9:06
9/12/2011

Wiele osób ślepo podążających za reklamami banków, nie zdaje sobie sprawy że nowa technologia płatności zbliżeniowych ma pewne pułapki. Dane z bezstykowej karty kredytowej można łatwo odczytać zdalnie, o tak:

Kopiowanie kart zbliżeniowych

Niestety, z powyższego filmu nie da się wywnioskować czy udało się odczytać kod CVV2 (dzięki niemu możnaby praktycznie wszędzie zapłacić kartą przez internet).

Mimo wszystko, warto mieć powyższe na uwadze, kiedy bank będzie chciał wam wcisnąć cudowną, wygodną, nowoczesną, bezstykową, zbliżeniową kartę płatniczą Mastercard PayPass lub Visa PayWave z RFID-em — jak widać powyżej, takie karty kredytowe wspaniale ułatwiają sprawę przestępcom — już nie muszą instalować skimmerów w bankomatach :-)

aasf w komentarzu poniżej wkleił jeszcze ciekawszy filmik, na którym ten sam ekspert od RFID nie tylko odczytuje dane z karty, ale klonuje ją — zapisując odczytane dane na kartę będącą kluczem hotelowym. Następnie przy pomocy “klona” robi zakupy w sklepie.

P.S. Pamiętajcie, że takie same chipy macie również w paszportach, kartach miejskich i legitymacjach studenckich.


Temat bezpieczeństwa kart płatniczych, także zbliżeniowych, poruszyliśmy w drugim odcinku naszego podcastu Na Podsłuchu. Dowiecie się z niego, nie tylko dlaczego w internecie warto jak najczęściej płacić kartą płatniczą (w umiejętny sposób), ale również dlaczego nikt nie zaatakuje was chodząc po autobusie ze sklepowym terminalem i przykładając go wam do kieszeni (po internecie krąży zdjęcie złodzieja z terminalem w autobusie, ale jest miejską legendą). Zapraszamy do podsłuchiwania!

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

153 komentarzy

Dodaj komentarz
  1. Chyba warto wyposażyć się w takie etui jak babka pokazała na końcu filmiku…

    • To na pewno, pytanie czy i na ile można zminiaturyzować skimmer rfid, żeby podłożyć go blisko prawdziwego czytnika w niezauważalny sposób. Nie trzeba by latać za ludźmi z piórnikiem;)

    • Myślę, że nie warto. Nie warto nawet posiadać takiej karty, przynajmniej w Polsce korzyść z tego “ficzera” niemal zerowa a ryzyko jakieś tam niesie.
      P.S. Zawsze możesz nosić dwie różne karty z rfid w jednym portfelu – czytnik zeświruje i nie przeczyta żadnej :-]

    • > P.S. Zawsze możesz nosić dwie różne karty z rfid w jednym
      > portfelu – czytnik zeświruje i nie przeczyta żadnej :-]

      Sczyta obie.

    • @frank sino “w Polsce korzyść z tego “ficzera” niemal zerowa”

      W biletomatach całkiem fajnie się to sprawdza :) Jednak w innych miejscach na ten moment tych czytników nie widziałem ;)

    • stanąć sobie obok gościa z taką kartą obok automatu i kupować bilecik .. ;D łamiemy prawo? Można uznać to za kradzież?

    • >> P.S. Zawsze możesz nosić dwie różne karty z rfid w jednym
      >> portfelu – czytnik zeświruje i nie przeczyta żadnej :-]

      >Sczyta obie.

      No nie jestem pewien, czy cokolwiek odczyta…

      Noszę w portfelu kartę PayPass i bilet na karcie miejskiej, nawet nie jedna przy drugiej, ale w różnych przegródkach, portfel bez dodatkowych zabezpieczeń, folii, etui – zwykły portfel, trochę drobnych, kilka kart.

      Kasownik w autobusie lub czytnik kontrolera biletów nie jest w stanie odczytać biletu na karcie, dopóki jej nie wyjmę z portfela (nieco kłopotliwe przy wchodzeniu do metra, bo muszę wygrzebywać kartę, żeby przejść przez bramkę). Fakt, że w portfelu noszę jeszcze kartę wjazdową na parking, ale zdaje się, że jest ona innego systemu (nie znam się na tym, ale postaram się potwierdzić).
      W każdym razie mam zamiar w poniedziałek przetestować zmienioną sytuację: czy karta PayPass zostanie odczytana, gdy jest w portfelu (albo poza nim), lecz w sąsiedztwie karty miejskiej oraz karty wjazdowej na parking. Postaram się napisać o wynikach eksperymentu.

    • >>> P.S. Zawsze możesz nosić dwie różne karty z rfid w jednym
      >>> portfelu – czytnik zeświruje i nie przeczyta żadnej :-]

      >> Sczyta obie.

      > No nie jestem pewien, czy cokolwiek odczyta…

      Dobry czytnik bez problemu odczyta setki tagów RFID jednocześnie. To, że nie potrafi zrobić tego jakiś kasownik, nie oznacza jeszcze, że jest to niemożliwe. Spróbuj z terminalem Motoroli, MC9090-G, że już nie wspomnę o ich czytnikach serii XR/FX.

    • Widać, ktoś, kto tu twierdzi, że mając dwie karty – nie da się ich przeczytać – nigdy nie bawił się czytnikiem kart RFID. Otóż… przy dobrej implementacji karty są widoczne obie, zaś wiele implementacji jest po prostu wadliwych – sztucznie ograniczając obsługę do 1 karty.

      Tak więc brawo – ukradli Ci kasę podwójnie.

  2. Panowie nie straszcie niepotrzebnie ludzi. Numer karty jest na niej wydrukowany i można naprawdę go odczytać na prostsze sposoby.
    Prawda jest taka że kodu CVV2 nie da się odczytać zdalnie, nie da się też skopiować karty.

    • Ja osobiście akurat wcale nie jestem pewien, czy w ogóle trzeba kopiować/klonować karty zbliżeniowe. Po co? Można rozważyć biegającego między ludźmi sklepikarza, który zamiast czytnika — jak ten pan na filmie — będzie miał po prostu bezprzewodowy terminal (kasujący za np. gumę do żucia). Dużo niewielkich transakcji – ziarnko do ziarnka. Ile osób zareklamuje złotówkę? Czy “złemu” sklepikarzowi operatorzy kart zdążą zablokować konto zanim wypłaci gotówkę z pierwszych fraudów?

    • @PK you are EVIL… xD

    • Witam!

      > Dobry czytnik bez problemu odczyta setki tagów RFID

      Pewnie tak, na tę chwilę nie mam do takowego dostępu. Wydaje się, że już przytoczony tutaj durnowaty kasownik odczytuje kilka tagów na raz, ponieważ jednak nie głupieje zupełnie, ale wyświetla komunikat nakazujący użycie tylko jednej karty.

      Rozważamy również możliwość nie tyle odczytania danych z karty (tych które da się odczytać) ale:

      > Można rozważyć biegającego między ludźmi sklepikarza, który zamiast czytnika — jak ten pan na filmie — będzie miał po prostu bezprzewodowy terminal

      Tutaj testy przeprowadziłem przy użyciu pinpada iPP320/350, takiego jak tutaj:

      http://www.ingenico.com/en/media_centre/library/pictures/retail_pin_pads/ipp350_gik9vnh6.html

      przy wykorzystaniu kart testowych (kilka sztuk VISA, MC), mojej “prawdziwej” karty płatniczej oraz wspomnianej karty miejskiej. Efekt był taki, że pinpad nie odczytał nawet raz poprawnie żadnej karty, jeśli była ona sparowana z jakąkolwiek inną kartą zbliżeniową. Za każdym razem pinpad zgłosił “Błąd odczytu karty”.

      Może ktoś jeszcze ma możliwość przeprowadzenia takich testów i zweryfikowania możliwości zastosowania w praktyce teorii PK:

      > ataki ze “złośliwym” sprzedawcą, czyli nieświadome obciążanie kart ludzi małymi kwotami

      W końcu terminali i pinpadów na rynku jest pod dostatkiem, ja nieograniczony dostęp do testów mam tylko do tych, które wyżej wspomniałem.

      Pozdrawiam

    • @Bodzio: mi kasownik głupiał jak miałem kartę wiejską i wejściówkę do Centrum Kopernika :)

    • Desmond, głupiał Ci, bo właśnie między innymi kasowniki mają źle zaimplementowaną tą technologię.

  3. A nie wystarczy trochę folii aluminiowej?

  4. No to to już mnie zupełnie rozwaliło: “Bezstykowe karty kredytowe można łatwo sklonować zdalnie”. Ja nie widzę nigdzie na tym filmiku klonowania karty a jedynie odczytanie jej numeru i daty jej ważności…

    • Racja, zmieniłem adekwatnie do tego, co się stało, czyli do zdalnego odczutu danych (niektórych) — mam nadzieję, że autor newsa się nie obrazi ;)
      Nie mniej jednak, za pomocą odczytanych danych można cośtam kupić w niektórych (pewnie skrzętnie wybranych sklepach, które nie prosza o CVV2).
      Z drugiej strony, mnie ciągle po głowie chodzi inny atak — atak sklepikarza, który zamiast zczytywać dane z karty, jak to robi pan na filmie, po prostu podstawia pod nią swój terminal i nabija nam płatność za gumę do żucia… Pytanie, czy uda mu się ściągnąć ze swojego konta tak zdobyte pieniądze zanim operatorzy cofną mu dostęp (o ile ludzie w ogóle będą reklamowali transakcje na złotówkę — kto przegląda wyciągi i pamięta każde zakupy, zwłaszcza te na nieznaczne kwoty? Divide & Conquer! Klonowanie karty nie jest do tego potrzebne :)

    • Firma na “słupa”, 100 terminali w różnych miejscach i miastach, środki wypłacane na bieżąco z bankomatów – i z drobnej kradzieży robi się zorganizowana grupa przestępcza, a urobek z dnia “pracy” 1000 – 10 000?. A kto zaręczy, że już nie ma czegoś takiego? :>

    • Nie jestem pewien, czy płatności z kart tak szybko spływają na konto merchanta…

    • @PK. Płatności ze standardowych transakcji spływają w systemie “następny dzień roboczy” nie widzę powodu żeby z PayPass było inaczej, ale też mam doświadczenie jedynie ze standardowymi terminalami więc na 100% nie powiem.

    • Co do sklepikarza, to wcale nie musi kupować gum do żucia. W takim empiku są czytniki, a produktów do 50 zł jest całe mnóstwo. Póki będzie to 1 osoba na miesiąc nie sądzę, żeby bank zaczął coś podejrzewać.

    • @madao pomysl Piotra jest duzo lepszy – bo mniejsze prawdopodobienstwo, ze zostanie wykryta dywersja u 50 klientow obciazonych 1 zl niz jednego klienta obciazonego 50oma zlotymi.
      50 zl latwo sprawdzic, jezeli klient bedzie uparty to zostana przestudiowane paragony z danego dnia i danej godziny i wyjdzie szydlo z worka, ze cos szlo na lewo.
      Natomiast w przypadku 1 zl, jezeli nawet klient by sie zorientowal to wystarczy powiedziec, ze byl blad w systemie i kilku klientom takze nabilo 1 zl i ze firma pokrywa poniesione straty i gosciowi wydac z kasy ten zabrany 1 lub nawet 2 zl z przeprosinami – a kto by se tam 1 zl dupe zawracal z policja itp itd, jeszcze jak mu oddali z nawiazka.
      W przypadku kwoty 50 zl jest to sytuacja oczywista i latwa do przeanalizowania (oczywiscie to zalezy od stanu konta posiadacza karty)

  5. pytanie gdzie takie dostac i czy faktycznie jest skuteczne… ?

  6. a ja nie mam karty z rfid :P

    http://img263.imageshack.us/img263/9114/screenshotnre.jpg – ciekawe reklamy bielizny były po obejrzeniu tego filmu

  7. Wystarczy wzmocnić siłę czytnika i nie potrzeba podchodzić nawet do osoby atakowanej,
    warto zauważyć iż u nas banki z automatu ustawiają limit 50zł bez potrzeby potwierdzenia
    kodem PIN przy transakcjach “bez dotykowych” – czy jak to się teraz “fachowo” nazywa, a zakup czystej karty zbliżeniowej nie jest problemem ;] Całość przypomina mi sytuacje jak to przy pomocy BT i zewnętrznej anteny dokuczało się osobom w dużych centrach handlowych
    przez instant msg. Tylko zamiast dowcipów mamy kradzież.

  8. Skąd wziąć takie etui? Myślałem jakiś rok temu o czymś w rodzaju ołowianej osłony, ale nigdzie w Polsce nie mogę nic podobnego znaleźć…

    Pozdrawiam

    • na allegro sprzedają

  9. Otóż NIE odczytał kodu CVV2 z tak banalnego powodu, że nie ma go w chipie. Kod cvv2 wydrukowany jest na rewersie karty tuż za jej numerem (wyjątek: amex, na awersie ponad embosowanym numerem).
    Osobna sprawa to numer pin – ale ten zorganizowany jest tak, że nigdy nie wychodzi poza chip (jeśli jest weryfikowany, to wewnątrz chipa – offline lub w banku – online) więc tego też nie wyciągnęli.
    Nie bagatelizujmy jednak problemu – po rfid wyciągnęli numer karty oraz datę ważności – te dane są wystarczające do przeprowadzenia transakcji – patrz przykład w filmie. Warto wspomnieć dlaczego kupili swetr za $30 a nie np. laptopa za $1000 – transakcja kartowa na małą kwotę poszła bez autoryzacji, dlatego kupujący mógł podać byle jakie nazwisko, adres etc. – nikt tego nie weryfikował. Po to powstały karty bezstykowe – żeby szybko akceptować płatności na niskie kwoty, bez straty czasu na każdorazowe łączenie się z bankiem i sprawdzanie dostępnych środków, czy karta nie kradziona itp. – ledwie czytnik odczyta dane, już twierdzi, że zapłacone (ale nie w Polsce). Transakcja na grubszą kwotę wymagałaby pewnie autoryzacji więc jest szansa, że zweryfikowaliby zgodność nazwiska – co gorsza, mogliby wymagać podania cvv2.

    • Poczytaj o transakcjach offline i online. Na czym polegają, do jakiej sumy są transakcje bez PIN’u itp. w kartach paypass, paywave i jak w różnych bankach do tego podchodzą np. z limitami transakcji, po ilu offline idzie żądanie online itp. i nie twórz debilnych tez.

    • Dlatego nazywa się to “pickpocketing” – drobna kradzież kieszonkowa, tyle że w wydaniu XXI wieku. Od dużych sum to jest zeus, malware na kompie w domu i ludzie nie sprawdzający czy konto bankowe wpisane na początku transakcji jest tym samym kontem, które zatwierdzają na końcu.

    • #raf
      U nas zwykle 50 zł, za wielką wodą zwykle jest to $100. Uwierz, o transakcjach on/off też coś wiem. Która teza wg ciebie jest debilna?

    • frank sino, co ty bredzisz…… proszę, doucz się, bo potem ludzie Cię czytają i mogą pomyśleć, że to prawda

  10. Przecież to by załatwiła prosta autentykacja challenge-response z którą chip na karcie powinen sobie bez problemu poradzić. Jak zwykle bankowi spece od bezpieczeństwa sie nie popisali :(

    • Ale po to powstały PP/PV żeby było szybko – bez żadnej autoryzacji/autentykacji mają przechodzić transakcje ponizej pewnego ustalonego poziomu (off-line). Inaczej w czym byłyby one lepsze od transakcji chip+pin? Ot, kolejny (kłopotliwy) gadget?

    • litości. w języku polskim nie ma takiego słowa jak “autentykacja”. prawidłowe tłumaczenie słowa “authentication” to “uwierzytelnienie”.

  11. Jakie klonowanie?! Odczytanie informacji o numerze karty, exp. date i właścicielu nazywacie klonowaniem? Tzn że kartę można też wg. Was sklonować kserokopiarką? ;)
    “Niestety, z powyższego filmu nie da się wywnioskować czy udało się odczytać kod CVV2” – a jaka jest wartość tego, że znamy dane z przodu karty, bez znajomości CVV2? Bo zdaje się, że znikoma?

    • Nie do końca, niektóre sklepy nie wymagają CVV2 do wykonania płatności. I mnie się wydaje, że przykład takiego właśnie sklepu jest na filmie. Reporter sprytnie wybrał właśnie ten sklep, a nie np. Amazon ;)

    • Kod CVV2/ CVC2 jest umieszczony na tylko fizycznie na plastiku i NIE służy do tranzakcji zbilżeniowych. Do tranzacji zbliżeniowych wykorzystywany jest w zależności od trybu: albo Contactelss CVV – dane idą tak jak przy tranzakcji z paskiem, z tym, że nastepuje podmiana CVV/CVC na kod contactless CVV/CVC generowany każdorazowo z unikalnego klucza 3DES, którego nie da się zczytać – trzeba go złamać. A druga opcja to tryb tranzakcji EMV w której CVC/CVV w ogóle nie są wykorzystywane.

      Akurat na kartach się znam, ale jeżeli jakość komentarzy na inne tematy jest podobna, to chyba przestane ję czytać, bo się załamałem…..

      Jeżeli chodzi o dane umieszczone na karcie to każde dziecko sczyta….A jeżeli chodzi o bezpieczeństwo TRANZAKCJI kart bezprzewodowych to jest takie same jak pozostałych pod względem ataków osób trzecich. niestety pozostawia duże pole do popisu bankom oraz MC/Visa. Ostatnia wersja apletów dostarczonych przez MC/Vise umożliwia bankowi pobranie kasy z konta nawet w przypadku niedokończonej tranzacji (np padła bateria w telefonie). I nad tym powinniście się zastanowić. Bo analizując sytauacje polityczno ekonomiczną Europy powinniście już zauważyć że największymi złodziejami są banki i rządy, a nie ktoś kto ukradnie Ci kase za gume do żucia. Wczoraj np rząd ukradł mi kolejne 120zl w wypłaty, a do tego wyprowadził z kraju 75 mld złotych z naszych wspólnych podatków

    • @Pablito: +1
      I właśnie dlatego zagrożeń dla RFID-ów należy upatrywać na 2 polach:
      1. podsnifowanie tego co można z rfida (imie i nazwisko). Oczywiście da radę odczytać to z karty, ale prościej i mniej zauważalnie można to zrobić skanerem przystawionym niepostrzeżenie do czyjejś kieszeni. Paranoicy i miłośnicy ochrony danych osobowych nie będą mogli spać spokojnie ;)
      2. ataki ze “złośliwym” sprzedawcą, czyli nieświadome obciążanie kart ludzi małymi kwotami.

  12. Podobno takie etui można zrobić z folii antystatycznej w którą pakowany jest sprzęt komputerowy.
    Ktoś może sprawdzał czy to działa?

    • Właśnie sprawdziłem z folią do żywności, raz zawijasz i już nie odczyta.

  13. Niektórzy nie mają wyboru – nie chciałem takiej karty, a niestety była to jedyna jaką mogłem dostać. Wie ktoś może gdzie można etui takie znaleźć(albo pod jakim haslem szukac?)

    • U rzecznika praw konsumenta wraz z wymianą karty w pakiecie.

  14. Oto pewien niekonwencjonalny sposób na to “jak usunąć …. usterkę”:

    http://www.youtube.com/watch?v=Wf7WI_d9u20

  15. A ja używałem takiego etui i się sprawdza. Można sobie samemu takie zrobić – wystarczy owinąć kartę folią aluminiową. A w ten sam sposób wystarczy owinąć elektroniczne zabezpieczenia produktów w sklepach, by nie pikało przy wychodzeniu :)

  16. Zawsze ceniłem sobie ten serwis za nowinki, ale po co wklejacie takie gówno? Co to za teksty o skimmerach, skoro z RFID nie można odczytać CVC1 do zrobienia fizycznej kopii karty, nie odczytamy PINu? W ogóle inna skala, inne możliwości.

    Ostatecznie z takim numerem można co najwyżej zrobić jakąś transakcję MOTO w Bangladeszu, a tutaj masz praktycznie 100% szansy na odzyskanie $$$ przez chargeback.

    W ogóle wizja, że ktoś będzie popierdzielał z takim czytnikiem po ulicy czy w metrze wydaje mi się mało realna – delikatnie mówiąc. Weźcie się za porządne artykuły, a nie ludzi straszycie ;)

    • niby dlaczego mało realna? To, że ty masz zerową wyobraźnię nie znaczy, że złodzieje również.

    • Kanar przeciskający się w autobusie w godzinach szczytu, kościelny chodzący z tacą, modny koncert i przeciskanie się pod scenę…

  17. u nas próg jest do 50PLN. Oszczędność czasu to jedno, a drugie oszczędność samego plastiku. Coraz więcej jest terminali zbliżeniowych i to sobie chwalę. A filmikiem Ameryki nie odkryli… od dawna przecież wiadomo, że można coś takiego zrobić…i nie tylko to ;)

  18. Czy popularne staną się portfele z wkładką aluminiową?;]

  19. No właśnie, AdamK ma racje. Zawsze myślałem, że taka autentykacja tam jest. Bezsensu. A paypass to naprawde wygodna technologia.

  20. Problem z bezstykowymi kartami jest taki, że nie trzeba jej nigdzie wkładać a zasięg zależy od anteny. Wyobrażam sobie sytuację w której nasz sprytny przestępca kupuje coś tam (zdaje się do kwoty 50 zł) przy pomocy karty kogoś innego. Potrzebne jest sprytne urządzenie które uda kartę z jednej strony, a w innym miejscu za to w tym samym czasie, w zasięgu czyjejś schowanej w kieszeni karty uda czytnik.
    (czytnik w sklepie) <- fake karta ukryty czytnik (zasięg może wynosić kilka metrów) -> karta w czyjejś kieszeni
    miniaturyzacja postępuje. Pytanie tylko czy warto tworzyć sprzęt warty kilka tysięcy żeby ukraść komuś 50zł.

    • Nie potrzeba sprzętu za kilka tysięcy.
      Wystarczy telefon z wbudowanym czytnikiem a właściwe 2 sztuki, jeden będzie robił za czytnik a drugi będzie emulował działanie karty.
      Telefony z czytnikiem NFC idealnie nadają się do tego celu bo to czytnik i łącze do internetu w jednym małym urządzeniu które nie wzbudza żadnych podejrzeń.

      Nie musi być to wcale drogi nowy telefon jak samsung nexus s czy nokia n9 (obecnie większość nowych telefonów z górnej półki ma taki bajer), zwykła tania i już dość stara nokia 6131 (taka mała z klapką) też ma wbudowany czytnik potrafiący czytać karty zbliżeniowe, udawać że sam jest kartą a nawet przeprogramować istniejącą kartę.

  21. To jest ściema, ktoś chce na strachu zarobić sprzedając jakieś badziewne kopertki na karty za dużą kase. Do autoryzacji tranzakcji bezstykowej używane są inne dane niż normalnie, a autoryzacja jest za pomocą challenge-response. Któtko mówiąc bezstykowo nie można z karty wyciągnąć żadnych użytecznych danych. Telewizja kłamie.

    • Można tylko podstawić fałszywy terminal (to ten człowiek mógł mieć w swoim etui). Klient może liczyć na charge-back, a merchant, z którego terminala taka fraudowa transakcja zdarza się często na wypowiedzenie umowy.

    • @PK – jak często zdarza ci się weryfikować jakiś tam zakup za, powiedzmy, 10 zł po wyprawie do supermarketu? Obciążając ofiary niewielkimi kwotami drobny złodziejaszek może całkiem długo funkcjonować i na chlebek z masełkiem na pewno mu wystarczy :)

    • Wystarczy ustawić żeby w momencie autoryzacji karty przychodził e-mail.. działa świetnie :)

  22. Gdyby nie było to nielegalne to bawiłbym się w to dla samej satysfakcji udowodnienia że mam rację. A odzyskanie kasy to kwestia przekonania banku że nie mówią Ci całej prawdy mówiąc że to w 100% procentach bezpieczne. Ja nie twierdzę że to nie opłacalne, albo że ktoś będzie w ten sposób kradł żeby zarobić bo prościej jest wyrwać komuś portfel pod bankomatem. Natomiast obawiam się że zanim bank odda Ci kasę stracisz więcej czasu niż te 50 zł, no i jest bardzo wielu ludzi którzy nie mają o tym pojęcia i niekoniecznie uda im się odzyskać swoją kasę. Zostaną oszukani w równym stopniu przez złodzieja co przez swój bank.

  23. Nie popadajmy w paranoje… Karty kredytowe są ogólnie słabo zabezpieczone, ale to nie jest problem bo każdą transakcje możemy reklamować i dostac pieniądze spowrotem. Jedyny problem to taki że to trwa. Osobiście regularnie reklamuje transakcje z allegro i inne, które sam wykonałem, ale towaru nie otrzymałem albo otrzymałem i mi sie nie podoba.

    • O, możesz opisać to dokładniej? Na jakie problemy napotykasz? Banki reagują chętnie/niechętnie? Na kogo przerzucają koszt?
      A na marginesie, lepiej płacić kredytówkami niż debetówkami (właśnie pod kątem reklamacji)

    • Banki jak wiadomo niezbyt chętnie na to reagują.. Koszt chyba pokrywa wystawca karty (Visa, MC), ale w końcu za coś bierze te kilka procent od każdej transakcji… Chyba nie ma różnicy czy karta jest kredytowa/debetowa, ale ja zawsze reklamuje te z kredytówki…
      Zawsze płace na allegro kartą bo według mnie to lepsze ubezpieczenie niż to oferowane przez allegro (trzeba iśc na policje, składać zawiadomienia… a tu wystarczy telefon do banku i wysłanie formularza). W moim przypadku taka procedura trwa zwykle jakies 4 miesiące (w regulamienie chyba jest 90 dni roboczych).

    • Piotrze – pod jakim względem lepiej? Chargeback działa również na debetówkach (co potwierdzałem nie tak dawno w banku)

    • Podczas fraudu na debetówce nie masz “zakwestionowanych” pieniędzy na koncie (debetówka == już wypłynęły, może uda się je przywrócić, jeśli reklamacja zostanie rozpatrzona pozytywnie). Przy fraudzie na kredytówce nie tracisz pieniędzy – nie musisz ich spłacać do wyjaśnienia postępowania (może trwać do pół roku).

  24. Poza pewnym zabezpieczeniem w postaci noszenia kilku kart zbliżeniowych (powstanie zlepek sygnałów z kilku kart) można nosić specjalne etui lub nawet portfel do RFID-ów. Inne wyjście to moduły NFC w komórkach, których aktywność zależy od naszej woli przy założeniu, że system w smartfonie jest szczelny i pozwala włączyć lub wyłączyć NFC jedynie lokalnie, czyli jedynie za pomocą smartfona a nie z zewnątrz (blokada włączania NFC w sposób zdalny poza smartfonem musiałaby być zaszyta w chipie telefonu, a nie w firmware, wtedy nawet zmodyfikowany firmware lub wirus niewiele by zdziałał). Poza tym terminal zawsze może być tak ustawiony, że losowo żąda dodatkowej weryfikacji płatności standardowej lub zbliżeniowej. Podobno terminale płatnicze mogą mieć takie ustawienie w odniesieniu do zwykłych kart i jak losowo popadnie na dodatkową weryfikację sprzedawca może nawet poprosić o dokument tożsamości. Przynajmniej kilka lat temu słyszałem o możliwości takiego ustawienia.

    Oczywiście najbezpieczniejsze byłoby rozwiązanie oparte na biometrii (ale nie liniach papilarnych, tylko na odczytywaniu układu głębokich żył z kontrolą temperatury, a więc tylko żywa ręka będzie zaakceptowana). Jednak to oznacza koszty i każdorazową autoryzację, choć w dobie szybkich sieci bezprzewodowych (HSPA+, LTE) nie byłby to już najgorszy problem. Niestety wiele terminali łączy się staroświeckim modemem telefonicznym (aż wierzyć się nie chce, ale tak jest) lub przez GSM (nie UMTS). Prościej rozwinąć mechanizm challenge-response w telefonie z NFC (płatność może być uwarunkowana wpisaniem pinu lub namazaniem jakiegoś wzoru palcem i dopiero po tej procedurze wysyłać dane karty). Poza tym dobra aplikacja płatnicza w telefonie (niestety nie dotyczy to wszystkich aplikacji NFC) może mieć wbudowaną historię transakcji. Zapewne w tym kierunku te aplikacje pójdą. Stąd już tylko krok do ekologicznego e-paragonu.

  25. Nie do końca tak jest, bo samo zeskanowanie nic nie daje oprócz posiadania numeru karty. Nie da się stworzyć klonu karty, która będzie aktywna bez kluczy kryptograficznych, dzięki którym transakcja jest autoryzowana.

    • Ale da się podstawić “po cichu” lewy terminal pod kartę – zamiast czytnika, jak to było na filmie. I trasnakcja przejdzie – bo skorzystamy z oryginalnych kluczy.

    • Taki terminal przecież musi należeć do jakiegoś merchanta. Myślę, że od wpływem ilości chargebacków zgłaszanych przez issuerów, acquirer szybko podziękuje merchantowi za współprace i terminalik każe oddać! :)

    • Chodzi o założenie merchanta na słupa, szybkie wypompowanie zysków przed tym, zanim operatorzy sie zorientuja… ;) Nie wiem czy to możliwe. Może znajdzie się chętny do przetestowania ;>

    • Fakt, o słupie nie pomyślałem. Tylko że taki “merchant” co ma 90% transakcji kwestionowanych chyba długo nie pociągnie. Miesiąc, góra dwa!

    • Ztego co koledzy mówią wyżej, wystarczy że pociągnie dzień (rozliczanie transakcji następnego dnia).

    • Załóżmy roboczo, że transakcje opiewają na niskie kwoty i ściągane są od ludzi, którzy są na zakupach, jakie są szanse, że 80% z nich nic nie zauważy, 10% złoży reklamacje z czego 5% zostanie ona uznana, a 10% oleje sprawę kładąc ją na karb kiepskiej pamięci? Optymista powie – żadne, ja powiem – duże.

    • Hehe, i “żniwa” na EURO 2012 xD

    • A miałeś może przyjemność płacić w imprinterze( żelazku)? Jakie klucze crypt. masz wyembosowane na karcie?

  26. Znam osobę, która pracuje w banku i niestety kradzież tych danych jest możliwa. Dlatego wszyscy pracujący w banku i wiedzący o tym, noszą te karty owinięte zwykłą folią aluminiową :) Co do reklamacji niezatwierdzonych przez nas płatności (jeśli ktoś rzeczywiście skradł nasze dane i je wykorzystał) – bank nic sobie z tego nie robi, ponieważ nie można udowodnić, iż to nie my dokonaliśmy transakcji. Kwota może i jest mała, ale kilka normalnych zakupów, opłat niektórych rachunków i nasze konto ubożeje z każdym dniem.

  27. Oj tam … na RFID jest bardzo prosty sposób… Przetestowałem z kartą Alior Banku ;)
    Wsadzamy na chwilę do mikrofalówki … RFID się pali, chip i pasek magnetyczny są całe i działają :] Mina sprzedawców w sklepie jak mówisz “nie działa, zepsuło się” jest bezcenna :D

    Oczywiście istnieje ryzyko uszkodzenia chipa …..

    • Imo prościej dziurkaczem wyciąć miejsce z rfid.

    • Człowieku, 100% kart na polskim rynku ma wspólny chip do obsługi transakcji kontaktowych i kontaktelsowych.

  28. AVE…

    Pomijacie jeden ważny aspekt problemu odczytywania kart RFID – karty zbliżeniowe służą nie tylko do mikropłatności. Ilu z was ma w swoich firmach zbliżeniowe karty dostępowe? O ile karty bankowe z przyczyn oczywistych mają wbudowane mechanizmy kryptograficzne, o tyle wiele systemów “bezpieczeństwa” i “ograniczenia” dostępu opiera się tylko i wyłącznie na ID karty lub/i kilku dodatkowych bajtach w jej pamięci EEPROM. Dotyczy to szczególnie tańszych systemów dostępowych. Do tego wiele takich kart można przeprogramować. A to oznacza, iż przestępca może zeskanować kartę pracownika, a potem przeprogramować ją uniemożliwiając mu dostęp. Zanim pracownik się zorientuje, przestępca wnika do zamkniętej strefy, kradnie to, co jest tam chronione lub sabotuje systemy firmy i wydostaje się, gdy w tym czasie pracownik dobija się do drzwi lub pisze podanie o nową kartę. Przykładowo w firmie, gdzie pracuje moja dziewczyna dostęp do pomieszczenia, gdzie trzymane są istotne informacje dla działania firmy, w tym tajemnice produkcyjne mają dostęp trzy osoby, z czego jedna jest w Anglii, a druga na drugim końcu kraju. Skopiować i sabotować kartę trzeciej osoby a potem ukraść lub/i zniszczyć dane to nie problem. Potrzebne narzędzia można kupić albo gotowe, albo zrobić samemu, jak się posiada trochę wiedzy z zakresu elektroniki i programowania…

    Co do ochrony kart, to wystarczy zamknąć je w metalowym zasobniku. Nawet w torebce aluminiowej lub takiej, w jakiej są układy scalone czułe na ESD. Noszenie wielu kart nie pomoże, bo projekt protokołu przewidział coś takiego, i karty będą odczytane kolejno. Amerykańskie sieci handlowe eksperymentowały z tagami RFID by zrobić bezobsługową kasę, gdzie trza przepchnąć wózek z zakupami, a bramka zeskanuje tagi na towarach i wystawi rachunek do zapłaty kartą. Zarzucili to, gdy dwóch spryciarzy przeprogramowało wszystkie ceny w sklepie na jednego dolara za pomocą niedużego pudełka…

    Jeszcze co do klonowania: http://www.t4f.org/en/projects/open-rfid-tag/57

    • Dlatego najlepsza jest autentyfikacja na podstawie żył głębokich. Zadziała tylko żywa ręka i nie zadziała ściągnięty folią wzór linii papilarnych. Podobno są już nawet bezdotykowe czytniki. Jednak oczywiście najprostszy system oparty na rfidach jest dużo tańszy od dobrego systemu opartego na biometrii, choć na Allegro widać, że najdroższy czytnik RFID ustępuje czytnikom biometrycznym tylko o 1000 zł z małym hakiem (chodzi o urządzenia Controlsys). Z czytnikami biometrycznymi jest jednak problem natury kulturowej, bo ludzie utożsamiają je ze szpiegostwem (dane biometryczne są powszechnie uważane za wrażliwe). Jednak w kluczowych obszarach firm jest to najlepszy sposób autentyfikacji i na dodatek nie wymaga noszenia żadnych kart i pilnowania ich (opiera się na tym, co ma tylko konkretna osoba). Swoją drogą jeśli dana osoba z firmy jest w UK to karta takiej osoby powinna być zablokowana w systemie aż do jej fizycznego pokazania się w firmie. Wtedy nawet skopiowana karta tej osoby nie zadziałałaby, choć security risk nadal by pozostał.

  29. Dobry motyw na podryw :D
    – siema Kasia :D
    – my sie znamy?
    – jeszcznie nie ;p

  30. Ups… ja mam RFID w legitymacji… jest tam nr. karty bibliotecznej i prawdopodobnie nr. indeksu, nie wiem co jeszcze się tam znajduje.

  31. Właśnie przy okazji RFID spytam – czy ktoś ma jakieś informacje, co do standardu ELS (elektronicznej legitymacji studenckiej)? Jest tam i RFID i zwykły chip…Jakie dane to dokładnie przechowuje? Bo jeżel iwszystko to, co jest na awersie karty, to potencjalnie istnieje prawdopodobieństwo wyciągnięcia sporej ilości danych osobowych…

    • Na legitymacji (ELS) jest zazwyczaj Mifare. Zakres danych i struktura plików wskazany jest w Rozporządzeniu Ministra Nauki i Szkolnictwa Wyższego z dnia 14 września 2011 roku w sprawie dokumentacji przebiegu studiów. I dotyczy tego, co jest dostępne przez interfejs stykowy. Interfejs bezstykowy jest opcjonalny (cyt.): “Legitymacja studencka może zawierać również inne interfejsy, w tym interfejs bezstykowy.”.

    • Jeżeli chodzi o ELS, to nic na niej nie znajdziesz, zwykle jest pusta. Czasem uczelnie zapisują jakieś informacje jak punkty na basen, można też zapisać kartę miejską, ale nie ma tam danych osobowych (przynajmniej dostępnych zbliżeniowo).

    • jest numer PESEL
      kilka miesięcy temu. warszawa, biblioteka publiczna. zapomniałem karty bibliotecznej (identyfikacja czytelnika przez kod kreskowy).
      Ku mojemu zdziwieniu pani spytała, czy mam spersonalizowaną kartę miejską. Miałem, ale na legitce studenckiej. Wystarczyło.
      Okazało się, że karty miejskie mają zakodowany numer PESEL właściciela, a to systemowi bibliotecznemu wystarcza. Na mojej legitymacji gdzieś w RFID mój pesel jest zapisany.

  32. Możliwość uzyskania w tak banalny sposób imienia i nazwiska oraz numeru karty kredytowej ofiary pewnie otwiera drzwi do wykorzystania technik socjotechnicznych różnej maści ;)

  33. W Białymstoku wprowadzono niedawno bilety komunikacji miejskiej w postaci karty RFID. Na razie funkcjonują tylko bilety okresowe, ale wkrótce ma być możliwość doładowania takiej karty pewną kwotą pieniędzy (ponoć do 100zł) i kupowania biletów jednorazowych bezpośrednio w kasownikach. Ciekawe kiedy znajdą się pierwsi amatorzy jazdy na czyjś koszt.

  34. Jeżeli to RFID to od dawna są sposoby :p : http://www.elektroda.pl/rtvforum/topic1747390.html

  35. Najgorsze jest to że Banki same wciskają to dziadostwo!

  36. Zamiast miniaturyzować złodziej powinien podrobić skrzynkę kontrolera biletów komunikacji miejskiej.

  37. Z calym szacunkiem ale co mnie to obchodzi ze bank wcisnie mi zblizeniowa karte kredytowa a potem ktos to zczyta? Ja potrzebuje zeby to bylo wygodne. Jezeli ktos ukradnie dane z mojej karty to ukradnie pieniadze bankowi a nie mnie. Nie moja kasa, nie moj problem.
    P.S. Oczywiscie debetowki nigdy bym sobie nie dal wcisnac zblizeniowej :D

  38. Błąd tych systemów leży w samym ich założeniu bo domyślnie non stop aktywny RFID w karcie to security fail.
    Szczegóły techniczne “woli jego aktywowania” przez użytkownika w określonym momencie są banalnie proste jak i sama idea.

  39. hahaha a ja mam dwie karty trzymane w tej samej kieszeni portfela :D i wiecie co jest w tym najlepsze? Że nie idzie odczytać danych z karty która jest obok innej ;) Kilka razy się zapomniałem i przykładałem sam portfel i zawsze kończyło się błędem odczytu ;)

    • To nie jest tak do końca, standard ISO/IEC 14443 stosowany w tych kartach (karty miejskie, oraz EMV (paypass itd.)) definiują mechanizm antykolizyjny, więc istnieje praktyczna możliwość odczytania wszystkich kart, mimo że są blisko siebie lub położone na sobie.

    • Rosek, ISO to jedno, a w praktyce jak zobaczysz implementacje na popularnych czytnikach to można się za głowe złapać.

  40. Obie oczywiście są z tą funkcją :) – podobna sprawa jest w wypadku kart zbliżeniowych komunikacji miejskich

  41. Pisałem do niebezpiecznika o tym, ale nic nie odpisali.

    Wystarczy mieć dwie karty zbliżeniowe w jednym portfelu (np. legitymacja studencka w moim przypadku) i transakcja nie przechodzi. Kapnąłem się, ze tak jest gdy chciałem otworzyć bramkę metra i nie dało rady, bo miałem mastercard ;)

    • Kasowniki mają wyłączone odczytywanie wielu kart, aby przypadkiem nie aktywować biletów na kilku kartach za jednym zamachem. Inne czytniki czytając choćby i 3 karty zbliżeniowe w jednym portfelu.

    • Próbowałem zrobić tak zakupy: nie dało się. Wyskakiwał błąd.

  42. tu jest pelna wersja filmiku – i jest tam pokazane klonowanie zeskanowanej karty
    http://www.youtube.com/watch?v=lLAFhTjsQHw&feature=player_embedded

  43. Pozostawiając nieco problematyczną kwestię trefnych terminali bankowych…
    1. Czytniki RFID nie są trudno dostępne – można kupić i eksperymentować; jeśli banki w Polsce oprócz numeru karty i daty ważności zdecydowały się umieszczać nasze nazwiska to istotnie niezły klops… W tym wypadku z jednej strony mógłbym poderwać dziewczynę pomagając sobie znajomością jej imienia, a z drugiej mając dane teleadresowe (stara książka telefoniczna -> OCR -> baza danych) zrobić komuś wjazd na chatę.
    2. Poza odczytem, znajdzie się na pewno niejeden wandal, który za pomocą jeszcze prostszego niż czytnik urządzenia po prostu uszkodzi zawartość chipa (jeśli go nie rozwali).
    3. Poza najpopularniejszymi urządzeniami pracującymi na 125 kHz są takie pracujące na innych częstotliwościach – rzadko spotykane 2.45 GHz (zasięg do kilku metrów), oraz bardziej rozpowszechnione 860–960 MHz np. http://www.youtube.com/watch?v=tVyeRwS-dxU
    Nie jednak jestem pewien, ale wszystko wskazuje na to, że do różnych typów chipów potrzeba czytnika o danej częstotliwości. Ktoś może wie?
    4. W niektórych krajach Azji popularny jest system FeliCa. Działa na podobnej zasadzie, tylko poniekąd bezpieczniejszy.

    • Jeżeli masz dwa standardy na różnych częstotliwościach to musisz mieć inny czytnik. Ale jeżeli chodzi o karty kredytowe, karty miejskie, karty stoków narciarskich itp. to najczęściej działają na 13.56MHz, więc jeden czytnik sprawdzi się do wszystkich tych kart. Prawdopodobnie musisz jedynie zmienić oprogramowanie do komunikacji z kartą do konkretnego standardu karty (dla karty miejskiej to będzie MIFARE, dla karty kredytowej pewnie EMV).

  44. Niestety niektóre banki już zaczęły wciskać tylko party Pay(Wave|Pass). Jednym z nich jest mBank. Do eKonta nie da się już dostać karty bez RFIDa. Na szczęście rozwiązanie jest b. proste: http://imageshack.us/f/818/99785492.png/ . Krótkie nacięcie nożyczkami w zaznaczonym miejscu, najlepiej na granicy paska magnetycznego. O ile ktoś się nie będzie doszukiwał, nie zauważy delikatnej kreski na karcie, a wszystkie 5 zwojów anteny zostanie przerwane. RFID unieruchomiony, “stary” chip nadal działa. Sprawdzone :) Mła karta: http://imageshack.us/f/403/img20111209223742.jpg/

  45. A tu jeszcze schemat jak antena przebiega po całej karcie: http://www.seancarney.ca/sites/default/files/2010/10/03/img_917923.jpg

  46. widzial ktos bridge rfid juz? :)

  47. Na pocieszenie zostaje swiadomosc, ze nawet jesli ktos przechwyci numer karty, to wciaz nie ma kodu CVV i PINU. Ponadto transakcje RFID sa ograniczone kwota maksymalna ustalana przez bank.

  48. Zanim popadniecie w paranoje nakręcaną przez producentów osłonek na karty i pseudoexpertów potrafiących zestawić komunikację z kartą RFID (co nie jest niczym nadzwyczajnym), zastanówcie się, czy projektanci płatności zbliżeniowych przypadkiem nie wpadli na to, że ktoś będzie próbował wyciągać dane z takiej karty (skoro interfejs radiowy jest kanałem otwartym). Niestety, powodem całego zamieszania jest bierność organizacji płatniczych, jak i samych centrów autoryzacyjnych, którzy nie starają się (lub nie umieją) wytłumaczyć swoim klientom jak to wszystko działa i co najważniejsze, że jest bezpieczne! Zacznę od najczęściej powtarzanej głupoty, czyli tej że kartę da się skopiować za pomocą interfejsu zbliżeniowego. Zabezpieczenia kryptograficzne na tym interfejsie uniemożliwiają skopiowanie takiej karty i nie da się wykonać kopii takiej karty (inaczej niż w przypadku skopiowania paska magnetycznego). Nie da się również zdobyć numeru CVV2, jak i (uwaga uwaga!) IMIENIA i NAZWISKA posiadacza karty potrzebnego do transakcji internetowych (dane te nie są dostępne na tym interfejsie, zabraniają tego regulacje Visy i MasterCarda). Dodatkowo karty w transakcjach zbliżeniowych mogą posługiwać się innymi numerami niż dla transakcji stykowych i te pierwsze mogą być blokowane przez banki w transakcjach internetowych. Drugim poruszanym pomysłem jest używanie legalnego terminala do robienia lewych transakcji. Nie wiem czy nikt do tej pory się nad tym nie zastanowił, ale terminali płatniczych nie kupuje się na Allegro czy w supermarketach. Żeby otrzymać terminal sprzedawca musi mieć zarejestrowaną działalność i jest weryfikowany pod kątem wiarygodności. Nie da się niestety w ten sposób zarobić, bo coś takiego jak system antyfraudowy (chyba nie sądziliście że nikt tego nie kontroluje?) wyłapie klienta po godzinie i zamiast rozliczenia pojawi się Policja. Trzecim powodem jest obawa, że zgubimy kartę i ktoś sobie narobi transakcji po 50 pln. Zgodnie z prawem posiadacz karty nie jest obciążany za te transakcje (jeżeli nie było weryfikacji PINem lub podpisem). Paradoksalnie, można się wyprzeć transakcji, które sami zrobiliśmy i bank musi nam zwrócić za nie pieniądze. Transakcje zbliżeniowe są bezpieczniejsze niż stykowe, z uwagi na to, że nie wypuszczamy naszej karty z ręki. Zabezpieczenia tych kart są przemyślane, a cała afera jest spowodowana niewiedzą ludzi, którzy powtarzają zasłyszane plotki i owijają karty w sreberka. No ale na ktoś musi zarabiać na osłonkach :).

    • Nie chodzi tylko o kradzież sensu stricte ale o wymuszanie płatności np obciążanie małymi kwotami, które zgodnie z regulaminami należą się ale pobierane są podstępnie bo normalnie klient po prostu odmówiłby. Takiego obciązającego nie można wykluczyć z interesu bo działa prawnie.

    • I wszystkie Twoje zapewnienia okazały się niewarte nawet funta kłaków! news:op.with7iy3ebnp5j@a159590 Okazało się, że skradzioną kartą zbliżeniową mBanku Visa Electron paywave nie tylko zrobiono zakupy na kwotę 3500 zł, ale nawet zrobiono na eKoncie debet na 1000 zł! Również zwykłą bujda okazały się Twoje zapewnienia, że klient nie poniesie kosztów tego fraudu! Co prawda Bank zwrócił klientce część zdefraudowanych pieniędzy, ale jednak obciążył ją równowartością kwoty 150 euro! I tyle były warte te Twoje zapewnienia!

  49. przy okazji tematu “bezpieczeństwa” rfid – atak dos na kasownik :) http://www.youtube.com/watch?v=H1gwbSsWDqI

  50. To nie jest RFID tylko NFC

    • @L To ta sama technologia!
      RFID (ang. Radio-frequency identification) – technologia, która wykorzystuje fale radiowe do przesyłania danych oraz zasilania elektronicznego układu (etykieta RFID) stanowiącego etykietę obiektu przez czytnik, w celu identyfikacji obiektu.

      Near Field Communication (skrót NFC – (ang.) komunikacja bliskiego zasięgu) – krótkozasiegowy, wysokoczęstotliwościowy, radiowy standard komunikacji pozwalający na bezprzewodową wymianę danych na odległość do 20 centymetrów.

    • ja p… specjalisci zabrali glos :)

    • @smartas
      Jezeli wedlug Ciebie “specjalisto” NFC i RFID to to samo, to rownie dobrze mozna podciagnac Bluetooth pod RFID, tak samo WiFi i na tej samej zasadzie możesz radio Z podciągnąć pod NFC. Akurat przy tym pracuje, wiec wiem co mowie, ale what ever.

  51. Przy ruchliwym chodniku / wyjściu z metra często stoją wielkie reklamowe plakaty/bilbordy. Wklejenie takiej wielkiej cewki antenowej 2x5m pod plakatem, te niektóre są podświetlane więc i prąd sie znajdzie…i setki kart kopiowanych na godzinę…

  52. http://rfidiot.org/

  53. A ja może napiszę odnośnie tego kodu CVV2,
    Przecież jest on napisany na każdej karcie kredytowej/debetowej jak i również jest napisane imię i nazwisko posiadacza oraz data ważności karty.

    Jeśli płacimy przez internet to aby dokonać płatności wystarczy przecież tylko znać imię i nazwisko, datę wygaśnięcia karty oraz ten kod CVV2.

    Więc jeśli jakaś osoba pokaże kartę kredytową, to możemy sobie zapamiętać imię i nazwisko posiadacza oraz datę ważności i kod CVV2 i możemy zrobić zakupy nawet za 1000zł ;)

    Wg. mnie tu to dopiero nie ma żadnego bezpieczeństwa.

    • Ktoś muisałby Ci zeskanować kartę najpierw, wtedy ma number karty, i może nazwisko. Póżniej musiałby dostać kartę do ręki żeby zapamiętac CVV i daty ważności na karcie. Raczej mało prowdopodobne że będziesz najpierw cyfrowo a póżniej fizycznie obrabowany. Najprościej było by od razu w łeb dać, nieprawdaż? ;)

    • Przecież jeśli toś da ci kartę do ręki, to masz wszystkie dane (nie musi jej skanować elektronicznie) Pewnie zaraz powiesz,, po co ktoś miałby dawać komuś kartę do ręki… No może i po co. ale w takim razie dlaczego wypłacając pieniądze z bankomatu, używamy PINu?? przecież Teoretycznie nikt nie powienen mieć dostępu do tej karty, więc po co PIN?

  54. Widzę, że już jest 99 komentarzy, dopisze sobie setny. :) Gratuluję Niebezpiecznikowi zainteresowania artykułem!

  55. Ja nie musiałem się ” kusic i nabierac ” na reklamy telewizyjne / bankowe o kartach zbliżeniowych – banki same je wciskają bez uprzedzenia / bez zapytania jaką kartę chcę. Pół roku temu miałem techniczne problemy z karta zwykłą bo z bankomatu zadnego nie mogłem podebrac kasy. Dzwoniąc na infolinię dowiedziałem się, ze nie ma sensu kupowac nowej bo mu już własnie wyrobili nową bo mi sie wazność kończy. Dostałem zbliżaka pocztą. I teraz co – jak chciałbym starą wersje karty to już nie mają – same zbliżaki tylko wciskają i przedpłacone w takim ING. No mogę korzystac z tej przedpłaconej i olac zbliżaka, tyle ze jedynymm mankamentem przedpłaconej jest to ze za wypłaty z obcych bankmatów kasuje mnie kazdorazowo 5 zł. Jeszcze nie dzwoniłem do oddziału banku ale jedyną kartą, która nie ma w nazwie ” zbliżeniowa/ pay pass ” jest karta ” moja visa ” z wizerunkiem jaki moge jej nadać. Oczywiście za tą karte musze zapłacic 15 zł. Od samego poczatku jak tylko dostałem tego zbliżaka wiedziałem, ze taki atak może miec miejsce – czekałem tylko na jakies doniesienie prasowe / telewizyjne – i wykrakałem. Jeszcze jedna kwestia apropo tych zbliżaków – niektóre panie niezbyt rozgarnięte w marketach potrafią po daniu im karty do łapy same bez pytania zrobić tranzakcję zblizeniowa i dowiadujesz sie o tym, że tak zapłaciłeś jak juz dostajesz paragon- masakra! Przeciez według ” zasad ” i samouczków bankowych to ja powinienem byc poinformowany przez kasjera o mozliwości płacenia zbliżeniowo / czy to na pin i ja powinienem wydać zgode – tak – lub – nie. Uważajcie na to bo niektóre panie kasjerki mają to w D… (Pozdrowienia dla bliżej nieokreslonej kasjerki w BOMI na Matarnii w Gdańsku.)
    )

    • Czy sam fakt wręczenia karty nie jest upoważnieniem dla sprzedawcy aby tę kartę obciążył? To tak jakbym położył gotówkę na ladzie a sprzedawca musiał jeszcze pytać czy może ją sobie zabrać.

  56. Obejrzałem parę filmów na Youtube pokazujących jak unieszkodliwiać chip. Niestety, filmy są amerykańskie i nie odpowiadają mojej karcie: goście wydłubują chip RFID, ale mają karty, które mają ścieżkę magnetyczną oraz ten jeden chip zatopiony wewnątrz karty. Natomiast na mojej karcie, obok ścieżki magnetycznej, jest tylko jeden chip. Służy prawdopodobnie jednocześnie do RFID jak i do transakcji “stykowych” – jest na wierzchu.
    Postanowiłem zrobić eksperyment i unieszkodliwić pętlę antenki. Widać ją wewnątrz karty przy prześwietleniu światłem halogena. Użyłem dziurkacza, wycinając dziurkę w miejscu oddalonym od chipów (koło hologramu) – w wykrojonym kółeczku widać 4 żyłki antenki. Dzisiaj sprawdzałem funkcjonowanie chipa stykowego w sklepie. Działa bez problemu. Natomiast bez pętli indukcyjnej RFID nie ma prawa działać.
    Myślę, że odpowiedzią banków będzie wmiksowanie w kartę czarnej warstwy, aby nie można było światłem ustalić, którędy antenka przebiega. Ale jak na razie: ustalenie tego nie jest zbyt trudne, a ryzyko uszkodzenia pozostałych funkcji karty – niewielkie.

  57. ” Przeciez według ” zasad ” i samouczków bankowych to ja powinienem byc poinformowany przez kasjera o mozliwości płacenia zbliżeniowo / czy to na pin…” Prosze czytac ze zrozumieniem – takie samouczki są dodawane min. do nowej karty w kopercie – informacja tam zawarta mówi, że albo my informujemy że ” chcę zapłacić zbliżeniowo ” albo kasjer powinien o to spytać. NIe wolno kasjerowi wziąść karty i sobie skasowac jak mu sie widzi – tym bardziej że w w/w markecie nie zauwazyłem zbliżeniowego terminala/logo… Pozatym moim zdaniem zadał Pan głupie i nieadekfatne pytanie – karta debetowa ma tu dwie funkcje o których mowa – płącenie zbliżeniowo lub na pin a przy płaceniu gotówką chyba nie ma tych opcji, prawda ? Dlatego ja bym sie powstrzymał od nietrafionych złośliwych komentarzy.

  58. Na szaleństwie ochraniaczy kart już ktoś niedawno zarobił. W polskim wydaniu programu dragon’s den gość dostał kasę na rozwój firmy produkującej takie ustrojstwo. Można to kupić pewnie gdzieś w sieci. Podejrzewam że to dopiero początek bumu na ochraniacze. Na strachu można nieźle zarobić ;). Karta bezpieczna i świstak ma robotę…

    • naklej sobie plakietke nazywam sie Jan Kowalki moj numer karty to wazna do .. najlepiej na plecach :) Ba .. to lepsze niz sledzenie komorek. Od razu dostajemy imie delikwenta i mozna go odpowiednio przywitac! Z imienia i nazwiska!

    • Wyściel sobie portfel sreberkiem z czekolady i po kłopocie :)

  59. RFID Security proponuje jako wstępną lekturę do możliwości, obiekcji i pytań na temat co jak i którędy faktycznie można zdziałać w tej technologii.
    Książka dostępna jest na amazonie;)
    BTW: kiedyś, powiedzmy ze 1,5 roku temu miałem robić projekt dla jednej firmy na ten temat, gdy zaczynał się “cichy boom” na RFID. Tak czy siak, modnym wtedy rozwiązaniem była Klatka Faradaya.

    Temat jest bardzo ciekawy, jeśli ktoś chce wydać ~1000zł.W sieci “narzędzi” do zabawy “w domowym zaciszu” jest pełno.

    Powodzenia ;)

  60. Wszystko i tak sprowadza się do terminala zbliżeniowego – które jak już słusznie napisano nie sa sprzedawana na allegro.

  61. na razie pewnie się jeszcze nie opłaca ale niebawem kto wie czy ktoś nie założy firmy slup kupi 3 terminale zamontuje w ruchliwym miejscu w centrum miasta i będzie kasował po 50 zl od każdego przechodnia. Ciekawe czy tak sklonowane dane dałby się na kartę RFID nagrać i wykorzystać do płatności? Ale nawet skopiowanie na pasek to już spore ryzyko bo podpisów praktycznie nie sprawdzają – szczególnie przy małych kwotach zakupów…

    • 1. Nie da się sklonować karty przez interfejs RFID (są odpowiednie zabezpieczenia kryptograficzne), a z otrzymany numer karty to trochę za mało do wygenerowania ścieżek dla paska magnetycznego.
      2. Jak zarejestrujesz firmę i podpiszesz umowę z acquirer-em (centrum rozliczeniowym) to dostaniesz terminal z wgranymi kluczami i tylko ten terminal będzie mógł wykonywać transakcje. Zapomnijcie o urządzeniach własnej roboty, bo co Wam po tym że pogadacie z kartą jak nie będziecie mogli ściągnąć środków z konta klienta.
      3. Komunikacja z kartą odbywa się w odległości do kilku centymetrów, musiałbyś się przytulać czytnikiem Ctls do portfela ofiary (musiałbyś mieć bardzo długi kabel zasilający ;).

      Pracuję w firmie odpowiedzialnej za sprzęt i oprogramowanie dla transakcji zbliżeniowych (Wincor Nixdorf). Już któryś raz widzę artykuł o niebezpiecznych kartach zbliżeniowych i nijak to się ma do rzeczywistości. Wyciągnięcie numeru karty i daty ważności przez RFID nic Wam nie da, bo do transakcji internetowej brakuje Wam jeszcze imienia, nazwiska i kodu CVV2 (do tego, jak ktoś wcześniej wspominał, karty na interfejsie RFID mogą posługiwać się innym numerem PAN). Sklonować karty też się nie da (ani mikroprocesora, ani do paska), a nie dając karty sprzedawcy chronicie się przed skopiowaniem paska magnetycznego.

    • ad 1. Hmm… a czy przypadkiem oprócz numeru RFID niektóre karty nie udostępnia ją także imienia i nazwiska?
      ad 2. Ludzie biorą kredyty na słupy to i firmę u acquirera mogą na słupa zarejestrować. Ktoś mówił, że środki z transakcji kartami wpływają na kont na drugi dzień. Ile można nakraść w dzień?
      ad 3. A to wszystkie czytniki RFID-ów są zasilane “z kabla”? :)

      Podsumowując, atak na evil-terminal da radę. Nie wiem, czy ktoś już próbował, wię ciężko mówić o tym, jak szybko/wolno acquirer/bank się zorientuje, że był fraud ;-)

    • 1. Nie. Powtarzam jeszcze raz – Imię i nazwisko na interfejsie zbliżeniowym nie jest udostępniane. Jest to taka sama bzdura, jak to że PIN jest przechowywany na karcie.
      2. Nadal nie bardzo wyobrażam sobie, w jaki sposób można przeprowadzić takie transakcje. Ktoś będzie stał galerii handlowej z terminalem, czytnikiem i tym całym okablowaniem i próbował zbliżać się do torebek ludzi (na kilka centymetrów)? Dodatkowo powyżej 50 pln wymagane jest podanie PINu (dla większości kart), a zbyt duża liczba takich transakcji zostanie zablokowana przez system antyfraudowy.
      3. Wszystkie :) Jeszcze raz napiszę, żeby była jasność – każdy dowolny czytnik RFID jaki można kupić/zrobić do niczego się nie przyda. Transakcje, które mogą faktycznie ściągnąć pieniądze z kont, muszą być wykonywane jedynie na urządzeniach otrzymanych do acquirer-a, z wgranymi kluczami szyfrującymi. Obecnie dwa modele czytników oferowanych w Polsce są całkiem spore, muszą być zasilane kablem i mieć połączenie z takiej samej wielkości terminalem (też na kabel), a ich zasięg działania jest bardzo słaby (ok. 2cm).

      Podsumowując, atak na “evil-terminal” jest kompletnie nieopłacalny (nie wiem ile by można było zrobić takich transakcji – kilkanaście po 50 pln?) A ile kombinowania – zakładanie firmy, pokazanie twarzy w kilku miejscach, weryfikacja pod kątem wiarygodności – już chyba lepiej brać lewe kredyty :)

      BTW. Nie sugerujcie się załączonym filmikiem – ścieżka druga na pasku magnetycznym jest inna niż na interfejsie radiowym (więc nie da się wypalić karty jak na filmie). Dodatkowo, dla transakcji paskiem magnetycznym musi być uwierzytelnienie (PIN lub podpis, a jak jest na filmie? :). Takie cuda to chyba tylko w Ameryce.

    • Hej, trochę wszedłem w ten temat i okazuje się, że jest imię i nazwisko, ale nie na wszystkich kartach. Chodzi o pole Cardholder name, testowałem to na dwóch kartach zbliżeniowych – Millennium MasterCard PayPass oraz PKO BP Visa. Na PayPass nie znalazłem tego pola, ale na Visa już je posiada.

      Generalnie cała specyfikacja EMV jest dostępna online za darmo, więc nie ma problemów z czytaniem tych kart.

      Jeżeli chodzi o klonowanie kart to raczej nie bardzo, z tego co na razie zrozumiałem to było to możliwe jeżeli karta używa SDA (Static Data Authentication), ale już nie jest to podobno stosowane…

      Co do zwykłych czytników tutaj jest jeden filmik: http://www.youtube.com/watch?v=sM2IN73LZaE

  62. Witam, Skopioranie karty bezstykowej jest niemożliwe, nawet w warunkach idealnych. Możemy tylko odczytać część danych. W tym przypadku można track1,track2 z karty znajdują się tam dane typu numer karty, imie nazwisko, pvv, oraz Discretionary Data własnie w w tym miejscu mamy icvv które jest unikalne per transakcja oraz weryfikowane. W takim przypadku nie jesteśmy w stanie zrobić klona karty i nią płacić. iCVV/dCVC jest w tym momencie standardem Visa i MasterCard, tym samym skopiowanie karty hotelowej nie posiadającej kryptografi jest banalne ale nie można tego porównywać do kart Visa, MasterCard. Zajmuje się tym tworzeniem kart PayPass, payWave od 1,5 roku i naprawde nie widzę możliwości sklonowania karty. Kończąc dodam że największym problemem w karcie jest nadal to że mają paski magnetyczne.

  63. Stary pomysł, vide NCIS S08E08. ;)

  64. […] poprzednim artykule pokazaliśmy jak można odczytać dane ze zbliżeniowych kart kredytowych. Wtedy fałszywą transakcję wykonywaliśmy przez telefon autoryzując ją odczytanymi […]

  65. […] dyskusje dot. ataków na zbliżeniowe karty płatnicze opublikowaliśmy tutaj oraz tutaj. Swoją drogą, ciekawe czy w tym przypadku zadziałałby RFIDdler…? […]

  66. Sprawia to wrażenie obłudnego ataku bankowości na ludzkość!
    Oficjalnie – wszystko cacy, porady w sprawie bezpieczeństwa, żeby nikomu nie ujawniać numeru karty i nie tracić jej z oka (“strzeż jej, jak oka w głowie”…):
    http://zbp.pl/site.php?s=MjI0OTIxNA==
    Oficjalnie – karty kredytowe są super, bo nie płacisz swoimi, tylko banku pieniędzmi:
    http://www.kartybeztajemnic.pl/ – strona propagandowa.
    Po cichu zaś – dostajesz pocztą do domu kreta, który przez radio wyśle wszystkie dane wypisane na Twojej karcie każdemu, kto ich radiowo zażąda.
    Karty zbliżeniowe wg. mojej subiektywnej oceny łamią:
    – prawo konsumenta dostępu do informacji, czyli prawo do ochrony przed narzucaniem osobie fizycznej roli biernego uczestnika rynku, a tak jest, jeśli bez zgody i wiedzy klienta bank zmienia warunki usługi lub zastępuje jeden produkt innym: http://pl.wikipedia.org/wiki/Prawo_dost%C4%99pu_do_informacji
    – prawo do prywatności (artykuł 47 Konstytucji Rzeczypospolitej Polski)
    – prawo do ochrony danych osobowych (art. 51 Konstytucji RP).
    – poszanowanie życia prywatnego i rodzinnego (art. 8) Konwencji o ochronie praw człowieka i podstawowych wolności (tzw. Europejska Konwencja Praw Człowieka)
    – Artykuł 12 Powszechnej Deklaracji Praw Człowieka

    Prywatność jest bezcenna, zaś za wszystko inne mogą obciążyć Twoją kartę zbliżeniową.
    Ale każda karta ma dwie strony… Jeśli niezadowoleni klienci będą czuli się oszukani i wymówią umowy o karty, albo wycofają środki z banków, karta może się odwrócić.
    /ebm

  67. […] Klonowanie zbliżeniowych kart kredytowych RFID […]

  68. […] Odczytywanie zbliżeniowych kart kredytowych (RFID) […]

  69. […] Więcej o atakach na zbliżeniowe karty kredytowe możecie poczytać w naszych poprzednich artykułach. […]

  70. Co w takim razie sądzić o tych sytuacjach
    http://www.youtube.com/watch?v=lLAFhTjsQHw&feature=player_embedded
    Tu facet przeniósł dane z karty paypass na kartę do pokoju hotelowego (!) i zapłacił nią – przez nikogo niepokojony – w McDonaldzie.

    Mnie przeszkadza też po prostu fakt, że ktoś ew. kradnie moją kartę i nabija dużo drobnych na pozór płatności. Zanim się zorientuję, z konta znika konkretna kwota i nie wierzę, że bank mi ją zwróci. Właście znalazłam taki oto wpis na jednym z forów:
    “A mnie wczoraj ukradziono kartę paypass wraz z dokumentami – były w portfelu. Kartę zablokowałam ale do tego czasu przez 20 minut ktoś wykonał 10 transakcji zbliżeniowych po 48 zł (2 transakcje w odstępach 4 minut w jednym punkcie, kolejne 8 w drugim punkcie, co minuta transakcja). Dziś w banku Pekao S.A. zaproponowano mi kartę paypass bądź alternatywnie kartę do bankomatu, której niemożna używać w sklepach. Nie zdecydowałam się na żadną z opcji. Żubrowi podziękuję za współpracę.”

    Chyba czas zwrócić się w stronę gotówki ;-)

  71. Bzdury mające na celu podniesienie sprzedaży jakiś tam “futerałów” etc.
    W ameryce wszystko jest głupsze, w Polsce trzeba zbliżyć kartę na około 8-12mm.
    Chciałbym zobaczyć tego “cfaniaka” jak wtedy kradnie.
    Żałosne, jak wciskanie kitu ludziom potrafi zwiększyć sprzedaż rzekomych zabezpieczeń wieśniakom, którzy nie używają paypass a tylko oglądają taki “produkcje”

  72. Pobawiłem się tym trochę i twierdzę że da się sklonować kartę. Sprawdzałem na mastercard.
    Nie da się odczytac ccv2, po prostu nie jest zapisany w karcie, wyłącznie nadrukowany.
    Kilka kart tego samego typu razem uniemożliwa czytanie.
    Ekranowanie jest trochę mniej skuteczne ale też prawie uniemożliwia.
    Co do zasięgu – telefon potrzebuje przynajmniej 1cm albo i mniej żeby przeczytać kartę, ale pamiętajcie, że w przypadku nfc zasięg zależy od czytnika. Da się kupić zewnętrzne czytniki na usb z zasięgiem kilkanaście cm, oraz robione amatorsko (wcale nie są skomplikowane) z zasięgiem 1-2m.

  73. Jeżeli ktoś bardzo boi się, że jego karta zbliżeniowa
    zostanie zeskanowana w oszukańczym czytniku, powinien zapoznać się
    z ogólnymi wytycznymi odnośnie wyglądu czytników. Wiem, że łatwo
    jest podrobić wygląd czytnika, ale jeśli złodziej nie podejmie
    trudu w spełnieniu standardów wizualnych przez urządzenie, to
    potencjalnie niebezpieczny czytnik może zostać łatwo rozpoznany.
    Inną kwestią jest skanowanie “spod płaszcza” w autobusie
    :)

  74. […] problemy płatności zbliżeniowych, na które my uczylaliśmy Was już jakiś czas temu (por. odczytywanie danych z karty zbliżeniowej oraz ataki na karty zbliżeniowe). Dziś chcielibyśmy opisać uniwersalny atak na zbliżeniówki, […]

  75. Czytam tą dyskusję i mogę powiedzieć tylko tyle ,że właśnie taki złodziej skroił mi kartę na 340zł.Może bym się nie z orientował tylko zakupy na tą kwotę zrobił w sklepie z zabawkami. A dla mnie to ostatni sklep gdzie można mnie spotkać. Więc macie tu przykład ,że takie kradzieże są możliwe i to nie na 50 zł

    • Napisz coś więcej o tym. Jaka karta, jaki bank, oraz jak bank zareagował na reklamację.

  76. łatwo temu zapobiec stosując ultra, super, hiper zaawansowany młotek 500g

    po takiej operacji żaden haker na świecie nie zhakuje karty

  77. wciąż można płacić ale trzeba włożyć w terminal, wpisać pin itd.
    jest to oczywiście uciążliwość ale coś za coś

  78. Witam! czytam właśnie artykuły o chipach ponieważ mam taki nielegalnie wszyty w nogę podczas operacji zespolenia kości. Widoczne jest na starym zdjęciu rtg(obok ramki z personaliami), jednak po drugim zabiegu nie zostało to usunięte i mam problemy nawet z wykonaniem kolejnego rzetelnego zdjęcia. Nikt nie jest w stanie mi pomóc. Lekarz jak i cały oddział lekceważy to i wogóle nie chcą rozmawiać. To samo z resztą lekarzy. Przez to musiałem wrócić z Anglii i nie mogę podjąć pracy z powodu paska z kodem kreskowym, który działa na czytniki w supermarketach i magazynach. Z tego co wiem nie jestem jedyną osobą w tym mieście, która ma ten problem. Ktoś również ma dostęp do plików, haseł, kont z mojego komputera. Moje IP było wykorzystywane do wyszukiwania japońskich, rosyjskich stron jak i osób. Znalazłem również RFiD i to była ostatnia operacja wykonana z mojego komputera (przestał działać). Gdzie szukać pomocy?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: