20:05
21/12/2014

Niewiele osób zdaje sobie sprawę, że historia ostatnich kilku transakcji jest przechowywana przez sporą część kart zbliżeniowych (RFID/NFC). Dzięki tej aplikacji możecie odczytać swoją historię — i nie tylko swoją, bo nie potrzeba znajomości PIN-u do karty.

Karta mBanku - poprawnie zczytana historia transakcji

Karta mBanku – poprawnie zczytana historia transakcji

Oczywiście nie należy wpadać w panikę — odczytać można bowiem tylko:

  • numer karty
  • datę waności
  • daty 10 ostatnich transakcji
  • kwoty 10 ostatnich transakcji

…a to nie pozwoli wykonać transakcji w czyimś imieniu. Ale naszym zdaniem, właściciele kart zbliżeniowych bardziej niż o kradzież środków, powinni obawiać się o to, że:

  • 1. noszą ze sobą unikatowy ID (łatwiejszy i tańszy do “złapania” niż IMSI rozgłaszany przez telefon komórkowy, i popularniejszy niż włączony BlueTooth, który też może posłużyć do identyfikacji)
  • 2. dane takie jak numer karty i data ważności często są wykorzystywane jako “sekret” i ich poznanie przez intruza może ułatwić przejęcie konta (poprzez procedurę resetu hasła). Historia zna takie przypadki, por. Jak Amazon pomógł zhackować konto Apple.
karta mBanku - poprawnie zczytane dane

karta mBanku – poprawnie zczytane dane

O innych “problemach” kart zbliżeniowych przeczytacie w naszych poprzednich artykułach dotyczących tej technologii. Polecamy zwłaszcza opis uniwersalnego ataku na karty zbliżeniowe.

Info podesłał Kacper.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

89 komentarzy

Dodaj komentarz
  1. Idealne do kontroli partnera/ki :)

  2. Skąd mamy wiedzieć czy aplikacja nie skopiuje mi karty ? :D

    • Możesz sam sprawdzić czy kopiuje. Aplikacja jest na GitHubie.

    • Rozumiem, ze Ty sam swoje apki kompilujesz, tak?

    • Dlaczego nie?

    • A co za problem zablokować firewallem?

  3. Nie wszystkie karty przechowują historie transakcji np. karta PKO.

    • Moja karta mBanku też nie

  4. Potwierdzam karta PKO nie trzyma historii transkacji.

    • pkobp zazwyczaj ma lepsze zabezpiecznia niz inni. to akurat norma.

    • Żart – lepsze zabezpieczenia? :D hehe ^_^ I faile speców jak znikanie kasy przy upgrade’ach ? :D

    • Chociaż nie, w sumie to chyba polbank był :D POL PKO mogło mi się zakręcić :D Ale jakoś w polskie PKO i tak mi się wierzyć nie chce :D Przywykłem, do chu* polskiej obsługi, dróg jakości usług itp :)

    • a tak mi się przypomniało https://niebezpiecznik.pl/post/glebokie-ukrycie-danych-w-pko-bp/

  5. A jakie to pożyteczne przy śledzeniu klienta. Nieprzypadkowo karty są “zbliżeniowe” a nie stykowe. Stykowe trzebaby wtykać aby coś odczytać a zbliżeniówki czytamy w locie. Praktycznej różnicy dla klienta w zasadzie nie ma natomiast jest ogromna wygoda dla zbierającego dane. Dane te (nr karty, czas i lokalizacja) nie podlegają w dodatku żadnej ochronie, co jest szczególnie sympatyczne dla zbierającego je. Można je zbierać, kojarzyć, sprzedawać, kradzież oczywiście też może się zdarzyć, ale to akurat nie jest problem pomysłodawców. A kojarzenie danych to np. informacja z kim użytkownik karty (zarejestrowany na monitoringu choćby 1 raz) bywa i gdzie, i kiedy użytkownik karty jest w domu a kiedy go w nim nie ma. Bardzo pożyteczny zbiór danych pozornie nieosobowych.

  6. Apka owszem, czyta transakcje, ale zdecydowanie nie ostatnie. Próbowałem dojść do metody selekcji, ale nie widać żadnych reguł.
    Na karcie, którą używam codziennie 2-4 razy widać ostatnią transakcję z 14.12, a potem losowo aż do września. A w tym czasie było więcej niż 100 operacji

    • Zależy, czy te 100 transakcji było zbliżeniowych.

    • @Shumatsu. Nie muszą być zbliżeniowe. Karta mbankowa przechowuje również transakcje stykowe, autoryzowane PIN-em.

  7. Swoją drogą – po co one tą historię trzymają w teorii? Używają tego do antyfraudów?

    • Zabezpieczenie – jest limit na transakcje bezpinowe (te do 50PLN), terminale w trybie offline używają tych danych żeby w razie przekroczenia limitu poprosić o PIN (i złodziej karty nie użyje jej wtedy wielokrotnie)

  8. Karty mastercarda w mbanku nie gromadzą historii ale kredytówka visa z mbanku owszem ;)

    • mBank Debit Master Card (biała z tęczowym delfinem) działa, tzn. odczytuje mi z niej historię transakcji.

    • Z karty firmowej mBanku nie sczytała transakcji, natomiast z prywatnej pokazało transakcje nawet te z pinem (wypłata z bankomatu). Nie działa ze zwykłą folią aluminiową (faraday) na kartę (1,50 szt. jak dobrze pamiętam), to sprawdzałem też w sklepie ponieważ terminal szczytuje z kilkunastu cm, a do telefonu muszę dotknąć.

  9. Jeżeli aplikacja ma jedno uprawnienie – Dostęp do NFC – jest w stanie w tle wysłać informacje o karcie gdzieś dalej? bo tak na prawdę nie ma uprawnień do WiFi (które jest włączone cały czas)

    • Uprawnienia aplikacji czytane są przez system operacyjny i to on pokazuje na co pozwala aplikacji (zapewne ładując tylko te biblioteki, na jakie jest zezwolenie). Więc jeżeli aplikacja ma dostęp tylko i wyłącznie do NFC, to te dane na 99.999% nie popłyną nigdzie dalej :)

      Poza tym można podglądnąć/skompilować kod aplikacji – dostępna jest na GitHubie pod adresem: https://github.com/devnied/EMV-NFC-Paycard-Enrollment

  10. MasterCard Gold od mBanku nie trzyma transakcji ;-).

  11. Sprawdziłem kilka kart, PKO BP nie ma historii transakcji, a Credit Agricole za nic nie mogę odczytać, a bez problemu płacę nią zbliżeniowo. mBank, ING, Getin Bank, Alior Sync czyta jak złoto ;)

  12. ja swoja kartę zbliżeniowa z banku Nordea zneutralizowałem poprzez ułamanie jej co przerwało antenę. tera zbliżeniowość już nie działa. nie chcieli dać innej, musiałem sobie poradzić :)

    • Oczywiście, nie należy się tym przejmować, ale formalnie karta jest własnością banku, więc nie wolno jej w ten sposób “niszczyć”.

  13. Skorzystałem z aplikacji z https://f-droid.org/repository/browse/?fdfilter=nfc&fdid=at.zweng.bankomatinfos2
    Na mojej karcie z mbanku są zapisane transakcje, ale nie jest to ostatnich 10, tylko jakieś różne, które były 2 miesiące temu i później. Co ciekawe w zakładce “infos” w polu “Contains transaction logs” jest “no” :)

    • Ciekawe w tej aplikacji jest licznik wykonanych transakcji sczytany z karty :)
      czego nie ma apk’a polecana przez autora

    • Myślę, że jest to na zasadzie:
      Właściwe oprogramowanie (banku?) sprawdza, czy “Contains transaction logs” jest ustawione na YES/TRUE i wtedy zaczyna czytać logi, a jeżeli ustawione na NO/FALSE to nie czyta, ale logi tak czy inaczej są zapisywane przy każdej transakcji :) A Apka najwidoczniej nie zwraca uwagi na tę flagę i od razu czyta logi :D

      To zupełnie jak z szybkim formatem dysku: niby dane “znikają” a tak naprawdę usuwa się tylko indexy, a pliki/dane “fizycznie” zostają i da się je odczytać na hardkora :)

  14. Nie mogę zainstalować(nie zgodna aplikacja) ani na HTC wildfire S ani na Asus Zenfone 5 może ktoś ma wersję apk to bym spróbował..

    • A czy te telefony mają NFC…? Bo HTC wildfire S nie ma.

    • http://pclab.pl/art59573.html

      Z tego co widze posiada ASUS :)

  15. Ciekawostka: z mojej karty mBanku (zwykła Visa zbliżeniowa) nie umiało pobrać historii transakcji.

  16. Stary niebieski delfin mBanku odporny na skan ostatnich transakcji. Ale numer karty, licznik błędnych pinów i ważność odczytane bez problemu. Dodatkowo apka “pika” przy legitymacji studenckiej, karcie miejskiej, karcie paypal ale nic nie wyświetla.

    • Pika bo każda karta z NFC może być odczytana. Jeżeli chodzi o kartę miejską itp. To polecam poczytać o Mifare. Aplikacja o której mowa w tym artykule jest stricte dla kart bankowych.

  17. karta MasterCard z dawnego Multibanku nie ma historii transakcji. A karta z WBK (do prywatnego konta w ogóle nie daje się zczytać.

    • Moje obydwie karty z BZ WBK dają się sczytać tylko chyba nie wszystkie transakcje widać.

  18. ING visa, nie odczytuje historii transakcji.

    • Potwierdzam, sprawdzałem na dwóch kartach ing visa, brak historii transakcji.

    • Dla tych co tl;dr – prawidłowa forma to “sczytać”. Nie ma za co.

  19. W T-mobile apka pokazuje ostatnie transakcje, które autoryzowano PINem.

  20. Zastanawia mnie jedno.
    Co na liście w historii transakcji robi transakcja na kwotę 64zł – gdzie jestem przekonany, że nie płaciłem zbliżeniowo ;)

  21. mbank visa credit – losowe 15 transakcji
    alior sync master debit – 10 ostatnich transakcji (od roku nie uzywana i sa transakcje z 2013-11); 1 szansa na wpisanie pinu (?)
    mbank mastercard debit – pusto w logu
    millenium visa debit – pusto
    ciekawe czy imie nazwisko da sie odczytac?

  22. AliorSync Mastercard zczytalo jedna prawidłową transakcje gdy był użyty pin Reszta wyswietlana w hrywnach lub usd

  23. Visa z WBK nie ma historii transkacji, ale MasterCard z WBK owszem ;)

  24. Taa straszne zagrożenie, gorsze niż IMSI catchery…
    Po pierwsze karty są ZBLIŻENIOWE czyli trzeba je zbliżyć do czytnika na te 3-5cm.
    Po drugie aby oszukać (ogłupić) taki czytnik wystarczy zbliżyć naraz dwie karty :)

    • O bluetooth też kiedyś mówili że atak na dużą odległość jest niemożliwy, a życie zweryfikowało to. Co od dwóch kart, to aktualne standardy pracujące na 13.56MHz obsługują wyszukiwanie i wybór konkretnej karty do komunikacji. Problemy z wieloma kartami na raz są tylko w czytnikach które nie miały tego obsłużonego programowo, oraz świadomie w czytnikach do płatności, gdzie byłoby upierdliwe dla klienta wybierać na terminalu z której karty ma pobrać kasę.

    • może dlatego że terminale nie mają anten dużej mocy i nie ma zupełnie potrzeby żeby w sklepie terminal działał na odległość większą niż kilka cm?

    • Spokojnie można odczytać kilka kart jednocześnie. Obecne układy nfc pozwalają na unikanie kolizji. Parametry techniczne określa rozszerzenie standardu ISO14443.

  25. Nie wystarczy, odczytuje wtedy jedną z dwóch, nie zawsze tą na wierzchu

  26. Z karty w Getin Banku (również mastercard paypass) odczytuje tylko ostatnie transakcje.
    Z karty w mBank (Visa PV / MasterCard PP) odczytuje 10 ostatnich
    licznik zawsze pokazuej 3 pin left ato dziwne.

  27. Kartę millenium dobre konto odczytuje z imieniem i nazwiskiem właściciela

  28. U mnie z AliorSynca w ‘transakcjach’ są te transakcje, przy których NIE płaciłem zbliżeniowo, zbliżeniowych z wpisywaniem PINu brak, wbrew temu co ktoś tam wyżej pisał.

  29. Tylko ze karta jest własnością banku i uszkodzenie jej może rodzić konsekwencje

    • Jakie konsekwencje ?

    • A niech sobie rodzi, co sobie chce. Skoro banki wydają wybrakowany produkt (karty zbliżeniowe), to trzeba sobie radzić po swojemu. Wystarczyło by najprostsze zabezpieczenie w postaci mikrostyku, który trzeba wcisnąć podczas płatności zbliżeniowej aby obwód był zamknięty. Nie. Nawet tego nie ma.

    • OkropNick: a jak bede jechal autobusem, bedzie mi goraco, a okna nie da sie otworzyc, to powinienem wybic szybe?

  30. Sama apka nie ma uprawnień, ale dane może wysłać przez inne apki które takowe uprawnienia juz posiadają.

  31. Ach, zapomnieliśmy napisać, żebyście uważali, bo aplikacja wysyła odczytane dane do twórcy, żeby mógł udoskonalać swoją aplikację… ;)

    • Kod jest na GitHubie – czy możesz wskazać plik/linijki w których odbywa się wspomniana przez Ciebie akcja wysyłania danych? Czy to tylko, niepoparta dowodami, teoria (spiskowa)? :P

  32. Odczytac mozna “tylko” numer karty :-) faktycznie nie ma co wpadac w panike :-)

  33. Dlatego nigdy nie płacę zbliżeniowo, w ogóle to na życzenie klienta karta bez pay pass powinna być wydawana, choć teraz to chyba rzadkość.

  34. Nie wiem jak sobie radzą egzotyczne hotele, ale…do opłacenia rezerwacji hotelu wystarczy nr karty i data ważności. Nie potrzebny jest ccv.

    • …cvv oczywiście.

    • …albo cvc. :)

    • Na debetówkach to nie działa

  35. Karta mbanku (visa do aquariusa) – czyta nawet operacje ktore byly wykonywane przez neta.

  36. Ja radze nie czytac apka kart, na ktorych miewacie wieksze kwoty. No chyba, ze ktos posprawdza kod na githubie. Numer i data waznosci to juz duzo. Poza tym czy nie jest tak, ze to co jest w stanie zczytac telefon to pozniej moze wyslac do normalnego czytnika? Czyli cos w rodzaju kopiowania karty?

    • Czy będąc w posiadaniu nr karty i daty ważności debetówki ktoś może z tym coś złego zrobić? Dokonywałem rezerwacji hoteli podając nr karty debetowej i hotel potem mnie informował, że nie są w stanie pobrać / zablokować wymaganej kwoty.

  37. ING MasterCard czyta. Nie tylko zblizeniowe transakcje, ale zwykle stykowe tez.

  38. Sprawdziłem wszystkie swoje karty z 3 banków.
    Karty MasterCard zapisują historie transakcji, a karty Visa nie.

  39. Visa od mBanku nie działa :) Najpierw komunikat, aby nie przesuwać karty, a po kilku próbach: “Nie można odczytać danych”.

  40. Ale mi nowość… miałem ta aplikacje ponad rok temu. Podpowiem, że na rynku jest dużo lepsza jeszcze od tej (konsolowa :) ) aplikacja, która pokazuje znacznie więcej informacji. Np. na niektórych kartach zapisany jest numer konta posiadacza, podajże master card ma taką funkcję. Nie wspominając, że z takiej karty można odczytać limity konta oraz inne ciekawe informacje :)

  41. tutaj link proszę :) https://play.google.com/store/apps/details?id=at.zweng.bankomatinfos2

  42. Mnie za to zastanawia po co w niektórych marketach przeciągają kartę na klawiaturze za nim ją włożą do terminala i czy to jest w ogóle zgodne z prawem.

    • Na pasku, na ścieżce 1 i 2 zapisane są m.in. dane jawne z karty. Zatem przydatne moga być do statystyki (zwykłe zbieractwo danych) albo zaszłość z czasów, kiedy był tylko pasek (i fraudziarz miał kartę z danymi innej karty) albo i po to by po service codzie obsłudze kasy dać info, co dalej z kartą.

  43. kompiłuję nftables na swoje karty cipowe ? ;D

  44. hmmm… Właśnie dostałem nową kredytową visę z mBanku zupełnie niezblizeniową :)

  45. Sprawdziłem, żadna karta Multibank’u – BRE (mam ich parę) nie wyświetliła logów transakcji. Pojawiła się informacja – “Your card doesn’t provided transaction history”.

  46. Definiuje ‘skopiuje’. Aplikacja nie żąda dostępu do internetu, co możesz sprawdzić zaraz przed jej zainstalowaniem. Wiec nie miała by co zarobić z numerami kart.

  47. Czyta bez pudła i podaje listę transakcji na standardowej debetówce Visa mBank i MasterCard z BOŚ. Przy czym pierwsza karta ma wyłączone płatności zbliżeniowe po stronie banku, a drugą nigdy takowe nie były wykonywane :D

  48. z tego co się wiem, to karty pko bp nie zapisują historii transakcji. bank ma dość duże wymagania jeśli chodzi o bezpieczeństwo danych

  49. Jak kolega wspomniał dla PKO BP nie działa (w sensie pokazuje pustą historię) również dla kart kredytowych historia jest pusta

  50. PEKAO S.A. umywa ręce i w korespondencji z klientem mówi na zasadzie “nie baw się tak, bo dostaniesz po łapkach” i sugerują że dane karty są grzieś przesyłane. Odpisali mi po miesiącu, wiadomość do nich pisałem kilka godzin po wykonaniu praktycznej demonstracji w banku. Proponują włączenie sobie powiadomień sms, które zadziałają przy transakcjach on-line, i włączenie “zabezpieczenia transakcji paypass”. Zarówno MasterCard Debit (nowa) jak i Maestro (stara) są podatne.

  51. Ojtam, ojtam… Minister szykuje nam już cyfrowe paragony które bedą przechowywane przez bank wystawiający kartę. Będzie można zobaczyć co kto kiedy kupił i za ile.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: