9:30
25/2/2013

Ostatnio znów jest głośno o problemach z kartami zbliżeniowymi. Wyborcza przypomina stare i dobrze znane (acz poparte realnymi przykładami) problemy płatności zbliżeniowych, na które my uczylaliśmy Was już jakiś czas temu (por. odczytywanie danych z karty zbliżeniowej oraz ataki na karty zbliżeniowe). Dziś chcielibyśmy opisać uniwersalny atak na zbliżeniówki, niewymagający “klonowania” karty i dość jasno pokazujący dlaczego karty zbliżeniowe PayPass czy PayWave mogą być łatwiejszym celem niż standardowe karty (te bez anteny i chipa NFC). Do przeprowadzenia ataku-kradzieży wystarczą nam …2 telefony z odpowiednią aplikacją.

Atak przedłużenia terminala

Wyobraźmy sobie 2 atakujących. Bożydara i Zygfryda. Bożydar udaje się do sklepu, pakuje do koszyka produkty do 50 PLN (bo to najpopularniejszy limit dla jednorazowej transakcji zbliżeniówką). Bożydar podchodzi do kasy i informuje kasjerkę, że będzie płacić zbliżeniowo. Wyciąga telefon (tak, zbliżeniowo można płacić zarówno zegarkami jak i telefonami) i przykłada go do czytnika. Teraz dzieje się rzecz magiczna.

Płatność zbliżeniowa telefonem

Płatność zbliżeniowa telefonem

Telefon Bożydara wyposażony jest w chip zbliżeniowy NFC, ale jest jednocześnie połączony przez internet (po 3G lub EDGE lub GPRS) z takim samym telefonem, ale należącym do Zygfryda. Zygfryda nie ma w sklepie — jest w autobusie (albo innym tłocznym miejscu). Zygfryd “obmacuje” swoim telefonem torebki/plecaki przypadkowych osób, licząc na to, że któraś z nich posiada kartę zbliżeniową. Innymi słowy telefon Bożydara komunikujący się z telefonem Zygfryda “przedłuża” sklepowy czytnik kart zbliżeniowych do autobusu, co w konsekwencji sprawia, że za zakupy Bożydara płaci przypadkowa osoba.

Atak relay na nfc

Schemat ataku relay na płatności zbliżeniowe NFC (fot. rhul.ac.uk, podpisy własne)

Zauważmy, że Zygfryd może wykrywać karty zbliżeniowe zanim nastąpi faktyczna transakcja — wtedy wie kto ma kartę i w momencie otrzymania sygnału od Bożydara podkłada telefon pod upatrzoną wcześniej ofiarę. Jak informują badacze, informację z chipów NFC można odczytać nawet z odległości 1 metra. (Ba, mając specjalną aplikację, Zygfryd może nawet odczytywać dane z karty płatniczej ofiary — ale ich znajomość nie jest nam w ataku przedłużenia terminala do niczego potrzebna).

Jak widać wcale nie musimy “klonować” czyjejś karty, żeby nią zapłacić. Drogie skimmery na bankomaty nie są tu potrzebne. Zabezpieczenia w postaci zliczania przez kartę liczby transakcji zbliżeniowych, czy też ochrona CVV3 (czyli dynamiczny CVV) w przypadku tego ataku, będącego w istocie atakiem typu relay (atakiem MitM), nie ma żadnego znaczenia.

Ochrona przed atakiem przedłużenia terminala

Najpierw powiedzmy o ochronie, która nie zadziała. Trzymanie wielu kart zbliżeniowych przy sobie — o ile ogłupia to proste czytniki w bramkach metra, czy kasowniki w autobusach, to nie oszuka profesjonalnego czytnika NFC — te potrafią bezkolizyjnie odczytać kilka kart jednocześnie.

Najsensowniejszym zabezpieczeniem będzie schowanie karty w klatce Faraday’a (folii aluminiowej) albo fizyczne uszkodzenie anteny — tak jak to opisaliśmy w tym poście (uwaga, przecięcie zwojów nie “zabija” anteny, a jedynie sprawia, że jest ona mniej wydajna).

Szkoda, że producenci kart nie montują na kartach prostego przełącznika, włączającego chip NFC (a więc funkcję płatności zbliżeniowej) jedynie na życzenie klienta (czyli tuż przed transakcją w sklepie).

Sam złodziej z kolei może zostać namierzony jedynie przez korelację logów z fałszywej płatności i sklepowego monitoringu (o ile monitoring istnieje i zapis jest archiwizowany).

Podsumowując, powyższy atak to kolejny powód do:

  • obwinięcia swojej karty płatniczej w folię aluminiową
    (podkreślmy to jeszcze raz: dwie karty obok siebie da odczytać profesjonalnym czytnikiem)
  • …lub zastanowienia się, czy warto ryzykować bycie posiadaczem karty zbliżeniowej?

Oczywiście można też liczyć na chargebacki i zwrot z ubezpieczenia w przypadku fałszywej transakcji — warto uprzednio upewnić się, powyżej jakiej kwoty one działają (czyt. niekiedy kradzież na sumę poniżej 200PLN nie zostanie nam zwrócona, bo zgodnie z regulaminem środki do 200PLN pokrywa klient).

PS. W tworzeniu aplikacji na telefony pomóc może oficjalne API Mastercardu :> z kolei do zabawy z NFC polecamy libnfc — a na Androida gotowe rozwiązanie: nfcproxy.


Przeczytaj także:





180 komentarzy

Dodaj komentarz
  1. Co do ostatniego stwierdzenia o ryzykowaniu posiadania karty zbliżeniowej – niedługo chyba trzeba będzie zapytać czy wogóle chcemy posiadać kartę, bo coraz trudniej znaleźć bank który posiada w swojej ofercie karty nie-zbliżeniowe…

    • Ja posiadam kartę pewnego banku, która co prawda jest zbliżeniowa, ale BOK nie jest w stanie mi tego aktywować (nie działa od samego początku) ;) Więc skoro każdy terminal odrzuca transakcję wykonaną moją kartą zbliżeniową, to chyba jest możliwość zablokowania transakcji bezdotykowych w banku? ;)

    • Banki generalnie mają możliwość wyłączenia opcji zbliżeniowej. Nawet mBank to wprowadził, po zebraniu cięgów na blogu Samcika.

    • Możesz coś więcej napisać o blokowaniu zbliżeniówki w
      mbanku?

    • Anks:
      mbank umożliwił tylko wyłączenie transakcji offline a nie zbliżeniowych: to niezupełnie to samo.
      Są jeszcze banki wydające karty bez paypass (np. Meritum)

    • @krokodyl a technicznie, to jak skorzystać z tej nowej “funkcjonalności” oferowanej przez mBank?

    • @krokodyl: Nie masz racji. Deaktywowany jest moduł paypass całkowicie.

    • Stonek:
      ztcw, wyłączenie transakcji offline w mbanku tylko przez dezionfolinię. Potem wystarczy wykonać dowolną transakcję kartową online z użyciem terminala. Odgrażają się ponoć, że jest to zabieg nieodwracalny. Osobiście nie skorzystałem bo już jakiś czas temu pozbyłem się mbankowego delfinka.

    • Myślałem że limit dzienny zbliżeniówki jest 50zł, a się dowiedziałem że można wydać 150zł, bez podawania PINu.
      Czy brak możliwości ustawiania limitu zbliżeniowej, jest spowodowane, że ten limit jest fizycznie w karcie?

      Jest trzeci sposób na zablokowanie NFC, potraktowanie go silnym impulsem Elektro-magnetycznym.

    • @glass A nie usmażysz przy okazji pozostałych żywotnych elementów karty koniecznych do dokonania jakiejkolwiek transakcji nie-zbliżeniowej?

    • jeszcze dwa cytaty z forum mbanku (autorzy to pracownicy banku) :
      dyspozycja złożona na mLinii powoduje całkowite wyłączenie możliwości wykonywania operacji offline dla tego egzemplarza karty, którym się posługujesz.

      Oznacza to, iż standardowa operacja w terminalu poprzez wprowadzenie kodu PIN karty nie zostanie przeprowadzona, jeśli terminal obsłuży kartę w trybie offline.
      Nie będzie już możliwe wykonywanie operacji offline, nie tylko tych zbliżeniowych.

      Bank nie blokuje działania anteny a jedynie wgrywa na mikroprocesor nowe parametry powodujące blokowanie operacji offline.dyspozycja złożona na mLinii powoduje całkowite wyłączenie możliwości wykonywania operacji offline dla tego egzemplarza karty, którym się posługujesz.

      i drugi cytat:
      wyłączenie funkcji zbliżeniowej na karcie skutkuje tym, iż płatność daną kartą będzie zawsze wykonywana w trybie online (zakładana będzie blokada autoryzacyjna).

      Stosowne ustawienia karta otrzymuje po złożeniu dyspozycji wyłączenia funkcji zbliżeniowej na mLinii, wraz z pierwszą transakcją przy użyciu chipa.

      Należy pamiętać, iż ta zmiana może także spowodować ograniczenie akceptacji karty w punktach usługowo-handlowych umożliwiających dokonanie jedynie transakcji offlinowych.

    • to zalezy od umowy banku np. z Visa/Mastercard. Jak bylem pare ladnych lat temu w odziale mojego banku sprawie wyciecia tego ustrojstwa to mi powiedzieli, ze dostawca kart nie pozwala tego zrobic… ba nawet limitow nie moge zmieniac. Coz widac firmy wiedza lepiej co ja chce. I czego potrzebuje

    • Czy jeśli terminal potrafi bezprzewodowy wysłać do karty sygnał “Zakoduj sobie w pamięci, żeby nie pozwalać na wykonywanie operacji offline”, to czy ktoś podszywający się pod taki terminal np aplikacją na androida (jest taka możliwość?) nie mógłby wysłać sygnału “Zapamiętaj: Od teraz akceptuj płatności offline”, a potem dokonać trefnej transakcji metodą z artykułu?

  2. Nie trzeba owijać karty folią. Wystarczy w portfel bądź etui na karty włożyć z obu stron blaszki wycięte np. z puszki po piwie. Powinny być nieco większe niż rozmiar karty. Żaden czytnik (testowałem kilkanaście i kilka kart w różnych standardach) nie był w stanie odczytać karty ani przy przyłożeniu portfela na płasko, ani prostopadle.

    Niestety ekranowanie nie chroni przed prozaicznym atakiem polegającym na kradzieży karty (można też zgubić przecież…) i wykorzystaniu jej do szybkich zakupów w terminalu pracującym w trybie offline, co opisywał pan Samcik na swoim blogu.

  3. Ups.. co to za bzdura? no troche rozumiem czemu autor sie nie podpisal nazwiskiem. Autorze poczytaj sobie o autentykacji statycznej i dynamicznej EMV!

    • A ja polecam lekturę ataków wormhole lub relay w połączeniu z NFC ;)

    • jak już chcesz zabłysnąć, to na litość boską nie używaj (nieistniejącego w języku polskim) słowa autentykacja!

    • Matja, cóż za dyskretna zmiana tematu!

    • To ja też polecę coś od siebie, całą serię pana Cobena z głównym bohaterem Myronem Bolitarem, świetne książki detektywistyczne.

    • Nie, to nie są świetne książki – jak już akcja się skomplikuje ponad możliwości autora, wtedy pojawia się przyjaciel Myrona – Windsor “Win” Horne Lockwood, III – szkolny wymoczek, który się zawziął i zrobił trening komandosa, dysponuje nieograniczonymi środkami finansowymi, firepowerem and wot not i rozwiązuje akcje – takie bajki to mój pięcioletni syn tworzy na poczekaniu, a nawet czasem ilustruje.

    • Lecz nie zmienia to faktu że lubię serię z Myronem i akcje z Winem ;)

    • Z mojej wiedzy to w najnowszych kartach są sprawdzane czasy odpowiedzi i taki numer ze zdalnym odczytem nie przejdzie.

  4. Ludzie… oczywiście że da się taki atak przeprowadzić. Fajnie o tym napisać efektowny artykuł. Fajnie potem mądrze pokomentować… Zastanówcie się jednak czy komuś dla max 50zł będzie się chciało tak kombinować? Co innego gdyby chodziło o tysiące, ale takiego relay attack dla marnych 50PLN nikomu się nie będzie chciało na poważnie robić.

    W każdej sprawie należy zachować zdrowy rozsądek, a w tym przypadku zdroworozsądkowe jest to, że wygoda korzystania ze zbliżeniówki bije na głowę problem że ktoś mi może raz w życiu zawinie 50zł, które i tak odzyskam. Pokażcie mi kogoś kto stracił jakieś pieniądze przez zbliżeniówkę… I moje dane też sobie mogą odczytywać jeśli im to do szczęścia potrzebne.

    • Jednak nawet teoretycznie możliwy atak warto analizować, bo
      Niebezpiecznik od tego jest. To, że za dużo zachodu jak na kwotę
      transakcji jest inną kwestią, ale sama możliwość takiego ataku każe
      zweryfikować zabezpieczenia płatności NFC. Tej weryfikacji muszą
      dokonać wszystkie strony tj: organizacje płatnicze, banki,
      producenci terminali, producenci smartfonów oraz acquierzy. Bez
      edukacji użytkowników też się rzecz jasna nie obędzie. PS Przy
      okazji warto dodać, że Visa zamierza certyfikować smartfony NFC
      http://prnews.pl/wiadomosci/visa-wprowadza-program-partnerski-visa-ready-2767002
      (program Visa Ready).

    • Bierzesz terminal i nabijasz takich transakcji po 50zł dowoli. Dla 50zł się nie opłaca, dla 100×50 już co innego. A rano przy bramce metra złapiesz spokojnie więcej osób.

    • Ale wlasnie tu chodzi ze nie ma limitu 50 zl

    • Uwierz mi są tacy ludzie, którzy stracili pieniądze z kart zabliżeniowych. Ponieważ wiele terminali pracuje w trybie offline (a wiele kart dopuszcza takie płatności) czyli przy dokonywaniu płarności terminal nie kontaktuje się celem wryfikacji np. środków zgromadzonyc na koncie. Tak więc jeśli ktoś skradnie twoją kartę lub ją zgubisz jest możliwe że stracisz pewne pieniądze (do dziennego limitu).

      Pamiętać należy że banki z reguły odpowiadają powyżej kwoty 150 euro (tzw. wkład własny posiadacza karty). Czyli jesteś 600 zł w plecy i nikt ci ich nie odda (choć w grę wchodzi jeszcze możlwiość ubezpieczenia karty).

    • Dokladnie tak, jak napisal(a) @Matja: kradziej zawsze moze zalozyc kiosk na slupa i masowo sprzedawac chusteczki po 50pln za paczke.

    • Matja, to wymaga zapłacenia sto razy w krótkich odstępach czasu (dopóki napotkana osoba samemu nie skorzysta z płatności).

    • Łatwo być ekspertem :)
      Podaruję swoją załadowaną kartę prepaid, na której jest 5 kPLN, pierwszej osobie, której się uda ukraść z niej w opisany powyżej sposób 50 PLN.

    • a jednak można stracić pieniądze (i to sporo) przez zbliżeniówkę
      http://samcik.blox.pl/2013/02/Zblizeniowa-zalamka-78-zlodziejskich-transakcji.html

    • Dla marnych 50zł pewnie nie, ale wyobraź sobie że Bożydar stoi przed biletomatem mennicy we Wrocławiu i kupuje kolejne zasilenia telefonów, a Zygfryd stoi obok Ciebie i autoryzuje kolejne transakcje z Twojej karty. Co jest możliwe jeśli jedziecie razem autobusem lub pijecie kawę w tej samej kawiarni.
      Ludzie, którym ukradli kartę przez zakupy w Żabkach lub doładowania telefonów w biletomatach mennicy we Wrocławiu stracili tysiące złotych, a banki nie poczuwają się do odpowiedzialności za to. Ten atak na karty jest nawet ciekawszy, bo nie tracisz karty, tylko pieniądze. Bank będzie Ci wmawiał że sam wykonałeś te wszystkie transakcje, nawet jeśli będąc kobietą, na filmie z monitoringu sklepu widać że kupuje mężczyzna.

    • W ten sposób można ukraść po 50zł od 100 osób; Nie twierdzę, że uda się ściągnąć te 5000zł od jednej osoby. Temat konieczności dokonania szybko kilku transakcji pod rząd- to tylko i wyłącznie kwestia dogadania się ze sprzedawcą. Pan z kiosku, który dorabia 500zł miesięcznie do renty będzie miał problem z “wypożyczeniem kiosku” na dwa dni za 2k? Nie sądzę.

    • Jedyna rozsądna wypowiedź.
      Ja pochodzę z czasów, gdy w PL o kartach tylko pisano w gazetach. Nie było roku, by mi nie zginęło “parę groszy” – albo zgubiłem, albo ktoś ukradł. W 1983 roku w pociągu ukradli mi 20 tys. , które dostałem od teściów na budowę domu.
      Dzisiaj dzięki kartom się to nie zdarza. Od ok. 5 lat nie zgubiłem ani grosza, ani nikt mi nie ukradł. Ani mojej żonie – a jeszcze 10 lat temu okradli ją kieszonkowcy w autobusie w Wawie.
      Myślę, że wiecie co ja myślę o tych transakcjach… 50 zł raz kiedyś to mała strata do tego, co działo się kiedyś! Ile takich kombinacji może być rocznie? Sądzę, że nie więcej niż kilkadziesiąt.

  5. Oczywiście, ale można by np. mieć możliwość zarządzania zasobem kasy na płatności zbliżeniowe. Czyli idea wirtualnego portfela, na którym trzymamy np 30zł na płatności zbliżeniowe. gdy potrzeba przelewamy sobie więcej. :)

    • Zastępstwo opisywanej przez Ciebie metody to karty prepaid (w ofercie większości banków w Polsce). Masz osobny rachunek przypisany do karty płatniczej, trzymasz ile potrzebujesz/ile chcesz. Zależnie od banku może to być karta czysto wirtualna, pod postacią zegarka, breloczka, czy też tradycyjnego plastika :)

    • Problem w tym, ze przy transakcjach ‘offline’ nie ma sprawdzenia limitu ilosci transakcji i ilosci kasy na koncie! Na tym polegal przypadek opisany na blogu Samcika: wykonano duza ilosc transakcji offline, wszystkie ponizej limitu jednorazowego. Ich ilosc przekroczyla limit ilosciowy, a suma ilosc kasy na koncie, bo w miedzyczasie, zaden z wykorzystanych terminali nie sprawdzil w banku jaki jest prawdziwy stan konta, a na karcie przeciez nie bylo informacji o poprzednich transakcjach offline.

    • Tylko mi nie chodzi o zastępstwo usługi i dodatkową kartę, tylko o coś w rodzaju subkonta tylko na płatności zbliżeniowe. Nie oszukujmy się 95% nie wie, że ma na swojej karcie “chip zbliżeniowy”, pozostale 5% ogarnęło by zarządzanie takim subkontem w 30 sekund :) (to tak, żeby zniwelować problem “kto to ogarnie”)

  6. ja w ogóle nie rozumiem idei kart zbliżeniowych. Po co zostały wprowadzone? Żeby zaoszczędzić 3sec życia klienta/kasjera, czy żeby kosztem bezpieczeństwa klienta obniżyć ilość transferów i operacji i/o do baz bankowych.
    Ja obniżyłem sobie możliwość płatności do 5zł. O taką gotówkę raczej nikt się kusił nie będzie i testował gdzie jest mój próg.

    • Zostały wprowadzone z tego samego powodu co karty
      kredytowe, by kroić klientów. Przy kredytówkach liczą, że nie
      spłacisz w czasie i naliczą Tobie lichwiarskie odsetki
      https://www.youtube.com/watch?v=6QBQiOcxlas W zbliżeniówkach, że
      niezależnie kto wyda Twoją kasę, to ty musisz zwrócić dług.
      Transakcja zaliczona, prowizja pobrana, pieniądze wracają. A
      reklamację się odrzuca.

    • Wątpię, aby w smartfonie były takie możliwości jak inteligentny odczyt kart NFC itd. – chodzi o telefon gościa, co skanuje ludzi w tłoku. Musiałby mieć terminal – a z tym ciężko mu się by było ukryć.

  7. Temat jest ciekawy i warto o nim pisać, ale dodalibyście trochę humoru czy ironii może, co? Bez przesady z tym panikowaniem. Żeby zapłacić czyjąś kartą kredytową wystarczy, uwaga, uwaga – popatrzeć i zapamiętać numer (script kiddie może użyć kartki i ołówka) a jakoś nadal ich używamy.

    • Wbrew pozorom nie jest to takie łatwe – ponieważ znając nr karty + kod zabezpieczający też zamieszczony na odwrocie nie można dokonać anonimowych zakupów. Trzeba zamówiony towar gdzieś przesłać podać adres. Oczywiście wszystko jest do zrobienia ale jednak trzeba się trochę pogimnastykować. Dodatkowo część kart ma już dodatkowe zabezpieczenia i aby potwierdzić transakcję trzeba się zalogować do banku i podać kod sms-owy itp. Ew. osoba może się zorientować dostając sms o takiej transakcji lub zapytanie z banku o ile ta transakcja jest nietypowa.
      Natomiast wygoda kart z czipem RFID dla złodzieja polega na tym, że może on szybko dokonać płatności w terminalach of-line, co prawda nie sieknie nas na dużą sumę – choć pan Samcik pokazał na swoim blogu, że strata może iść w tysiące złotych. A jeśli jeszcze złodziej współpracuje z kasjerem obsługującym taki terminal…?
      Technologia bezstykowa przynajmniej w wydaniu polskim jest niedopracowana i niebezpieczna, to fakt.

    • @totalizator: nie.

    • @Jarek
      Nie – dostawę można zamówić do paczkomatu, na słupa, kupić dobra niefizyczne (hosting, wirtyualne “pieniądze”), wyprać przez gralnię online…

  8. Dokładnie, ostatnio w mbanku miałem problem, bo chciałem zwykłą kartę bez paypassa ale nic z tego, wydają tylko zbliżeniowe. Korzystam z ID blocka.

  9. Blaszki blaszkami, folie foliami ale weź teraz wejdź na samolot, przecież wykryją Ci te blaszki i pewnie będziesz musiał wyrzucić …
    Ciekawe kiedy pojawią się fabrycznie ekranowane portfele :)

    • Są od dłuższego czasu.

    • Juz sa

    • Mnie nie kazali wyrzucać stelaża z plecaka (mały 25 litrowy) który zabierałem na pokład. Nie musiałem też wyżucić metalowego statywu od aparatu.

    • Ja parę razy niechcący wniosłem [w podręcznym] do samolotu multitoola, dwumetrowego patchcorda i duży nożyk do tapet (nie mówiąc o 1.5 litrowej butelce wody) – nikt się nie zająknął (nota bene tego multitoola przenosiłem tez niezliczoną ilośc razy przez kontrole i bramki w budynkach polskich sądów :) )

  10. Z tego co mi się wydaje, wystarczy mieć np. kartę komunikacji miejskiej przy karcie zbliżeniowej i to już wystarczy do tego aby nie dało się zeskanować jej bez wyciągnięcia z portfela. Chyba, że się mylę.

    • Nie przeczytałeś dokładnie akapitu o ochronie chyba… ;)

  11. A ja widzę pole do popisu. Bożydar i Zygfryd to koledzy. Bożydar robi zakup w Krokowie za 50 zł a Zygfryd w Katowicach za 2 zł. Potem Zygfryd reklamuje do banku tranzycję z Krakowa i razem obalają flaszkę którą kupił Bożydar.

    • Wkład własny, czyli odpowiedzialność posiadacza karty wynosi do 150 euro. Dopiero starty powyzej tej kwoty są zwracane przez bank. Zwykle po długiej procedurze reklamacyjnej. W przypadku moejej obecnej reklamacji jest to 60 dni.

  12. Aż dziwne, że dopiero teraz ktoś na taki pomysł wpadł!

  13. Widziałem już numer z dziurkaczem, ale lubię karty zbliżeniowe ze względu na wygodę. Zastanawia mnie więc, jak by tu zbudować włącznik do takiej karty, czyli przeciąć przewód i zamontować jakiś mikro-przycisk (może być prymitywny).

    • Widziałem kiedyś koncepcję takiego włącznika – miał postać styku na powierzchni karty, który należało zewrzeć palcem, aby zasilić układ. Czyli trzeba było trzymać kartę za odpowiedni narożnik, a umieszczona w portfelu jest “martwa”. Rozwiązanie tak proste, że naprawdę dziwię się, że nie jest powszechnie stosowane.

  14. Sorry, ale to jest teoretyzowanie niepoparte żadną wiedzą. Ten artykuł świadczy o braku podstawowej wiedzy jak dokonywane są transakcje kartą smart (czy to stykową czy bezstykową) O ile część danych karty jest dostępnych dla wszystkich (takich jak nr karty, nazwisko posiadacza i jeszcze kilka) to nie są dostępne dane certyfikatów które są używane do wzajemnego uwierzytelnienia karty i terminala (wpisz w wyszukiwarkę EMV SDA i EMV DDA)
    Zatem twoja przeczytana z plecaczka karta zatrzyma się na pewnym etapie transakcji i sprzedaż nie dojdzie do skutku.

    Uwaga: część terminali zbliżeniowych pracuje w uproszczonym trybie “paskowym” gdzie transakcja się odbywa w uproszczonym trybie bez autoryzacji. Miało to być tymczasowqe uproszczenie dla wejścia kart zbliżeniowych na rynek, które powinno być po jakimś czasie wymienione na pełen proces karty zbliżeniowej, ale jak wiadomo prowizorki są najtrwalsze. W tym jednak wypadku pozostaje główna zasada wszystkich kart płatniczych: za transakcje niezabezpieczone pinem ani podpisem odpowiada bank.

    Myślę że portal aspirujący do poważnego źródła wiedzy o bezpieczeństwie nie powinien wypuszczać takich skandalizujących wpisów obnażających ignorancję w temacie.. lepiej jakby tego artu nie było..

    • To nie jest teoryzowanie – praktyczny atak z wykorzystaniem telefonów komórkowych i kart płatniczych miał już miejsce :-)

      Tu nie ma znaczenia jakie dane na karcie są dostępne do odczytu, a jakie nie — bo jedyne co robimy to przenosimy terminal ze sklepu do przysłowiowego autobusu. Karta klienta przeprowadza transakcję tak samo, jak w sklepie (z drobnym, niewpływającym na transakcję opóźnieniem, które wynika z “pośrednika” mającego skopiować zapytania terminala do karty i odpowiedzi karty do terminala).

      Ty opisujesz inny atak, polegający na klonowaniu kart ofiary. Tu nie klonujemy a tunelujemy…

    • “sorry”, brak przecinka przed “które”, brak kropki, “tymczasowqe”, brak przecinka przed “że”, złe użycie słów “portal” i “skandalizujący”, dwa razy wielokropek napisany dwoma kropkami, zdanie rozpoczęte z małej litery, niepoprawnie użyty skrót “art.” (bez kropki i odmieniony jakby był samodzielnym słowem”. Myślę, że komentujący aspirujący do poprawiania kogoś, kto jest kilka lat “w temacie” i na rynku, nie powinien pisać tak niekompetentnie brzmiących komentarzy. Lepiej, żeby tego komentarza w ogóle nie było (powtórzenia celowe). Nie wspominając o treści właściwie nie na temat, co wyjaśnił już Piotr.

  15. A ja tu widzę… pewną nieścisłość ;-)
    Otóż najpierw czytamy, że “Zygfryd “obmacuje” swoim telefonem torebki/plecaki przypadkowych osób”, a następnie, że “Najpierw powiedzmy o ochronie, która nie zadziała. Trzymanie wielu kart zbliżeniowych przy sobie — o ile ogłupia to proste czytniki w bramkach metra, czy kasowniki w autobusach, to nie oszuka profesjonalnego czytnika NFC”. OK, to drugie zdanie jest oczywiście prawdą, ale skąd założenie, że czytnik w telefonie Zygfryda będzie miał takie parametry, jak “profesjonalny czytnik NFC”. Z naszego testu wynika, że czytnikowi w komórce bliżej jednak do tego z.. kasownika. To raz. Dwa… tak zupełnie serio, jak Zygfryd to robi, że skanuje swoim telefonem torby i plecaki pasażerów autobusu i.. nie dostaje w tzw. mordę? Przecież ja bym od razu takiemu kolesiowi “wypalił” i myślę, że wielu innych też… Słowem, jest to atak teoretycznie możliwy (jak większość ataków), ale w praktyce o wiele trudniejszy do przeprowadzenia, niż się wydaje.

    • Zauważ, że Zygfryd wcale nie musi mieć telefonu, może posiadać dużo bardziej rozbudowany i profesjonalny sprzęt, o odpowiednio dużej czułości odbioru sygnału z kart. Nie wykluczam tu nawet zewnętrznych anten kierunkowych. Trudno, żeby Bożydar paradował przy kasie z jakimś nietypowym ustrojstwem, z resztą u niego telefon wystarczy bo zbliża go do terminala na małą odległość i płaci tylko jedną “kartą”, którą podsyła mu Zygfryd.

    • @Marcin szczerze? Póki czegoś takiego nie zobaczę, nie uwierzę. I to z kilku powodów (pomijam ten najbardziej oczywisty, że nie mogę sobie wyobrazić faceta z jakimś najeżonym antenami czytnikiem, spacerującego po środku lokomocji i “skanującego” każdego pasażera – serio, pokaż mi taką rzecz, w akcji (temat dla Pogromców Mitów, jak sądzę).

      Co do reszty, to sprawdzaliśmy jak wygląda sytuacja właśnie w przypadku kilku kart “razem”, okazuje się, że nawet przy dość dobrym czytniku ma znaczenie… kolejność ich ułożenia w portfelu (prosta rzecz, warszawska WKM’a jako najbardziej zewnętrzna i.. wiele czytników mówi “pa pa” (i to nie tych z kasowników). Zauważ, że ma to miejsce w warunkach “laboratoryjnych”, słowem na stole.. gdzie nic się nie rusza, gdzie nie ma stresu, że ktoś Cię przyłapie i gdzie nie ma np. komórki w pobliżu portfela itd. itd. itd. A przecież można mieć w portfelu więcej kart, w tym taką, na której nie ma przeważnie więcej niż kilka zł. Ile podejść do jednego portfela, może wykonać “skanujący plecaki Zygfryd”? Jedno? I to na szybko i w ruchu (trzęsie się autobus, ruszają się ludzie, nie ma 100% pewności gdzie ktoś trzyma portfel, a przecież czas ataku jest bardzo ograniczony…). Wydaje mi się, że prędzej złodziej ukradnie Ci po prostu portfel i wykona kilka transakcji zbliżeniowych Twoją kartą, niż używając jakiegoś przemysłowego superczytnika zeskanuje samą kartę w… autobusie czy SKM-ce.

      Ja wiem, że temat jest relatywnie nowy i chodliwy (dlatego Niebezpiecznik pisze o nim kilka razy z rzędu), ale.. w praktyce jest jak z crackerami. Każdy cracker będzie Ci się przechwalał, że włamać może się wszędzie, że bank to dla niego doba pracy, a CIA to góra tydzień… tylko, że praktyka jest zupełnie inna. Jeśli się włamie, to najczęściej tam, gdzie admin powinien zostać już dawno zwolniony, ostatnie łaty, to były te, które przyszły wraz z instalką systemu oraz… exploit można ściągnąć z sieci po kilku minutach kwerendy w Google. :-)) OK, nie oznacza to, że nie ma zagrożenia. Niemniej, póki co, nie udało nam się potwierdzić, że to sczytywanie kart zbliżeniowych jest w praktyce takie proste, jak głosi, głoszona teoria. :)

    • Jak dobrze rozumiem ten atak, to jest to rozwinięcie ataków z kopiowaniem CVV3 – odczytujemy kod z karty i go wykorzystujemy – tyle, że tutaj różnica czasu pomiędzy skopiowaniem i wykorzystaniem jest liczona w sekundach.
      Co do czytników, to wcale nie musi być jakieś potężne ustrojstwo – taki czytnik nie jest wcale skomplikowany, więc może być zbudowany tylko do przeprowadzania ataku czyli być np. zamontowany pod ubraniem czy w plecaku.

    • @Chris skoro złodzieje potrafią w tramwaju otworzyć plecak,
      namierzyć coś wartościowego, wyciągnąć i zamknąć plecak tak że nikt
      nie widzi, albo przechodząc koło Ciebie zdjąć z Twojej ręki
      prawidłowo zapięty zegarek , to ukrycie czytnika w rękawie i tylko
      zbliżenie w odpowiednie miejsce jest żadnym problemem

    • @Chris w artykule masz podane linki do wcześniejszych artykułów o kartach zbliżeniowych. Tam gdzieś był zamieszczony link do filmu pokazującego jak łatwo jest odczytać dane z kart zbliżeniowych innych ludzi. Było to zrobione nie telefonem a zewnętrznym czytnikiem połączonym ze smartfonem a całość zapakowane w eleganckie etui. Gość wystarczyło, żeby przejechał się schodami ruchomymi niedaleko jakiejś osoby i miał już odczytane dane z jej karty. Wystarczy pójść w miejsce gdzie jest tłoczno i ofiar masz ile chcesz. Jak podają w artykule niektóre czytniki działają z odległości 1m. Wcale nie musisz się “przytulać” do ofiary. Wystarczy stanąć obok, w kolejce w dowolnym tłoku. W tym filmie co napisałem wyżej goście sklonowali kartę do pokoju hotelowego, ale było widać, że nie chcieli pokazywać tego klonowania na normalnych kartach płatniczych ze względu na obawy o posądzenie o kradzież i by nie iść siedzieć.

      Co do Pogromców Mitów to polecam ten film. Chcieli zrobić program o RFID, ale … http://www.youtube.com/watch?v=PLEl3w35qzo

      Jeśli chodzi o wartość transakcji, że jest mało. No i co z tego, że 50pln to mało. To jest twoje 50pln i dlaczego masz je stracić przez wmuszenie przez bank zbliżeniówki i wykręcenie się od odpowiedzialności przez bank regulaminem (który przecież sami tworzą!!!). To zwykłe złodziejstwo. Dodatkowo jeśli przestępcy “ustrzelą” ciebie tylko raz to czy będzie ci się chciało chodzić i dzwonić po bankach by ci łaskawie oddali te 50 pln? A jak często sprawdzasz wyciągi z banku i ile czasu pamiętasz czy płaciłeś w akurat tym sklepie?

      Ja swoją kartę unieszkodliwiłem dziurkaczem i jestem z tego bardzo zadowolony.

      Mbank (w którym mam kartę Visa i której kończyła się ważność) dzwonił do mnie namolnie, bym odnowił kartę. Jako, że nie mieli w swojej ofercie kart bez funkcji zbliżeniowych i bez możliwości zejścia z limitem do 0pln, olałem ich ofertę. Nie podpisywałem, żadnych nowych umów z nimi. Sami przysłali mi nową kartę bez funkcji zbliżeniowych :)

    • Sorry za odkop, ale mały sztywny plecak lub mała walizeczka (w środku wszystko co niezbędne, aku, antena, czytnik, minikomputer np Rpi + BT), do zarządzania w ręku uskomplikowane i podejrzane urządzenie postaci telefonu komunikujace sięz ukrytym sprzętem przez BT… i jaki widzicie problem ze skanowaniem i z anteną i z profesjonalnym czytnikiem… hę?

  16. Niezłe jaja:/ zastanawiam się teraz poważnie nad sensem karty zbliżeniowej. Chociaż i tak podchodzę zawsze z ostrożnością do takich wynalazków – moja karta zbliżeniowa nie jest powiązana z kontem oszczędnościowym, ani kontem gdzie mam większość środków. etc.

    • sens karty zbliżeniowej ma duży wymiar finansowy, dzięki bramkom wiedzą że jesteś w danym centrum handlowym, że weszedłeś do danego sklepu, mogą wysyłać reklamy na monitorach sklepowych skierowane pod Ciebie , lub gromadzić i sprzedawać dane by lepszy profil utworzyć w trapwire

  17. Hmm, pomijam, że już trzeci news na bardzo podobny temat. Ale tak na marginesie jest to coś w stylu złodziej może w autobusie rozciąć Ci torebkę i wyjąć portfel czy bezpiecznie jest być kobietą?

    • No nie do konca to samo bo wtedy zlodziej moze ukrasc tylko tyle kasy ile masz w torebce a w przypadku kradziezy karty z paypassem to moze ci wyczyscic cale konto i jeszcze zejsc na duzy debet przy pomocy transakcji offline…

      Malo kto nosi w torebce caly zapas swojego konta.

    • lol

  18. Atak jest upierdliwy. Wyobraźcie sobie że gość podchodzi do kasy, chce płacić i co? Czeka na drugiego aż ten namierzy kogoś z kartą w trajtku? Albo w drugą stronę – koleś stoi przy innym i czeka aż tamten dojdzie w kolejce do płacenia?

    Tak jak kolega wcześniej napisał – atak możliwy, tylko po co kombinować dla 50zł? Chyba tylko dla sportu. Ale to już lepiej przeprogramować tagi produktów w hipermarkecie i kupić coś taniej.

    Ja tam używam zbliżeniówki na codzień. Cenię sobię brak potrzeby wpisywania PINu – przecież paranoicznie myśląc ktoś może podejrzeć ten pin, albo shackowanym terminalem z keyloggerem go odczytać, a potem mi dać za rogiem w łeb i wypłacić więcej niż 50PLN. Ciekawe jakby to rozważyć to by nie wyszło ze zbliżeniówka poprawia bezpieczeństwo :) Do tego cenie sobię czas wykonania płatności. Smieszy mnie wkładanie karty w folie, albo cięcie anteny (sic!). Tak robią nerdy i większość z tego wyrośnie :)

    • to nie wiesz że złodzieje wyszukują swoje ofiary? Wystarczy
      że zauważy kogoś kto płaci za bilet kartą zbliżeniową i będzie
      wiedzieć już kto ma i gdzie trzyma …

    • W 100% zgadzam się z tym postem. Atak faktycznie jest technicznie możliwy, ale raczej niewygodny w realizacji.

    • Odnośnie fragmentu: “Wyobraźcie sobie że gość podchodzi do kasy, chce płacić i co? Czeka na drugiego aż ten namierzy kogoś z kartą w trajtku? Albo w drugą stronę – koleś stoi przy innym i czeka aż tamten dojdzie w kolejce do płacenia?”

      A wyobraź sobie – że płacisz nie zbliżeniowo bo kwota pwyżej 50zł, Krysia kasjerka chwyta w swe zwinne paluszki twą bogatą w elektronikę kartę, przejżdża paskiem (bo po co mimo ze masz Chipa, inaczej) i kładzie kartę stroną podpisaną do siebie, obok terminala, aby sprawdzić ewentualny podpis (lub na potwierdzenie, że znasz poprawny PIN), potwierdza transakcję i oddaje Ci kartę. Chowasz ją do portfela i wychodzisz niczego nie świadom, że właśnie straciłeś załóżmy tylko te 50zł z jednej transakcji zbliżeniowej. Jak? Przecież kartę miałeś na widoku, Krysia wykonała tylko jedną transakcję, sam widziałeś!

      Kto i jakie zauważył zagrożenia w tej sytuacji? Sytuacji jakich dziesiatki, a pewnie i setki dziennie zdażają się na każdej kasie i są przecież “normalnym” zachowaniem!

      Sorry za odkop, ale nie mogłem się powstrzymać … :P

      :P czekam na ewentualne odpowiedzi…

  19. Znam Bożydara – porządny chłopak! Nigdy by tak nie zrobił!

    • Boże jest wporzo ;-)

  20. istnieje produkt polskiej firmy, który zabezpiecza karty zbliżeniowe przed niechcianym zczytaniem. sam mam taką w porfelu i uważam za bardzo fajną opcję. przydaje się również w metrze – jeśli masz w portfelu kartę miejską i płatniczą z paypasem – metro odczytywało mi wcześniej dwie i pisało nieprawidłowa karta. odkąd mam to zabezpiecznie metro widzi tylko 1 kartę (miejską)

    • Są już nawet portfele z zabezpieczeniem przed odczytaniem
      karty ;]
      http://www.smartcardfocus.com/shop/ilp/id~249/RFID_Blocking_Leather_Wallet/p/index.shtml

    • Nawet na aukcjach internetowych są dostępne proste etui ochronne, zabezpieczające przed nieautoryzowanym sczytywaniem takich kart. Do tego koszt takiej “zabawki” często-gęsto jest mniejszy niż 10 zł.

    • Karty zbliżeniowe powstały byś mógł zapłacić bez szukania i wyciągania z torebki … a teraz będziesz korzystać jak ze zwykłej płatniczej

  21. Alior Sync ma w planach możliwość deaktywacji PayPass lub zmiany limitów, niestety konsultant, z którym rozmawiałem nie podał konkretnej daty. Za to potwierdził, że bank nie będzie miał pretensji, jeżeli przewiercę sobie antenę NFC.

  22. @ macieju, możesz napisać co do za produkt ? ja
    kategorycznie nie chciałem zbliżeniowej karty, ale bank nie
    pozostawił mi wyboru, gdyż nie ma opcji na wybór bez bez
    zbliżaka.

  23. Stonek 2013.02.25 12:30 | # | @krokodyl a technicznie, to
    jak skorzystać z tej nowej “funkcjonalności” oferowanej przez
    mBank? Mbank koduje chip na karcie i nie mozna uzyc transakcji
    zblizeniowej ani w trybie offline ani w trybie online – wiec chyba
    jest to bezpieczne? Tylko PIN pozostaje. Alior sync ma wprowadzic
    karty bez zblizeniowek – info z infolinii.

  24. Dostrzegacie tylko negatywne strony tego “feature” ;)

    Zauważcie że może taki atak nam się przydać w momencie gdy zapomielismy zabrać karty płatniczej z drugiego końca polski – dzwonimy do żony, prosimy o odpalenie NFCProxy i najnormalniej w świecie płacimy swoją kartą.

    Drugi aspekt jest taki ze nikt nie ukradnie nam karty którą trzymamy w bezpiecznym miejscu w domu, ani nie odczyta jej niepowołana osoba (aczkolwiek żona to raczej niezbyt godna zaufania osoba do pilnowania finansów męża xd :)

  25. Tunelowanie jest teoretycznie możliwe, nawet czasem
    praktycznie wykonywalne ;) Jak już tu pisano – problem będzie z
    synchronizacją Zdzicha i Rycha (ups… Zygfryda i Bożydara). Jak
    dla mnie za dużo zabawy. Do poważniejszego “fraudu” (błeee ! jak ja
    nienawidzę tego słowa) wystarczy zbliżeniowa prepaidówka – większy
    ROI, mniejsze ryzyko – żadnego ocieractwa w metrze czy autobusie,
    wszystko czysto i sterylnie ;) BTW – wchodził ktoś na link “API
    Mastercardu”. Browar dla tego, kto zorientuje się co jest nie tak
    ;)

  26. Drogi autorze, ale ktoś już wpadł na pomysł aktywacji chipu
    NFC przed transakcją – na karcie jest pole stykowe, na którym
    trzeba trzymać palec (czyli proste zamknięcie obwodu), by chip był
    aktywny. Niestety nie pamiętam skąd ta informacja pochodzi oraz czy
    to tylko “koncept”, czy już fizyczna realizacja pomysłu miała
    miejsce.

  27. Ja jak ostatnio chciałem zapłacić kartą zbliżeniową to po
    przyłożeniu do czytnika, na ekranie przez kilka sekund wyświetliło
    się “transakcja zaakceptowana” a potem kasa się wyłączyła. Po
    sprawdzeniu stanu konta stwierdziłem, że nie ubyła mi ani złotówka.
    Ot takie zakupy za darmo :)

    • Zakupy wykonane karta zbliżeniową są księgowane z kilkudniowym opóźnieniem.

    • @Michał Dlatego banki wprowadziły coś takiego jak blokady na karcie modyfikujące kwotę dostępne środki.

  28. A czy nie wystarczy po prostu sprawić sobie “czystą” kartę
    zbliżeniową dziającą na tej samej częstotliwości co karta
    płatnicza? W moim ulubionym hostelu dostaję takową jako karta-klucz
    do drzwi do pokoju i “przez portfel” nie działa bo interferuje z
    moją kartą płatniczą. Jak działa w tą stronę to i może w
    drugą…

  29. Jutro jadę do Anglii i będę musiał tam niestety skorzystać z bankomatów i płacić polską kartą. Powiedzcie mi, które bankomaty i które punkty usługowe, sklepy, itp. stosują autoryzację offline? Są w Anglii jakieś bankomaty wypłacające pieniądze dzięki funkcji zbliżeniowej?

    • Dość “niebezpieczny” pomysł z zapytaniem w miejscu, w którym w ogóle mogą Ci nie odpowiedzieć na dzień przed.

  30. to jakie są timeouty terminala? większe niż pingi po 3G między zatłoczonym sklepem i zatłoczonym autobusem w ruchu? to trzeba je zmniejszyć – jak karta nie odpowie w żądanym czasie – zakładana jest blokada.

    • Z badań wynika, że opóźnienia do 35 sekund (sic!) są przez terminal akceptowalne. Jedną z rad dla producentów terminali jest właśnie zmniejszenie czasu timeoutów lub próba location awareness (Mifare Plus AFAIR to ma, nie wiem czy działa i czy ktoś z tego korzysta ;)

    • @Piko: a możesz przytoczyć źródło tych informacji? Nawet jeśli, to piszesz tu chyba o komunikacji z siecią płatniczą a nie pomiędzy kartą i czytnikiem. Po wtóre: nawet jeśli terminal jest tak skopany, to sieć płatnicza na pewno rzuci timeout dla transakcji, dla której nie ma informacji przez tak długi okres czasu.

    • @D3LLF: “In the case of the POS reader the allowable attack time was up 35000 ms and for the passport system reader the allowable attack time was up 5200 ms”. Practical Relay Attack on Contactless Transactions by Using NFC Mobile Phones, Lishoy Francis et al.

  31. Wystarczy zmienić bank. Zrezygnowałem jakiś czas temu z usług mbanku bo nie oferowali kart “bez anten”, a w aliorbanku jeszcze są :)

  32. “lub zastanowienia się, czy warto ryzykować bycie posiadaczem karty zbliżeniowej”

    Czy autor mógłby w uprzejmości swojej napisać, które jeszcze banki dają w tej kwestii wybór? Bo coraz częściej mam wrażenie, że na karty zbliżeniowe jesteśmy po prostu skazani.

  33. w deutschebank nie ma zbliżeniówek, przynajmniej ja nie mam

    • Witam,

      1) w DB PBC są zbliżeniówki i to wypukłe nawet ;)
      2) ja mam ubezpieczenie w banku i do 150 EUR bank odpowiada z tytułu tego ubezpieczenia, a powyżej 150 EUR bank odpowiada z racji ustawy. Płacę zbliżeniowo kartami i telefonem od początku :)

      Pozdrawiam!

  34. Bezpieczeństwo tych kart jest trochę śmieszne. Przecież każdy może wpisać na allegro “Duplikator Kart” zakupić owy czytnik i duplikować karty..

    • Kartę zbliżeniową nie jest wcale tak łatwo sklonować – są liczniki transakcji i CVV3 – a to oznacza, że mamy możliwość wykonania tylko 1 transakcji i dodatkowo musimy wykonać ją szybciej niż właściciel (bo karta zostanie zablokowana) – a i tu transakcja z reguły idzie nie zbliżeniowo a np. via pasek, korzystając z dobrodziejstw tzw. kompatybilności wstecznej… Opisywaliśmy to w poście https://niebezpiecznik.pl/post/ataki-na-zblizeniowe-karty-kredytowe-rfid/

  35. Jak zwykle Piotr szuka dziury w całym…Przecież to super funkcja do „przelewów”. Mogę bratu zdalnie „pożyczyć” swoją kartę, gdy nie ma przy sobie środków bez wad tradycyjnej karty, gdzie do czegoś takiego musiałbym ujawnić mu swój PIN i inne dane, które mógłby wykorzystać X razy. Tutaj bratu wyślę dane RAZ i tylko RAZ zrobi zakupy. Na słowo uwierzę mu, że zrobił zakupy za dopuszczalną kwotę (obiad w McDonaldzie/lek na astmę), a i tak za jakiś czas potwierdzę to na wyciągach.
    Fantastyczne!

    • #pomyslnastartap ;)

    • It’s not a bug; it’s an undocumented feature!

      Pójdźmy dalej… Płacenie w sklepie internetowym w ten sposób. W przypadku phishingu stracisz maksymalnie 50zł – na tyle dane autoryzacyjne mu pozwolą. Jeżeli merchant pobierze inną kwotę (na serwerze proxy nie można zweryfikować kwoty?) to problem jak przy tradycyjnej karcie. Ale przynajmniej twoja karta (numer karty, CVV, data ważności) nie będzie przez tydzień wisieć jako oferta sprzedaży i nie zrobi się 50 transakcji za 500zł.

      Pojawia się problem subskrypcji i 1-Click ordering, ale to kwestia zmian systemowych, a nie zmiana kart.

      Ludzie muszą się tylko przestać ekshibicjonować z falami elektromagnetycznymi swoich kart. Stare karty także nie są odporne na ekshibicjonizm ( https://niebezpiecznik.pl/post/zdjecia-kart-kredytowych-prosto-z-twittera/ ) fal elektromagnetycznych ( http://pl.wikipedia.org/wiki/%C5%9Awiat%C5%82o ) właścicieli. Różni się to tylko długością i przenikliwością…

  36. Że nie opłaca się dla 50zł robić takiego numeru?
    Ja teraz tylko czekam na informację że “hakerzy” postawili serwer łączący tysiące złodziei w sklepach z tysiącami złodziei w autobusach!
    Prowizja za zeskanowanie karty: 10zł, “rabat” dla kupującego: 20zł, 20zł od transakcji dla operatorów serwera.

    To co, za rok? Pół roku? A może już pierwszy rusza?

  37. Niestety ciężko jest dostać kartę bez pp czy pw, wszystkie banki już je mają (a te które nie mają, lada moment będą mieć). Banki biorą odpowiedzialność za transakcję nieuprawnione dopiero od kwoty 150euro czyli 600zł. Można za parę zł miesięcznie dokupić ubezpieczenie do karty lub korzystać z takich banków jak Pekao SA w którym mamy ubezpieczoną każdą złotówkę :)

    • Dobra usługa to powiadamianie SMS o transakcji – mam kartę Polbank T-Mobile i wiem o każdej płatności w sekundy po jej przeprowadzeniu.

      PS. Tak się zacząłem zastanawiać – czy w przypadku off-line też bym dostał SMS – na logikę – nie- w każdym razie – nie od razu. Ktoś zna jakiś terminal w W-wie z płatnościami off-line?

    • @dink
      Dziwne, u mnie większość transakcji chodzi offline w Warszawie. Też korzystam z powiadomień i w 2/3 przypadków transakcje idą bez autoryzacji z banku i bez smsa (i to bez znaczenia czy chip czy paypass akurat). Tylko dzisiaj miałem już 2 transakcje i bank jeszcze ich nie widzi.

    • @dink
      W Żabce zrób zakupy :)
      Możba w tej sieci kupować nie posiadając środków na rachunku (zbliżeniowo), bodajże do 20 PLN, na rachunku powstaje nieautoryzowany debet.

  38. Mój bank zmusił mnie do zmiany zwykłej karty na zbliżeniową. Nie spodobało mi się to, od początku węszyłem w tym ogromny potencjał dla oszustów. Teraz moje obawy się potwierdzają. Dzięki za patent z folią.

  39. Jesli mam gotowke to ten sposób tez na nią działa ? Zniknie mi ?

  40. O takim ataku myslalem juz pare lat temu… atak relay ale w kontekscie biletow zblizeniowych komunikacji miejskiej.

    Z tego co sie zorientowalem prostym zabezpieczeniem przed tego typu atakiem (prawdopodobnie wdrozonym tu i owdzie) jest po prostu krotkie okno na odpowiedz.
    Informacja podrozuje z predkoscia c. jesli damy jej wylacznie czas na przebycie malej odleglosci + przetwarzanie to nawet analogowy atak relay moze sie nie udac (mowie o takim gdzie sygnal nie jest kodowany a wylacznie przesylany radiowo, na przyklad – zalozmy ze to mozliwie – modulujac nosna wyzszej czestotliwosci) a co dopiero atak z przesylaniem przez GPRS (ile opoznien po drodze przez stosy protokolow w w gore i w dol kilkakrotnie).

    co do transportu publicznego, inne metody obrony
    – teoretycznie operator moglby wykryc zbyt szybkie przemieszczanie sie pasazera gdyby
    informacje o uzyciu splywaly na biezaco badz wylaczac bilet po analizie danych o uzyciu
    biletu po zebraniu danych wieczorem kiedy tabor znajduje sie w zajezdni

    – w bardziej zlozonym rozwiazaniu baza mogla by automatycznie dobierac bilet w zaleznosci od lokalizacji uzytkownika pirata itd…

  41. Już wkrótce w Alior Sync będzie można mieć kartę bez funkcji płatności zbliżeniowych. Konto w pełni darmowe. Informacja potwierdzona u konsultanta.

  42. A propos wkładu wlasnego w wysokości 150 Euro.

    “To chyba najbardziej denerwuje ludzi – żądania od klienta wkładu własnego w wysokości równowartości 150 euro. Michał Skowronek potwierdza to, co pisałem już wielokrotnie, broniąc technologii zbliżeniowej: “W przypadku zgubienia karty przez klienta, jest on chroniony przez Ustawę o elektronicznych instrumentach płatniczych. Mówi ona, że bank ma obowiązek autentykacji transakcji i przeprowadzenie autoryzacji nie jest wystarczającym zabezpieczeniem”. A zatem jeszcze raz: jeśli bank pisze, odrzucając reklamację, że karta została okazana przy terminalu, to jeszcze nic nie znaczy!
    Ze słownika: “autentykacja to weryfikacja użytkownika”, a “autoryzacja – potwierdzenie uprawnień i ich zakresu już zautentykowanego użytkownika”. Szef polskiego MasterCarda potwierdza: “Bank, rezygnując z zabezpieczenia transakcji PIN-em, automatycznie przejmuje ryzyko na siebie. To samo mówią reguły organizacji MasterCard. ”

    http://samcik.blox.pl/2013/02/Kradzieze-z-kart-zblizeniowych-mozliwe-dlatego-ze.html

  43. Jeden z bezpieczniejszych banków do Kredyt Bank. Nie
    posiada kart zbliżeniowych. Bankowość internetowa może nieco
    archaiczna ale solidnie zabezpieczona.

    • Czyli od 4 stycznia 2013 jesteś klientem BZ WBK a ten z kolei jest własnością Santandera (nie wiadomo, kiedy bardzo kosztowny rebranding zielonego BZ WBK na czerwony Santander). Wiadomo za to, że do końca 2013 Kredyt Bank zniknie, ponieważ wchłonie go BZ WBK (ten proces już trwa a KB nadal istnieje jako brand, natomiast już nie jest oddzielnym bankiem http://www.kredytbank.pl/o_banku/o_banku.html) i obawiam się, że wtedy token do e-banku zniknie, bo w BZ WBK Digipass w BZ WBK zaniknął już dawno temu (praktycznie niedługo po zmianie właściciela).

  44. Moduł nfc można wyłączyć z menu telefonu, do tego aktywuje sie go osobnym programem wiec jeżeli przez roztargnienie ktoś nie zapomni go wyłączyć taka forma płatności będzie najbezpieczniejsza .

  45. Jak już wspomniano wcale nie jest trudno portfela przed tym zabezpieczyć. Proponuję kilkukrotnie złożoną folię aluminiową. Aby sprawdzić czy jesteśmy bezpieczni wystarczy przebadać go ze wszystkich stron telefonem z dostępną i włączoną funkcją nfc.

    A samą ideę karty zbliżeniowej uważam za dobrą, rzeczywiście dużo czasu zaoszczędzamy w ten sposób, a ponadto przy transakcji na 10 zł nie podajemy pinu, który może być wykorzystany do całkowitego oczyszczenia nam konta.

  46. Po co się męczyć ze zbliżeniowymi skoro można (przypadkiem) trafić na coś takiego:

    http://www.modernwar.pl/media/kunena/attachments/3810/zakupSteam.jpg

    Zdjęcie prosto z poradnika w którym autor wspomina, że są to jego dane (sic!) i prosi, aby je koniecznie zmienić…

    • @foxbond
      Wybacz ale to ściema
      Primo – bank nie wydaje kart na 5 lat (2018)
      Secundo – cyfry kontrolne karty sie nie zgadzają (wygladają jak AMEX ale nim nie są min. ze względu na inna ilość cyfr)

    • oh, u dont say?

  47. Niestety w moim wypadku z planów Zygfryda i Bożydara nic nie wyjdzie ponieważ jeżdżę autem i nie zapraszam do środka nieznajomych…

    • Planujesz też zamieszkać w jaskini i nigdy więcej nie spotykać innych ludzi?

  48. Nie prościej zrezygnować na co dzień z noszenia karty debetowe lub kredytowej, na rzecz karty przedpłaconej czyli prepaid? Wiele prepaid nie posiada funkcji płatności zbliżeniowej i nie pozwalają też nabić debetu. Uważam że prepaid to obecnie najbezpieczniejsza forma płatności, chociaż nie tak wygodna jak pozostałe karty. Jednak ma to sens jeśli weźmiemy pod uwagę niewielkie kwoty którymi na co dzień obracamy, powiedzmy do kilkuset złotych. Zasilenie karty kwotą 1k PLN, powinno w zupełności wystarczyć. Osobiście nie potrzebuję mieć możliwości wydania np. 2k PLN w dowolnej chwili, bo takie zakupy planuje wcześniej, a nie ad hoc.

  49. Pamiętam, że proceder na dokładnie takiej samej zasadzie (tunelowanie), z tym, że duuuużo prościej (bo w “analogu”), uprawiali porywacze aut – wystarczyło znać częstotliwości, na jakich nadaje “keyless-key” oraz na jakich nadaje autko – to da się zrobić w miarę prosto.
    Co prawda niektóre autka zaczynają jęczeć, że kluczyka niet (np. suzuki pozwalają na jazdę do 20kmh), ale po otwarciu jest przecież zdeaktywowany alarm, więc można spokojnie otworzyć maskę i podmienić sterownik na odpowienio spreparowany, co generalnie jest wykonalne w czasie poniżej minuty.

  50. http://eprint.iacr.org/2010/228.pdf

  51. Dla 50 PLN oglądanie monitoringu? Ale jak już, to są
    jeszcze IMEI i triangulacja, jeśli telefony niejednorazowe ;) Macie
    przepisy na zrootowanie i zmianę IMEI pod androidem?

  52. Bożydar i Zygfrryd imiona rodem z Krzyżaków Sienkiewicza :P

  53. Wystarczy e-leash i trochę mózgu.

  54. “Najsensowniejszym zabezpieczeniem będzie schowanie karty w klatce Faraday’a (folii aluminiowej) albo fizyczne uszkodzenie anteny — tak jak to opisaliśmy w tym poście (uwaga, przecięcie zwojów nie “zabija” anteny, a jedynie sprawia, że jest ona mniej wydajna).”

    Antena jest indukcyjna, więc IMO jej przerwanie powoduje całkowity paraliż.
    https://pl.wikipedia.org/wiki/Karta_zbli%C5%BCeniowa

  55. żadne wylączniki i klatki nie pomoga jeśli karta zgubiona albo skradziona. Ustawienie w banku limitów na 0 też nic nie da bo transakcje są offline i pos z bankim się nie komunikuje ponieważ takie transakcje są tańsze dla banków a przez to dla akceptantów.

  56. Dlaczego “pogromcy mitów” nie zrobią programu o RFID?
    Jak ktoś nie widział:
    http://www.youtube.com/watch?v=PLEl3w35qzo

    • ponoć wszystko rozbiło się o nazwę programu – Discovery nie chciało się ośmieszać..
      w 2013 mają robić nową serię pod (na razie roboczym) tytułem `Potwierdzacze faktów oczywistych` – RFIDy są planowane na odcinek pilotowy.

  57. Informacyjnie w Citibank można wyłączyć funkcje zbliżeniowe na karcie przez infolinie.

  58. HA! NFC proxy jest zabezpieczeniem przed samym sobą ;) Od dziś zostawiam swoją kartę NFC w domu ze starym telefonem a sam proxuję swoją kartę kiedy zajdzie potrzeba !

  59. a ja mam takie pytanie z trochę innej beczki. Szczerze mówiąc nie znam się na tych elektronicznych “bajerach”, ale zastanawia mnie jedna rzecz, jeśli coś ma w sobie to musi mieć jakieś źródło zasilania. więc skoro karty mają w sobie rfid i inne badziewia z chipem włącznie, to jak jest możliwe bezdotykowe pobranie jakiś informacji z tej karty. wiem że np. kartę pamięci można podpiąć pod czytnik i on wszystko z czyta bo będzie miała z nim bezpośredni kontakt, styki się zetkną, nastąpi przepływ prądu, a za tym informacji. No ale jak to działa w przypadku kart zbliżeniowych? co energia elektryczna jest cudownie przesyłana do karty ? czy jednak posiada ona jakieś źródło zasilania? jeśli posiada, to jak jest ono ładowane?

    • Są zasilane z czytnika kart, można powiedzieć że działa to jak transformator (taki bardzo ogólny model zasilania karty bezstykowej). Dzięki temu, że karta zużywa bardzo mało energii jest to możliwe.

    • Zasilanie odbywa się przez antenę i indukcję elektromagnetyczną. Jak zbliżasz kartę do czytnika ten emituje fale elektromagnetyczne i ładowany jest kondensator wewnątrz chipa. Następnie nadawana jest “odpowiedź” karty. Dużo nie trzeba do zasilania takiego chipa. Dlatego skutecznym sposobem na deaktywację karty jest przerwanie obwodu anteny.

  60. A propos tłoku w autobusie i szukaniu klienta” z kartą NFC, to przypomniał mi się fajny dowcip:
    Pewna staruszka została okradziona w autobusie przez młodego, przystojnego mężczyznę. Zginęły pieniądze, które trzymała w podwiązce pod spódnicą. Na posterunku Policji składa zeznania:
    – Babciu, to babcia nie widziała i nie czuła, jak on po nie sięgał? – pyta zdziwiony policjant.
    – Oczywiście, że widziałam i czułam, ale myślałam, że to w uczciwych zamiarach!”

  61. Ostatnio tankowałem paliwo na stacji automatycznej. Tam również można płacić zbliżeniowo. To dużo lepsze miejsce do oczekiwania w pogotowiu, aż wspólnik znajdzie odpowiednią ofiarę, niż kolejka do kasy w supermarkecie, przede wszystkim przez wzgląd na brak obsługi. To tak dla niedowiarków.

  62. Gdy kupiłem etui IDBlock myślałem, że przesadzam z paranoją, a jednak nie… i to już kolejne problemy z kartami bezstykowymi.
    Czekam na możliwość płacenia danymi biometrycznymi od Hitachi, tak jak w banku BPH można potwierdzać swoją tożsamość. Takie czytniki są częste w Japonii np. w automatach z napojami np.
    http://www.shifteast.com/finger-pulse-vending-machine-e-money-at-your-fingertips/

    Choć jeszcze lepsze i zdecydowanie bardziej higieniczne są czytniki biometryczne bezdotykowe Fujitu’s PalmSecure technology: http://www.youtube.com/watch?v=UxX2LGogvBU

    • Te czytniki wykrywają czy ręka jest “żywa”? Bo ja, szczerze mówiąc, wolałbym jednak stracić kartę, niż dłoń. ;)

    • Czytniki od Hitachi jak najbardziej wykrywają czy w ręce płynie krew (nie, nie ma możliwości sztucznego tłoczenia krwi do odciętej dłoni, bo układ krwinek po odcięciu dłoni natychmiast się zmienia nieodwracalnie), natomiast nie jestem pewien co do tych czytników od Fujitsu, ale bez przesady tylko na filmach tak po prostu odcinają komuś dłoń i chowają do torby by niezauważeni przez nikogo wyciągnąć ją i zbliżyć do czytników…

  63. Pozdrawiam Wszystkich! Pozdrawiam wszystkich cytatem sławnego dziennikarze: najwięcej do powiedzienia mają Ci, co nic nie wiedzą….

    • to ich wyprowadz z bledu bo zdajesz sie wiedziec wiecej niz inni . czekamy ;]

  64. W ten sam sposób kradną auta otwierane i odpalane na kartę
    zbliżeniową(np. nowe Renaulty)…

  65. Gdybym nazywał się Zygfryd albo Bożydar, kradłbym do oporu gdzie się da (w zemście za to, że takie imię dostałem).

    • A co mają powiedzieć Alice i Bob? :(

  66. Snują się teorie. Przemawia do mnie fakt, że złodzieje mogą nie chcieć się bawić w takie kradzieże, ale z drugiej strony istnieje grono tzw. hobbystów złodziei, którzy mogą spróbować bawić się w ten sposób. Poza tym, zauważmy, że złodzieje często szukają alternatywnych sposobów kradzieży chociażby po to, aby nie dać się łatwo namierzyć (organy ścigania są wyczulone na pewne powtarzające się oszustwa, a tutaj mamy zupełnie nowy sposób kradzieży). Dlatego ja tam owinąłem swoją kartę w etui ekranujące i nikt nie ma dostępu do mojej karty póki nie wyjmę go z etui. Polecam poszukać na allegro.

  67. […] okradzionym. Regularnie pojawiają się opisy kolejnych skutecznych scenariuszy ataku (najnowszy przykład), tak że problem dotarł już nawet do uszu zwykłych ludzi, a nie tylko tych interesujących się […]

  68. http://stackoverflow.com/questions/9648224/reading-visa-paywave-credit-card-details-via-nfc-on-android

    Niestety, ale już w marcu 2012 pojawiły się pierwsze apki…

  69. Nie tylko karty płatnicze są podatne … to samo dotyczy samochodów otwieranych na kartę … tunel zestawiasz i gotowe :)
    Auto otwarte, złodziej kradnie pozostawione rzeczy , a ty niczego sobie siedzisz w kawiarni popijając kawkę.

    • Prawdopodobnie jest to teoretycznie możliwe (o ile system zabezpieczeń nie wymaga wysłania odpowiedzi w ściśle określonym czasie), ale wymaga innego droższego sprzętu, a nie tylko dwóch smartfonów.

  70. hmmm…

  71. Na onecie pojawił się news:
    http://technowinki.onet.pl/biznes/biznes-w-sieci/masz-karte-zblizeniowa-okradna-cie-nawet-nie-zauwa,1,5438612,artykul.html
    Który pochodzi stąd:
    http://www.chip.pl/news/wydarzenia/prawo-i-polityka/2013/03/masz-karte-zblizeniowa-predzej-czy-pozniej-cie-okradna.-w-autobusie..
    który rzekomo pochodzi z Lizard Mobile… Ale! w środę konto Lizard Mobile na fb zamieściło link do newsa z interii:
    http://biznes.interia.pl/finanse-osobiste/news/za-czyje-zakupy-placimy-w-autobusie-karta-zblizeniowa,1899101
    Tekst z onetu i z interii jest taki sam ;) Pytanie – jak wg newsa na chip.pl źródłem mogło być Lizard Mobile, skoro LM dopiero 6go marca wrzuciło artykuł (z linkiem do interii :D ) do sieci? ;) Ot, intryga godna dobrego kryminału ;)

  72. Warto zauważyć, że istnieją sobie biletomaty http://kolejeslaskie.com/pl/pages/76/biletomaty-kolei-slaskich gdzie nie ma obsługi i czekanie na kumpla nie będzie problemem. Przy zwrocie biletu (w kasie) dostaje się zapewne gotówkę. Bilet nie może być wykorzystany, musi być świeży, więc optymalnie to kupić i iść zwrócić ;)

  73. Czyli mój metalowy, stalowy, z polerowanej stali futerał na karty zabezpiecza mnie przed takim działaniem?

    Uff.

  74. […] działają tylko na pewne typy kart (niekoniecznie wydawanych przez polskie banki) ale ten — atak przedłużenia terminala — działa na wszystkie karty zbliżeniowe. Co prawda organizacje płatnicze twierdzą, że […]

  75. […] Uwaga! Opisaliśmy także uniwersalny atak na zbliżeniowe karty kredytowe! […]

  76. Z tego co wiem to banki podchodzą do reklamacji takich
    transakcji tak że klient jest raczej zadowolony.

  77. Powiem tak: dremelek, wiertło 3mm i mocna lampa, żeby zlokalizować chip na karcie ;)

  78. można zmniejszyć limit transakcji zbliżeniowych kartami Visa np.PKO BP w Polsce ze 150zł na 0zł dziennie ale poza granicami Kraju obowiązuje limit ustalony w tymże Kraju

  79. […] niebezpieczeństwie korzystania z kart zbliżeniowych pisaliśmy już wiele. Nawet bardzo wiele. Poniżej kolejny przykład, tym razem z życia wzięty. Nie było żadnych […]

  80. […] O innych “problemach” kart zbliżeniowych przeczytacie w naszych poprzednich artykułach dotyczących tej technologii. Polecamy zwłaszcza opis uniwersalnego ataku na karty zbliżeniowe. […]

  81. […] wykorzystać ponownie do uwierzytelnienia transakcji terminalu płatniczym (zupełnie jak przy atakach na karty zbliżeniowe)? W każdym razie, jak pokazuje aktywność przestępców na podziemnych forach, fałszowanie karty […]

  82. Ja już coś piszecie, to do końca. Zgodnie z prawem, klient odpowiada do kwoty 150 EURO, powyżej wchodzi odpowiedzialność wystawcy karty.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: