio do mediów nierzetelną, albo wręcz mijającą się z prawdą informację prasową, w której firma ta twierdzi, że zbliżeniowe karty są bezpieczne, nie narażają klientów na ryzyko i nie da się ich sklonować. Huh, ciekawe co na to Kristin?

P.S. Jeśli chcecie się zapoznać z wcześniejszymi dokonaniami Kristin, szukajcie “Christophera Pageta” — Kristin przeszła niedawno operację zmiany płci.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

102 komentarzy

Dodaj komentarz
  1. Bleh, to ostatnie zdanie było zbędne. :P

  2. Projektanci portfelów w takim razie powinni zacząć produkować takie, które mają wszyte w sobie folie aluminiową ! ;)

    • Albo to już czas, żeby zaopatrzyć się w mobilną klatkę Faradaya.

    • Ha, o tym samym pomyslalem.

    • Już to robią.

    • Serio, to jest dobry pomysł. W moim byłym portfelu uważałem za zaletę, że mogłem przez niego kasować bilet w autobusie (bez wyciągania karty rfid). Czasy się takie porobiły, że portfel bym z pewnością z czasem zabezpieczył.. na szczęście z aktualnym nie jest już takie “przenikliwe” skanowanie możliwe.. ;)

      Czy nie ujawniam zbyt osobistych informacji? BTW, zawsze warto ścianki portfela wypchać pazłotkiem… jak nie zabezpieczy, to przynajmniej sprawiać wrażenie grubego portfela będzie ;)

    • Może nie cały portfel, ale pojedyńcza przegródka, tak żeby karta miejska dalej działała ;]

    • Takie portfele już są. Na razie dość drogie. Jednak dzięki nim wilk jest syty (mamy nadal wygodę karty zbliżeniowej) i owca cała (odczytanie danych z RFID zależy od naszej woli).

    • allegro: rfid portfel. 80zł

  3. Na rfida ponoć najlepszy młotek, trzeba tylko dobrze wymacać w którym miejscu karty jest . Na marginesie, czy mikrofala nie uszkodzi przy okazji obu układów w przypadku gdy karta jest zbliżeniowa i czipowa?

    • Dokładnie, dobrze kombinujesz ;) pomyśl, co się szybciej uszkodzi: drucik o grubości 100um, czy tranzystory rzędu nanometrów. Bo chip jest ten sam dal obu płatności.

    • Żadnych mikrofalówek!
      Istnieją jeszcze także (mniej popularne) karty dual-interface, w których styki i antena podłączone są do tego samego chipa.
      Najlepsza metoda to przerwanie anteny. Wystarczy latarką poświecić przez kartę, żeby zlokalizować antenę.
      A najprościej to portfel z ekranem, ewentualnie wkładka umieszczona w przegródce na banknoty: zamknięty portfel=pełna ochrona. Chcesz zapłacić = otwórz portfel i przyłóż wewnętrzną stroną do czytnika/terminala – Voila!

  4. No cóż dalej jest to prawda co pisze MasterCard. Gdyż nie ma mowy o 100% skopiowaniu karty (Kod CVV jest na raz). Atak wciąż powoduje mniejsze straty niż kieszonkowa kradzież karty (kilka transakcji). Właściwie zdrapanie paska magnetycznego bardziej podniosło by poziom bezpieczeństwa przy korzystaniu z karty niż uszkodznie chipu RFID.

    Niestety wciąż paske magnetyczny to podstawa w wielu sklepach. Zwłaszcza kasach samoobsługowych.

    Nie ma środków w 100% i ekranowany portfel to niegłupi pomysł.

    • @Kamil: Czyli wykonanie jednej transakcji (na grupie 5 milionów kart MC) nie naraża klientów MC na ryzyko, tak?

      Idziemy dalej, MC pisze “Tylko za pomocą oryginalnej karty z technologią zbliżeniową PayPass można dokonywać transakcji.” Jak widać, nie do końca jest to prawda. Transakcja na konferencji została wykonana nieoryginalną kartą.

      Idziemy dalej, MC pisze: ” Jedyne co można przechwycić to datę ważności i numer karty. ” znów pudło – Kristin twierdzi, że przechwyciła jednorazowy CVV. Mało tego, mówi, że można przechwytywać kolejne – trzeba tylko “powrócić” do ofiary. Zgoda, niewygodne, bardziej praktyczne będzie złapać kartę innej ofiary, np. tego pana obok ;)

      Generalnie chyba nie czytaliśmy tego samego oświadczenia ;)

    • Piotrze, w każdą stronę nie można przesadzać. Informacja jest na jakimśtam portalu. Z tym kodem CVV jestem ciekaw czy w końcu jest generowany przed transakcją czy w jej trakcie.

    • “Jedyne co można przechwycić to nr karty i date”, buahahahah, dawno się tak nie uśmiałem. Ale po śmiechu przyszło przerażenie, jak bardzo MC okłamuje swoich klientów! Możemy sczytać wszystkie dane profilu aplikacji MC (przynajmniej 30 różnych elementów). Jednorazowy kod również.

    • kamil, TECHNICZNIE przedstawiciel Mastercard kłamał. Da się podrobić (sklonować) kartę i da się nią później zapłacić = technologia nie jest bezpieczna.
      Chodzi tylko o słowa (w końcu to one kreują rzeczywistość).

      Pozdrowienia.

    • @Panie Piotrze,
      Czy zagłębił się Pan wystarczająco w temat, żeby rzucać oskarżenia? “Atak” przedstawiony w tym artykule nie stosuje się do kart wydawanych w Polsce.

  5. a tak sie smiali z Tinfoil hatow :D

  6. Widząc zdjęcie pomyślałem: “polki jednak dużo ładniejsze”.
    Po przeczytaniu ostatniego zdania zrozumiałem dla czego w tym konkretnym przypadku.

  7. 1. Czy ktoś sprawdził czy folia rzeczywiście zabezpiecza przed odczytem. Nie wiem na jakiej długości fali działa karta, klatka faradaja to trochę mit (prosty test – można włożyć komórkę go garnka przekryć metalową pokrywką i można na nią zadzwonić słychać i czuć wibracje, a radio tak włożone przestaje grać).

    2. Można przejść się z czytnikiem po hali odlotów. Duża szansa na sporo kart z wysokim limitem + duże prawdopodobieństwo że nikt nie wykona transakcji przez czas lotu.

    • Na pewno działa na elektronicznych legitkach studenckich (przez chwilę miałem 2 ważne legitymacje, na jednej był bilet, na drugiej nie, więc aby ułatwić przejście przez bramki metra owinąłem jedną w folię, około 2 zwinięcia, karta dla czytnika zniknęła).

    • Klatka faradaya powinna być UZIEMIONA.

    • W jakim celu? Uziemienie nie ma wpływu na zapobieganie przedostaniu się sygnału do obiektu w klatce.

  8. Pamiętacie makabrycznie głupi filmik o tworzeniu sobie nowej tożsamości i unikaniu wykrycia? Koleś pakował kilka warstw złożonej folii aluminiowej do portfela, do tej drugiej przegródki na banknoty, którą ma 90% portfeli. Ja używam tylko jednej z nich, więc przed chwilą zrobiłem to samo :)

    • To podczas najbliższych zakupów kartą zbliżeniową nie wyjmij jej z tej foli podczas płacenia i zdaj raport.

      ps. zna ktoś bezpłatne konto do którego dostanę bezpłatną kartę zbliżeniową, ew. jak najtaniej bo chętnie sam bym wykonał taki test ale nie będę płacił za kartę tylko dla jednego małego kaprysu. Choć kusi mnie wykonanie potem testu z mikrofalą :).

    • Pablo, ale po co miałby wyjmować? folia jest w portfelu w zewnętrznej przegrodzie na banknoty. atak się nie uda dopóki portfel będzie zamknięty. chyba, że da się przeprowadzić atak pod dużym kątem, bo folia taka nie pokryje całego pola.

    • @Pablo, BZ WBK ma pre-paida od MasterCard z paypassem

    • @Marcin
      …za 20zł, to już lepiej w mBanku sobie założyć darmowe konto, ponoć teraz dają tylko paypassy

  9. ARR, znów coś się wali na PRN i miesza z URLami, rzeczona informacja prasowa bynajmniej nie pochodzi z działu Hydepark i nie została opublikowana przez Michała Kisiela, tylko jest “Aktualnością” od Mastera.

    @Piotr, podsyłam to Michałowi Skowronkowi I szefowi First Data, zobaczymy, co powiedzą ;-)

  10. AVE…

    Jeśli karta generuje kod dCVV na żądanie, to można zrobić taniej skaner/programator, który będzie żądał wielu kodów od jednej karty. Potem można wykorzystywać kolejne kody z listy w terminalach płatniczych. Za pomocą mikrokontrolera i odpowiedniego układu interfejsu RFID można stworzyć łatwą w użyciu uniwersalną multikartę-klona. Widziałbym takie coś w formie układu 2w1: najpierw skanuje wszystkie karty w okolicy, a potem używa danych jako multikarta do wykonywania transakcji. Wymaga to jedynie wiedzy z zakresu programowania mikrokontrolerów i elektroniki. Firmware nie powinien stanowić problemu dla speca od komputerów – tu też używamy C lub dialektów BASICa…

  11. A ja mam pytanie dlaczego niby tylko jeden kod CCV można ściągnąć? Czy nie można wysłać do karty sygnału “transakcja zaakceptowana”, żeby karta wygenerowała kolejny?

    • no właśnie też mi się wydaje że można

      widziałem kiedyś filmik jak facet właśnie tak robił, chodził po galerii z walizką w której miał antenę i urządzenie do sczytywania danych i z tego co zrozumiałem to właśnie sczytywał kartę kilkukrotnie

      a jeśli chodzi o reklamację transakcji to banki same sobie ubezpieczają takie karty – w cenie karty jest jej ubezpieczenie

    • Podejrzewam, że można, ale atakujący musiałby przejść obok ofiary jeszcze raz i jeszcze raz sklonować kartę z dCVV

  12. Bez sensu. Nie mogli w tych kartach prostej autoryzacji challenge-response zaimplementować? Tak byłyby odporne na zdalne ataki.

  13. Najlepiej obwinąć kartę folią aluminiową i wsadzić do mikrofali na 5 sek:]

  14. Od paru lat polski projekt potrafi kolonować RFID … Wszystko dostępne w necie i gotowe do powielania,,,

  15. fajnie się czyta stwierdzenie “Na początek bądźmy fair” dalej, niż w połowie artykułu. ^^

    • Ale dopiero od tego miejscu rozważamy zagrożenie dla usera, wcześniej jest opis ataku.

  16. Niech mię ktoś objaśni, jak działa ten jednorazowy CVV. Z artykułu zdaje sie wynikać, że karta ma listę CVVów do wykorzystania, bank też ją ma i sprawdza, czy idą kolejno, ale jakoś mi to nie pasi. Czy on jest jakoś generowany algorytmicznie? Na podstawie czego? I czy na pewno tego czegoś nie da się też odczytać?

  17. “…kradnąć”? “kraść” chyba?

    Im bardziej zaawansowana technologia, tym bezpieczniejszym okazuje się trzymanie kasy w skarpetce.

  18. RFID i Myth Buster:
    http://www.youtube.com/watch?v=OQ015AfugG8

  19. A jak rozwiązane jest sprawa pobierania tylko jednego kodu CVV? Nie można odczytać np. 10 kodów jednorazowych? Przecież karta nie ma połączenia z systemem by je unieważnić.

    Jeśli karta wydaje kolejny kod tylko po potwierdzeniu poprzedniej transakcji (co byłoby wskazane), to zapewne jakoś można jej wysłać to potwierdzenie i pobrać następny kod (kwestia czy takie potwierdzenie jest w jakiś sposób np. podpisane cyfrowo).

    No i jeszcze jedno, czy jest jakakolwiek szansa by karta sama z siebie zwróciła CVV, tzn. czy karta musi być specjalnie “zapytana” czy po prostu podczas skanowania wysyła wszystkie dane łącznie z kodem CVV. Jeśli tak byłoby, to karta przy każdym czytniku np. karty miejskiej wysyłałaby te informacje – tym samym kody jednorazowe straciłyby sens.

  20. Wreszcie mam dowód dla znajomych niedowiarków którzy twierdzili że jest to nie możliwe. ;-) Podeślę im link.

  21. Zamiast wrzucania karty do mikrofali można użyć metody, którą opisywałem tutaj: https://niebezpiecznik.pl/post/klonowanie-zblizeniowych-kart-kredytowych-rfid/#comment-55480

    Chip nieuszkodzony, RFID nie działa [testowane].

    • Dodałem do artykułu, dzięki za informację! Sam korzystam z mBanku i zamierzam odmówić przyjęcia karty z RFID-em.

    • I co Ci z odmówienia przyjdzie? Dopytywałem na mLinii, nie mają i nie będą mieli karty bez RFID. Bierzesz taką, albo żadną. Tylko jak wtedy piwo kupować?

    • Zmienię bank, jakoś nic mnie w mBanku nie trzyma. Ostatnio jak chciałem rozwiązać umowę i zamknąć konto, poszli na rękę i zmienili to, co mi się nie podobało.

    • getinonline (internetowy oddział getinbank) – napisałem im kiedyś maila, że chcę kartę bez PayPass – odpisali, że nie ma takiej możliwości.

    • Jak ja rozmawiałem z mBankiem bo dostałem taka kartę to również się dowiedziałem że nie maja innych ale, że mogę sobie zmienić w serwisie transakcyjnym limit takich operacji np na 1zł. Tylko, że ja tego nie widze tam więc zadzwonie do nich jeszcze raz chyba..

    • @PK no to żółwik, przez to samo teraz przechodzę w mBanku. odmówili wydania karty bez RFID nawet wtedy, gdy zadałem bezpośrednio pytanie – czy wolą rozwiązanie w którym przenoszę swoje rachunki do innego banku. mBank daje darmowe konto firmowe, w innym banku pewnie będę musiał płacić, ale przeboleję to.

  22. A ja mam inne pytanie. Bardzo wiele transakcji zbliżeniowych (moja kartą średnio 9 na 10) jest dokonywana BEZ AUTORYZACJI tzn. w momencie płacenia terminal NIE łączy się z bankowym centrum rozliczeniowym. Widać to na pokwitowaniu jak jest napisane “kod autoryzacji {3}{F}” bez 6-cyfrowego numerka a w e-bankingu z konta nie wyszedł ani grosz. Jak w takim przypadku bank ma śledzić generowanie kodów dCVC???

    • Tranzacja bez autoryzacji nie wykorzystuje CVV ani żadnych innych kodów jednorazowych. CVV jest wykorzystywane tylko w magstripe flow, czyli przykładasz kartę do czytnika, a czytnik coś tam oblicza i dalej puszcza to jak tradycyjny magstripe, że nawet host się nie pokuma czy płacisz magstripem czy zbliżeniowo

    • Czyli wystarczy proste sklonowanie karty (bez dynamicznego CVC) aby można było nią płacić wszędzie, gdzie jest terminal zbliżeniowy który domyślnie autoryzuje off-line? Super!

    • Tak, ale niestety sklonowanie karty nie jest proste… chociaż wszystko jest względne – dla kogoś proste, dla innego trudne :)

  23. Mi wystarczyło trzymać legitymację studencką i PP w jednym portfelu. Nie znam czytnika, który by nie ogłupiał od tego.

    • To sprawdź czytniki np. Motoroli, albo Siemensa.

  24. PKO BP nie wyda mi karty Visa Electron bez chipa i nie można na takiej wylaczyc chipa. Bo nie. Pozostaje chyba tylko mikrofala ale czy nie zaszkodzi to normalnemu chipowi nie-RFID?

  25. No właśnie, co z transakcjami off-line? Wtedy bank nie może sprawdzić CVV, a większość operacji na kartach zbliżeniowy, zdaje się, powinna się odbywać off-line (co któraś on-line). Licznik jest na karcie, więc klonując powinno dać się a) odczytać ilość możliwych transakcji off-line b) zresetować licznik.
    Inna sprawa, że jak już terminal się zsynchronizuje z bankiem, to bank będzie wiedział, że transakcja była „fałszywa”… tyle, że wtedy złodziej już będzie miał swój towar, czy pieniądze, najwyżej nie będzie podstaw obciążyć konta klienta banku.

  26. Czy w Europie przypadkiem contaclessowe transakcje nie idą z przetwarzaniem EMV? W takim wypadku takie coś możliwe byłoby tylko w USA, a tam to jest akurat najmniejszy problem. Wystarczy komuś zawinąć kartę i po sprawie – w większości sklepów sprzedawcy nie proszą o dowód podczas zakupów (bo weryfikacji PINu i podpisu tam nie ma).

  27. Mam kilka zbliżeniówek, testuję ekranowanie ich blachą z puszki po napoju. Dwie takie blaszki, nawet nie przylegające bezpośrednio do karty (mam tego trochę, dowód, prawko, karta taka, siaka i owaka) całkowicie mi zaekranowały zbliżeniówkę do otwierania drzwi w robocie (a próbowałem i bokiem i inne kombinacje). Dopiero jak otworzę portfel i przyłożę część z kartą (wyjmować nie muszę), karta działa. Po południu pobawię się kartą miejską i czytnikiem w kasowniku… Jestem optymistą w tym względzie. Nie wiem jak spokojnie przetestować debetówkę z paypassem, jak zacznę kombinować gdzieś, gdzie jest obsługa, to mnie jeszcze zatrzymają jako “niebezpiecznego hakera”…

  28. Ja to jestem ciekaw jednej rzeczy – z dostepnych mi informacji wynika, ze na ten jednorazowy kod cvv sklada sie kilka informacji – np. godziny transakcji.. Wiec moze ten kod mozna wykorzysac tylko w bardzo krotkim przedziale czasowym od zczytania ? Wydaje mi sie, ze duzo zalezy tu od wykorzystywanego centrum autoryzacji. Co do folii aluminiowej – blokuje skutecznie. Sprawdzilem.. najlepiej dziala kozie mleko :) O tu:

    http://techlajf.pl/2011/12/30/zrob-to-sam-etui-chroniace-twoja-karte-paypass/

    • Możliwe, że parametrem do generowania kodu jest czas rzeczywisty i klucz prywatny zapisany w karcie. Przypominałoby to tokeny RSA SecurID.

    • Niestety, godzina się na to nie składa. Składaja się 2unikalne klucze przypisane do karty, wektor inicjalizujący obliczany na podstawie architektury kluczy asymetrycznych RSA wymienionym pomiędzy bankiem, MC oraz personalizatorem, oraz licznik tranzakcji.

    • @Pablito:
      Aha.. Czyli zawodowo zajmujesz się analizą logów z transakcji zbliżeniowych, ale nie wiesz, że systemy autoryzacyjne przenoszą informację o interfejsie?

    • Nie wiem. Może przenoszą, pewnie zależy od implementacji.

  29. Odkąd mam kartę zbliżeniową w portfelu, to kontrolerzy biletów MPK (też karta zbliżeniowa), nie mogą mi przeczytać biletu bez jego wyjęcia.
    A po drugie, już mam trzy takie karty, więc zadanie utrudnione.
    Lubie te transakcje zbliżeniowe, szczególnie w McDonaldzie.
    Mój limit (którego nie mogę zmienić) wynosi 50zł na dzień. Majątek to nie jest.

    3 sekundy w mikrofalówce nie psuje chipu i paska magnetycznego?

  30. Proponuję bezpieczną wersję transakcji zbliżeniowej jakiej używa się w Rosji. http://www.youtube.com/watch?v=FGw5MxaRTqs

  31. ostatnie zdanie w artykule do moderacji, nie ma żadnego związku z treścią, tanią informacją zalatuje na kilometr

  32. Mam w portfelu trzy zbliżeniowe karty bankowe i kartę miejską. Żeby wejść do metra muszę kartę wyjąć z portfela, ale kasownik w autobusie radzi sobie z tym zestawem bez trudu.

  33. Warto zauważyć, że np skipassy również działają na zasadzie RFID. Domyślam się, ze dysponując czytnikiem – nie trudno bylo by zamienić zapis na niej, i zamiast godziny… jeździć cały dzień :)

    • Jest szyfrowanie. Jeśli system jest odpowiednio zabezpieczony (karty Mifare plus z SL2, szyfrowane dane przez system (poza szyfrowaniem dostarczanym przez samą kartę) i suma kontrolna to klonowanie karty jest (na razie) praktycznie niemożliwe w rozsądnym czasie bez wcześniejszego skompromitowania systemu.

  34. Ja mam jeden dosyć skuteczny sposób.. włożenie 3 kart z 3 RFID obok siebie i nie udało mi sie jeszcze zapłacić trzymając je jedoczesnie w portfelu wiec chyba samo skanowanie nie bedzie w stanie wychwycić co i która karta “nadaje”.

    • Błędne myślenie, niestety. To że jeden czytnik nie jest w stanie odczytać więcej niż jednej karty, nie oznacza, że inny tego nie potrafi…

    • Każdy czytnik potrafi odczytać kilka kart, poczytaj sobie o anti-collision.

    • Dla wnikliwych: wszystko opisuje norma ISO/IEC 14443 part 3 – tam opisano protokoły antykolizyjne [ “two cards, one cup” ;-) ]

  35. No nie sprawdzałem na czytnikach powiedzmy profesjonalnych ale na żadnych czytnikach polcardu ani nawet na bramkach “tutersa” w Manufakturze nie było w stanie przeczytać jak było razem wszystko. Wiadomo na 100 czytników bedzie tak że nie bedzie działać natomiast na 101 już przeczyta i to wszystkie 3.

  36. Panie Piotrze,
    Ponieważ nie jest to pierwszy artykuł na ten temat, czy nie mógłby Pan się w końcu dowiedzieć, dlaczego ten atak nie jest powtarzalny w polskich warunkach? Od serwisu związanego z bezpieczeństwiem od strony technologicznej oczekiwałbym, żeby weryfikował informacje, które u siebie zamieszcza. Odpowiedzialność za transakcje jest zdefiniowana, podobnie, jak i to, że w każdym normalnym systemie dane z interfejsu zbliżeniowego nagrane na pasek magnetyczny skutkują odmową. One są różne, a interfejsy są rozróżniane w systemach autoryzacyjnych. To nie są informacje, do których trudno dotrzeć, więc liczyłbym, że znajdą się w kolejnym artykule poświęconemu tej tematyce. Przydałoby się także, aby wytłumaczył Pan relację transakcji offline i CVV/CVC.

    • No cóż, najwyraźniej Kristin trafiła na “nienormalny” system, jak widać, takie istnieją.

    • Panie Piotrze,
      To nie jest żadna odpowiedź tylko przepychanka. Odniesie się Pan do reszty?

  37. @Pablito:
    I co te dane, które tam można odczytać zmieniają?
    Rzeczywiście dla każdego atakującego jest istotne, w jakiej walucie i jakim kraju wydana jest karta, jaka jest kolejność języków preferowanych, wspierane typy transakcji, itp.
    Imienia i nazwiska użytkownika karty nie ma. Kod CVC karta też wygeneruje dla danej liczby losowej… i co z tego?

    • Dane które można odczytać decydują o zachowaniu terminala. A o to co jest istotne dla atakujących, to zapytaj się atakujących. Niestety co do imienia i nazwiska to się mylisz, bo jest i można je sczytać.

  38. […] dyskusje dot. ataków na zbliżeniowe karty płatnicze opublikowaliśmy tutaj oraz tutaj. Swoją drogą, ciekawe czy w tym przypadku zadziałałby RFIDdler…? […]

  39. Co ciekawe mój bank wydał mi moja kartę i nie pozwolił zrezygnować z opcji zbliżeniowej. Kilka tygodni później w sklepie okazało się, że opcja ta nie działa ;]
    Czasem cieszę się, że mam tak głupi bank.

  40. Podobno w kasach samoobsługowych w TESCO przy kartach wydanych w 2012 roku transakcja jest autoryzowana zawsze podpisem. Spotkał się ktoś z tym???

  41. […] Ataki na zbliżeniowe karty kredytowe RFID […]

  42. Proszę o źródło w postaci badań i uzasadnienie merytoryczne tego że:
    – po trzech sekundach magnetron kuchenki mikrofalowej zdąży się uruchomić (w końcu to lampa elektronowa) i osiągnąć wystarczającą moc żeby zrobić efekt którego się spodziewamy, czyli to co dalej
    – usmażeniu ulegnie układ do RFID, uszkodzi się definitywnie tak że nie będzie odpowiadał, ale jeszcze nie będzie przypalenia
    – całą zabawę przetrwa scalak karty inteligentnej (tzw. chip) i że pasek magnetyczny nie zostanie wyprażony :D
    No i przy okazji czy faktycznie pojedyncza folia aluminiowa jest w stanie zablokować całkowicie RFID. Pewne częstotliwości powinny przecież przejść bez problemu.
    Jeśli okaże się że jednak tak nie jest, przydałoby się przemyśleć umieszczanie takich rad. Niektórzy myślą że jak znaleźli coś w sieci to jest gwarancja że będzie działać ;)

  43. Artykuł nie pokazuje zhakowania standardu, tylko pojedynczej implementacji jakiegoś banku, który nie sprawdza mnóstwa rzeczy, między innymi tego, że do transakcji magnetycznej poszły dane z bezstykowej. Tak samo z poprzedniego artykułu – płatności w internecie bez podawania (niekopiowalnego bezstykowo) kodu z tyłu karty. MasterCard i Visa WYMAGAJĄ podawania tej liczby w transakcjach internetowych, jeżeli dany sklep tego nie robi, to wszelkie oszustwa są tylko i wyłącznie jego winą, i to on pokrywa ewentualną stratę – po prostu dał złodziejowi towar za darmo.

  44. […] Atak działa na transakcje o dowolnej kwocie, uwierzytelniane przy pomocy protokołu EMV, zarówno offline i online, czyli wtedy, kiedy terminal płatniczy potwierdza transakcję w systemach bankowych w czasie rzeczywistym. Dorzucenie online’u jest nowością, gdyż atak na offline za pomocą tzw. yes-card znany jest już od dawna. Zainteresowany problemami bezpieczeństwa bezstykowych kart kredytowych? Przeczytaj o atakach na karty płatnicze z RFID-ami […]

  45. […] możecie przeczytać w naszych poprzednich artykułach (klonowanie kart zbliżeniowych oraz ataki na zbliżeniowe karty kredytowe (RFID)) — warto jednak zwrócić uwagę, że stosowane zagranicą karty niekoniecznie działają na […]

  46. […] o atakach na zbliżeniowe karty kredytowe możecie poczytać w naszych poprzednich […]

  47. […] NFC z reguły jest wykorzystywany w smartphone’ach do bezstykowego przesyłania sobie wizytówek lub nawet płatności. Korzystający z NFC Google Wallet posiadał już błędy. Warto także wspomnieć o aplikacji na telefony z Androidem wyposażone w czytniki NFC umożliwiającej odczytywanie danych z bezstykowych kart kredytowych. Bo o samych problemach z bezprzewodowymi płatnościami kartami bezstykowymi pisaliśmy już wiele razy… […]

  48. W sumie paradoksalnie w jednej kwestii lepszy od plastiku jest… telefon z NFC, bo w telefonie NFC zawsze możemy wyłączyć i włączać przy płatności już ;) Oczywiście pozostaje kwestia tego, jak taki telefon ktoś nam ukradnie no ale to już inna sprawa :D

  49. […] moje doświadczenia z reklamacjami w mBanku (na 3
    złożone uznano 0) zastosowałem metodę z
    https://niebezpiecznik.pl/post/ataki-…redytowe-rfid/ ( a
    konkretnie pisząc: przecięcie karty wg ImageShack i ImageShack )
    Prosto i skutecznie […]

  50. Proponuję usunąć radę włożenia karty do mikrofalówki. Jeśli ktoś nie wyłapie ironii, może to się skończyć:
    – niepowodzeniem w uszkodzeniu RFID i fałszywym poczuciem bezpieczeństwa
    /magnetron mikrofalówki to lampa elektronowa z obwodem żarżenia, rozgrzewa się około 2 sekund żeby osiągnąć pełną moc/
    – przedobrzeniem i zupełnym usmażeniem karty
    – realnym usmażeniem karty wiążącym się ze smrodem spalonej elektroniki w mikrofalówce, który do przyjemnych nie należy ;)

    Pomijam że producenci mikrofalówek zabraniają takich manewrów więc może się to skończyć utratą gwarancji. Oczywiście wiadomo że uszkodzenie jest mało prawdopodobne, życie to nie jest Brainiac ;)

  51. […] my uczylaliśmy Was już jakiś czas temu (por. odczytywanie danych z karty zbliżeniowej oraz ataki na karty zbliżeniowe). Dziś chcielibyśmy opisać uniwersalny atak na zbliżeniówki, niewymagający […]

  52. Po obejrzeniu materiału o skanowaniu kart na tvn, zastanawiam się czy moje pieniądze są bezpieczne, odpowiedź jest jedna chyba nie do końca. Coś jest na rzeczy bo coraz więcej źródeł dotyka tematu, nawet Forbes napisał artykuł o udanej próbie zeskanowania kart przez wynajętych hakerów.
    Ja posłucham się mojego kolegi, który powiedział mi chroń portfel przez zabezpieczenia przeciw wrogiemu skanowaniu dostępne już w sieci.

  53. Własnie w ten sposób opier… mnie jakis cwaniak na stacji shella na autostradzie z Gdańska do Torunia tak z 3-4 lata temu.. !
    Na nieszczeście podkusiła mnie ta M-bankowa promocja i zrobiłem sobie kartę zblizeniową (teraz dostaja juz chyba wszyscy z automatu)
    No i kupując na stacji shella hotdoga i kawe i płacąc za wachę byłem ciut zdziwiony iż jakiś sniady … pomimo iz cała stacja pusta o godz 3.00 i kolejki nie ma stoi jakoś tak podejrzanie blisko za mną i sie przysuwa.. Myslałem ze jakis … i nawet rozważałem …. mu jak przystoi ale złą atmosferę natychmiast rozładował przepiekny usmiech pani z obsługi i zapomnialem o tym przykrym incydencie aż do następnego logowania w M-banku.. KUR… !!!! Nie tankuje na Shellu za duzo bo drogo, tylko by dojechac do Bazy, a ich punkty mogą se wsadzic i jakiez było moje zdziwko jak sie okazało ze ponad 460zł tam zostawiłem. !!! No normalnie szlak mnie trafił, napisałem reklamacje, i tu….zaskoczenie, przyznaje, M-Bank po rzekomych tam 14 dniach jakiegoś sprawdzania kase mi zwrócił… Więc ewidentnie ich system nie jest szczelny i ktos go opier… i Oni o tym WIEDZA !!
    Ale ze oddali mi też za kawe , hotdoga i paliwo które zatankowałem by dojechac do Torunia , wciaz mam u nich konto : )) SIC ! :)) ..Moze juz uszczelnili..

  54. Nie wspomina się także o innym zagrożeniu – terrorystycznym.
    Skoro można zidentyfikować delikwenta po jego numerze karty, to można także skonstruować bombę, która zdetonuje się tylko kiedy przejdzie obok niej konkretna osoba.
    Temat był wałkowany jakieś 10 lat temu kiedy wchodziła biometria do paszportów (to także jest RFID). Z tego powodu np. amerykańskie paszporty mają siatkę Faradaya w okładce. Zamknięty paszport jest niemożliwy do odczytu, ale… już uchylony na ok. 3cm umożliwia odczyt – dlatego zdrowo jest mieć porządek w torebce ;-)

    To oczywiście pewne uproszczenie – są zabezpieczenia BAC/SAC/EAC, ale to już tematyka na inne forum…

  55. Ciekawe czy osoba (nie wiem czy pisać o kobiecie – czy mężczyźnie) pokazująca, że da się jednak sczytać kartę wie, że popełniła przestępstwo sczytując dane. Nawet jeśli nieświadomie i tylko do testów. Fakt pozostaje faktem. Poza tym pewnych rzeczy nie powinno się jednak pokazywać publicznie, żeby nie uczyć ludzi. Lepiej np. wysłać nakręcone wideo do wydawcy kart

  56. “zastosuj poradę naszego czytelnika i naciąć kartę w odpowiednim miejscu, aby przeciąć zwoje anteny RFID”. Problem w tym, że jakiekolwiek uszkodzenie karty spowoduje, że przestanie być akceptowana w sklepach. A co do mikrofali – brak słów na ludzką głupotę! Czy mikrofale nie zniszczą też paska magnetycznego? Jedyny skuteczny sposób to wyłączenie funkcji zbliżeniowej w banku, albo zmianę limitów transakcji zbliżeniowych do zera. Są też specjalne portfele do kupienia wysyłkowo.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: