18:08
20/2/2018

Z racji liczby udzielanych mediom wypowiedzi, doszliśmy do wniosku, że ze względu na ich szczegółowość i edukacyjny charakter, będziemy je także udostępniali na łamach Niebezpiecznika. Nie chcemy aby zniknęły w otchłani czyjegoś serwera za kilka lat, albo żeby schowano je za paywallem danej gazety. Dodatkowym atutem będzie to, że prezentowana przez nas wypowiedź jest pełna (gazety ze względu na format artykułu i ograniczenia nałożone na liczbę znaków często zmuszone są skracać wypowiedzi lub w inny sposób je parafrazować/upraszczać. U nas zawsze oryginalny zapis :).

Oto wywiad jaki udzieliliśmy Pawłowi Korzeniowskiemu z noizz.pl. Dla przejrzystości, zadawane przez redaktora pytania zostały w niektórych miejscach skrócone:

Paweł Korzeniowski: Miejska historia o okradaniu kart przez czytniki Paypass budzi chyba większy lęk niż myśl o realnym kieszonkowcu. Czy spotkaliście się w Polsce z przypadkiem takiego przestępstwa?

Nie. To byłoby bez sensu. Aby ukraść coś terminalem z karty pasażera w autobusie, trzeba nie tylko posiadać jakiś terminal, ale mieć go zarejestrowanego u agenta rozliczeniowego. Inaczej nie będzie szans na odebranie gotówki z transakcji wykonanych na terminalu. I tu pojawia się problem, bo procedura weryfikacji akceptanta (czyli kogoś, komu udostępniany jest terminal) jest bardzo szczegółowa, a dodatkowo pieniądze z odnotowanych przez terminal transakcji nie spływają na konto natychmiast. To powoduje, że nawet gdyby atak, o którym rozmawiamy, miał gdzieś miejsce, to prawdopodobnie któraś z ofiar zorientowałaby się, że nie wykonywała danej transakcji i ją zareklamowała. To spowodowałoby wstrzymanie płatności dla “podejrzanego” akceptanta przez agenta rozliczeniowego.

To zdjęcie wywołało kiedyś przerażenie, ale zapewne był to zwykły serwisant z terminalem w ręku bo na pewno nie złodziej

To zdjęcie wywołało kiedyś przerażenie, ale zapewne był to zwykły serwisant z terminalem w ręku bo na pewno nie złodziej

Jakich urządzeń używają lub mogą użyć złodzieje, by nas okraść naszego paypassa? Czy są to “sklepowe” terminale czy inne urządzenia?

Ponieważ karty płatniczej bezstykowej nie da się bezprzewodowo “sklonować”, jedyny możliwy atak na tego typu karty to tzw. atakprzedłużenia terminala.

Proszę jednak zauważyć, że ten atak, o ile teoretycznie możliwy i w środowisku laboratoryjnym potwierdzony, to w rzeczywistości jest
trudniejszy do wykonania. W Polsce zmniejszono dopuszczalne limity czasowe na komunikację karta-terminal, właśnie po to, aby takie “przedłużenie” sygnału, które zajmuje czas, nie mogło zostać zrealizowane. [EDIT: to zdanie bazowało na wypowiedziach pracowników Mastercard, które zakwestionował jeden z czytelników już po publikacji tego wywiadu na łamach NOIZZ. Sprawdziliśmy więc i Czytelnik ma rację. W Polsce żadnych modyfikacji nie wprowadzono.] Dlatego nie słyszeliśmy o tego typu atakach w Polsce. Prościej jest komuś po prostu przystawić nóż pod brodę i zażądać portfela niż bawić się w takie ryzykowne i skomplikowane technicznie ataki.

To nie znaczy, że pieniędzy z karty nie da się ukraść. Da się. Ale nie “zbliżeniowo”. W większości przypadków wystarczy odczytać to, co na karcie jest nadrukowane. Numer karty, datę ważności, nazwisko i kod CVV2, który znajduje się z tyłu karty. Te dane pozwalają do płatności kartą przez internet. Dlatego na kartach, których nie wykorzystujemy w internecie ustawić limity na transakcje MOTO/internetowe po stronie banku.

Więcej info w drugim odcinku naszego podcastu poświęconym bezpieczeństwu kart płatniczych oraz tych dwóch artykułach.

Jak się zabezpieczyć przed taką kradzieżą?

Jeśli dla kogoś problemem jest sama kradzież pieniędzy z karty, to raczej niczego nie musi robić, z powodów opisanych powyżej. Osoby,
które dbają o prywatność powinny rozważyć owijanie karty folią aluminiową, albo specjalne portfele blokujące fale radiowe. Bo z części stosowanych w Polsce kart można bezprzewodowo wykraść informacje takie jak imię i nazwisko właściciela czy wysokość np. 10 ostatnich transakcji wykonanych kartą, np. tą aplikacją.

Innymi słowy, największym “zagrożeniem” kart bezstykowych jest to, że mogą służyć jako bezprzewodowy identyfikator. Ktoś nie tylko może poznać imię i nazwisko właściciela, ale przykładowo, sklepy mogą “śledzić” to kto, kiedy i ile razy odwiedza dany obiekt. Już zresztą to robią, ale technikami które nie bazują na chipach RFID wbudowanych w karty płatnicze.

Przeczytaj także:

43 komentarzy

Dodaj komentarz
  1. Dlatego w celu zabezpieczenia się z odczytem danych właściciela z karty czy jest sfocenia bezpieczniejsze jest korzystanie z Andoid Pay czy Blika. Dodatkowym zabezpieczeniem jest to, ze po zablokowaniu fona NFC (czyli płatność zbliżeniowa) – w przeciwieństwie do karty – nie działa.

    • Pardon. Od dzisiaj Google Pay (zamiast Android Pay). Właśnie łączą usługi.

    • Nie wspominają tu jednak, że wyłączyli płatności zbliżeniowe za normalne drukowane bilety w autobusach MPK. Przez to nie działa nie tylko karta, ale także nie da się płacić przez NFC. I przez taki powód trzeba mieć przygotowaną i komórkę i portfel z kartami.

    • Ta, płatności od Google, jeszcze brakuje, żeby wiedzieli co gdzie i kiedy kupuje…

  2. sklepy mogą “śledzić” to kto, kiedy i ile razy odwiedza dany obiekt – muszę przyznać, że mogą mi nawet zliczać kroki i ilość połkniętej śliny, mam gorsze problemy w życiu, chętnie im sam dam te dane aby mi lepiej asortyment podstawili :P

    • Lepiej oznacza, że ponieważ zawsze kupujesz piwo, mięso i fajki, będziesz dostawał kupony rabatowe tylko i wyłącznie na warzywa ;) A potem przyjdzie big data i powie, że za niestety nie możemy pana ubezpieczyć, ponieważ przez ostatnie lata nie jadł Pan żadnych warzyw a nasze statystyki pokazują, że takie osoby częściej chorują. Pewnie nie za naszego życia, ale… Black Mirror with it!

    • Re: Piotr Konieczny
      Ciekawe jak zadziała na firmy ubezpieczeniowe obowiązek informowania o profilowaniu wg zapisów RODO, a jeszcze ciekawsza będzie reakcja firmy na wniesienie sprzeciwu wobec profilowania.

    • @Piotr no i bardzo słusznie.

    • @Jarek bardzo prosto sobie z tym poradzą – tak samo jak dziś radzą sobie operatorzy komórkowi. W umowie zgoda na profilowanie, jak nie to +10zł do abonamentu. Ludzie będą to brali w ciemno, bo nie zdają sobie sprawy z wartości takich danych. Potem za parę lat dostaną “korektę” i firma wyjdzie na swoje.

    • Powodzenia. RODO zabrania uzależniania warunków usługi od takich zgód.

    • >>Powodzenia. RODO zabrania uzależniania warunków usługi od takich zgód.
      No to będzie się to nazywało “Rabat za profilowanie” i już nie będzie problemem.
      Albo – co jest jeszcze bardziej prawdopodobne – instytucje danego typu dostaną specjalne zwolnienia z niektórych zapisów i będą robiły co będzie im się opłacało.

  3. Można tez mieć kilka kart obok siebie. Wtedy wszystkie zaczną się zakłócać wzajemnie.

    • To jest kolejna miejska legenda. To że zakłócają najtańsze czytniki, to nie znaczy, że zakłócą bardziej profesjonalne. Z “kolizjami” można sobie poradzić. Zatem nie powinieneś liczyć na to, że położenie 2 kart obok siebie zablokuje możliwość interakcji z każdą z nich.

    • POSy mają w standardzie blokowanie wielu tagów bo standard EMV tego wymaga, więc nie do końca to urban legend. O ile w przypadku tagów RFID jest możliwa detekcja i omijanie kolizji, o tyle w standardzie EMV raczej nie (chodź nie szukałem w specyfikacji).

    • To znaczy, że nie zrobisz transakcji. Ale to nie znaczy, że czytnik nie odczyta obu nómerów kart.

    • No właśnie niekoniecznie. W tagach RFID rozwiązywanie kolizji jest w protokole, czyli jeśli tag zauważy kolizję, to czeka losowy czas i sprawdza ponownie czy można nadawać – jeśli tak to nadaje, jeśli drugi tag był pierwszy, to wykrywa, że jest już nawiązane połączenie i nie próbuje. Natomiast EMV jest zaprojektowane kolizyjnie, czyli tak, aby dało się łatwo wykryć 2 karty i zablokować taką transmisję. Jeżeli jest to zrealizowane tak, że karty zaczynają nadawać na konkretny sygnał czytnika, to odczytanie 2 kart nie będzie możliwe. Ale niech wypowiedzą się eksperci od EMV, bo moja wiedza jest już stara i może być nieaktualna.

    • Terminale płatnicze mogłyby umożliwiać Collision Resolution – tylko ze względów praktycznych ograniczono się do Collision Detection.

      Bo jak by to wyglądało ? Zbliżamy karty, terminal twierdzi że jest kilka i pokazuje menu do wyboru karty ? Contactless został zrobiony z myślą o szybkości całego procesu, karta ma być jak najkrócej w polu. Dlatego też np. nie ma offline PIN. I część specyfikacji nie przewiduje nawet drugiego “tapnięcia” kartą (- brak możliwości przetwarzana Issuer Scripts na bezstyku).

    • Odczyt wielu kart w ogóle jest technicznie możliwy tylko z oczywistych przyczyn prawnych i biznesowych, taka możliwość na normalnych terminalach została celowo zablokowana.

    • @KB chodzi raczej o to, że w “autobusie” sprawca ma czytnik który bez problemu odczytuje wszystkie karty a w sklepie jest koleś który przekazuje sygnał tylko jednej. To, że terminal nie pozwoli przyjąć wielu kart na raz nie znaczy, że czyjeś autorskie urządzenie nie odfiltruje tego co chce. Bo fizycznie jest to możliwe.

  4. Czyli szanse na to, że ktoś podszyje się pod kontrolera MPK we Wrocławiu są bardzo niskie?

    Dla niewtajemniczonych: Od 8 marca tego roku we Wrocławiu wprowadzają bilet za przejazd powiązany z kartą płatniczą. Bez potrzeby drukowania papierowego biletu, bez potrzeby zakładania Urbancard dla osoby która jest tu przejazdem. Kontroler ma odczytywać jedynie urządzeniem numer karty płatniczej i sprawdzać czy w bazie odnotowano zakup biletu.

    Stąd Wrocławianie obawiają się, że ktoś zdobędzie kurtkę pracownika MPK, weźmie taki terminal i pod pretekstem kontroli biletów okradnie cały tramwaj.

    • Dotąd miałem Wrocławian za rozsądnych, ale jak widać pora z tym skończyć.
      Zgarnięcie z tramwaju po 50 PLN płatności zbliżeniowych x ilość łepków w pojeździe to będzie hit tego lata.

    • @Monter
      chciałbym zobaczyć skuteczność takiego ataku kiedy 90% pasażerów ma Urbancard i generalnie nie musi kupować biletów co przejazd. :)
      Swoją drogą, łatwo było by wyłapać, że to co przykłada kontroler to nie oryginalny czytnik, tylko terminal płatniczy.

  5. Zastanawiam się hipotetycznie oczywiście nad tym zdaniem cytuje “Aby ukraść coś terminalem z karty pasażera w autobusie, trzeba nie tylko posiadać jakiś terminal, ale mieć go zarejestrowanego u agenta rozliczeniowego. Inaczej nie będzie szans na odebranie gotówki z transakcji wykonanych na terminalu”
    Jaki jest problem w zarejestrowaniu takiego terminala w kraju takim trochę mniej dbajacym o prawa np w Albani ,Kosowie moze Serbii tam i podruzowanie z nim po Polsce … nie znam procedur rejestracji dlatego też zapytuję czy ktoś zna i może się wypowiedzieć na ten temat ?

  6. I tu drogi niebezpieczniku muszę was zaskoczyc. Istnieje możliwość kradzieży za pomocą skopiowania karty zbliżeniowo. Kopiujemy jej dane nawet za pomocą wbudowanego NFC w telefonie. Po tej akcji mamy możliwość dokonania jednej płatności do 50zl w każdym sklepie. Jak mógłby wyglądać taki atak ? A no 1 osobnik kopiuje kartę np w tramwaju poprzez zbliżenie telefonu do czyjejś kieszeni, wysyła token do kolegi który jest w sklepie, kolega robi zakupy do 50 zł płacąc tokenem z telefonu. Testowane na własnej karcie, działa.

    • Wiemy, wiemy, dlatego piszemy o _wielokrotnych_ płatnościach.

    • Jak to dokładnie działa? Coś kojarzę, że komunikacja nie jest jednostronna, czytnik chyba coś odsyła do karty. Było o tym nawet na łamach niebezpiecznika, że nie da się wielorotnie płacić zbliżeniowo skradzioną kartą, gdyż co kilka transakcji zapyta o pin. Pytanie czy odsyła sam od siebie czy coś co dostanie “z centrali”? Pytam, bo część transakcji zbliżeniowych realizowana jest offline (jest wtedy napis na paragonie) i takim sposobem można (nie wiem czy nadal, ale kiedyś w ING się dało) zejść poniżej 0zł na koncie nie mając aktywowanego debetu.

    • Czyli krótka odpowiedź na pytanie czy można być bez swojej wiedzy okradzionym “zbliżeniowo” brzmi “tak, jak najbardziej można”. Posiadając wciśniętą przymusowo przez bank kartę zbliżeniową możemy być codziennie okradani na drobne kwoty i nic z tym nie zrobimy, bo bank uwzględnia reklamacje dopiero powyżej pewnej kwoty – czy dobrzez zrozumiałem i czy w takiej właśnie absurdalnej sytuacji aktualnie tkwimy?

    • Tu zapewne mowa o tym wektorze ataku:
      https://www.usenix.org/conference/woot13/workshop-program/presentation/roland

      Więc tak – POCe działały z MasterCardem, nie wnikałem czy z Visą da się powtórzyć podobny scenariusz (dziwne, że badacze tego nie sprawdzili) – generalnie magstripe mode to archeologia i gdyby to ode mnie zależało, zabroniłbym stosowania już dawno temu.

      Zanim tą pracę opublikowano – a potem pojawła się appka pod Androida, którą można taki atak wykonać samemu – w pracy miałem do czynienia z dziwną sytuacją, MC zgłaszało nam, że terminale wypuszczają “magstripowe” transakcje na contactlessie (MC zabrania tego w Europie – no i jak widać, monitorują to; nota bene – historyjka sprzed paru miesięcy, już zabieraliśmy się za analizowanie problemu z “zbyt mało losowymi” UN w EMV – bo też MC zgłosiło – okazało się, że nie dotyczyło naszych ustrojstw, tylko archaicznych bankomatów; kto by się spodziewał że takie zabytki jeszcze działają). W każdym bądź razie, nie wszędzie w Polsce ten atak przejdzie – na niektórych terminalach jest to zablokowane już na wczesnym etapie (a zrobiliśmy to ze względu nie na te odkrycie – tylko ze względu na “specyficzne zachowanie” pewnych PIN padów).
      Pytanie co z pozostałymi terminalami…

  7. Kurcze, nie można edytować komentarza, doprecyzuję – token w przypadku transakcji offline wg. mojego mniemania nie zostanie odznaczony w systemie jako wykorzystany, więc dało by się go użyć ponownie gdzieś indziej. Konkretnie n+1 razy, gdzie n = liczba transakcji offline’owych.

  8. Napisano tu, że okradanie terminalem zblizeniowym jest bardzo utrudnione bo wymaga zarejestrowania u agenta rozliczeniowego- a co za problem taką rejestrację uzyskać. Kazdy sklep to może zrobić. Wystarczy założyć włąsną działaność gospodarczą na sfałszowane dane lub dane “słupa”.
    Drugim utrudnieniem ma być długi czas oczekiwania na przelanie uzyskanych w ten sposób pieniędzy, ale przecież kwoty uzyskiwane w ten sposób od pojedyńczego “klienta” mogą byc na tyle drobne że nie zauważy tego przez kilka mięsiecy jesli w ogóle zauważy.
    Idealny sposób to ustawić bramkę PayPass w ruchliwym przejsciu i pobierać po 50 groszy od kazdego kto przechodzi blisko. Po tygodniu jesteśmy ustawieni z ukradzionych pieniędzy do końca życia. A nawet jesli ktoś się zorientuje że ginie mu drobna suma to podniesie alarm po miesiący gdy przegląda wyciąg a i wtedy pewnie potraktuje to jako Którąś z obowiazkowych opłat bankowych.

    P.S. Dlaczego na zdjęciu ten “niby serwisant” terminali ma go włączonego?

    • A źródłem całego tego virala był “człowiek od Kasperskiego”… https://tjournal.ru/22625-staling-money-with-terminal

      Potem poszło w świat jako “Guy spotted wandering London Tube skimming contactless cards”… tak, TfL ma mnóstwo pociągów od Wagonmaszu ;)

      Pytanie pomocnicze nr 1: jakiego medium komunikacyjnego używają karty Trojka, które wdrożono w 2013 roku w moskiewskiej komunikacji ?

      Pytanie pomocnicze nr 2: czy u nas kontrolerzy nie posiadają terminali do weryfikacji biletów kodowanych na (niekoniecznie płatniczych) kartach zbliżeniowych ?

    • Tylko nie wiem czy wiesz ale posiadacze aplikacji banku na smartfona, otrzymują po kilku sekundach powiadomienie push o transakcji. Czyli szybko by się ten wałek wydał. Jak dotąd nie było afery z takiego ataku, bo wiele rzeczy tutaj może pójść nie tak.

  9. >Nie chcemy aby zniknęły w otchłani czyjegoś serwera za kilka lat, albo żeby schowano je za paywallem danej gazety.

    Tu naszło mnie pytanie, mianowicie czy domyślnie (czyli o ile nie ustalono inaczej) obie strony przeprowadzanego wywiadu posiadają równe prawa autorskie do jego treści oraz prawa do jego publikacji w wybrany przez siebie sposób?

  10. “Dlatego na kartach, których nie wykorzystujemy w internecie ustawić limity na transakcje MOTO/internetowe po stronie banku”

    Szkoda tylko, że te limity po prostu nie działają – a przynajmniej nie zawsze.

    Za Netflixa da się zapłacić nawet pomimo limitów ustawionych na 0.

    • Może Netflix realizował transakcję nie jako MOTO?

    • Piotrze:

      Owszem, ale to w niczym nie zmienia sytuacji – włączenie limitów na transakcje internetowe wcale nie uniemożliwia zapłaty kartą przez Internet – a przynajmniej nie we wszystkich przypadkach.

  11. A ja w tramwaju w Poznaniu widziałem niedawno gostka co coś na terminalu dłubał (ewidentnie nie ogarniał) chwilę po przeciśnięciu się przez tłum. Wysiadł na następnym przystanku zostawiając za sobą papiery z błędem transakcji zbliżeniowej na prawie 300zł.

    @PK – służę skanem wydruków jak chcesz zobaczyć dowód i spróbować wykombinować co gość mógł próbować zrobić…

    • Jasne – podeslij na redakcja@

    • I jeszcze zostawił potwierdzenie ? No, przecież tam jest Terminal ID, Merchant ID itp. Dla policji to jakby złodziej zostawił swój dowód osobisty na miejscu włamania…

      Hipoteza 1: jakiś niekumaty ukradł terminal bo na fejsikach wyczytał, że da się terminalem okradać ludzi z kasy na kartach zbliżeniowych.
      Hipoteza 2: to gościu prowadzący firmę sprzedającą ekrany na karty. W ten sposób nakręcał virala. Używany terminal da się kupić, transakcji nim nie zrobimy zapewne (zablokowany u acquirera), ale wydrukować coś się powinno udać.

  12. Czyli jak rozumiem, dobrym pomysłem jest albo zrobić sobie “pokrowiec” z folii aluminiowej na kartę (szablony do wyszukania w sieci), albo wybrać portfel już z ekranowaniem RFID… (pozdrawiam Aliexpress).

    Powiem tak z doświadczenia, nigdy nie zostałem okradziony w ten sposób, ale ekranowanie działa – czytnik Kontrolera Biletów wymaga wyjęcia karty KKM z portfela.

  13. Jeszcze kilka lat temu na niebezpieczniju twierdziliście, że karty zbliżeniowe bardzo łatwo wykorzystać do kradzieży itp. A dzisiaj już całkiem co innego, mimo, że zabezpieczeń żadnych nowych nie ma?

    • Wszyscy mają ostatnio ten sam syndrom, ale jak podrążyć temat, to przyznają, że można zrobić tylko kilka transakcji do 50 PLN, gdybyś utracił kartę… Kto bogatemu zabroni?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: