Как защитить кошелёк от RFID и NFC-мошенников, чтобы не украли деньги

|
FavoriteLoading В закладки
Как защитить кошелёк от RFID и NFC-мошенников, чтобы не украли деньги

Пользуетесь бесконтактными платежами, документами с радиочастотной меткой или используете смартфон в качестве ключа? Все данные под угрозой — но мы научим вас избегать взлома.

Бесконтактные технологии: удобно, быстро, опасно

011615_apple_nfc_payment[1]
Пластиковые карты и документы с микрочипами на основе ближней радиосвязи (NFC) или с радиочастотными метками (RFID) сегодня есть у каждого. Ими оснащаются многие кредитные и платежные карты, водительские удостоверения, идентификационные карты, паспорта, проездные билеты на метро и многое другое.

Бесконтактная форма идентификации действительно удобна — особенно если это Apple Pay или подобная платежная система. Даже прикладывать к терминалу не нужно: поднес на достаточное для связи расстояние, подтвердил платеж отпечатком пальца, платеж прошел.

Несмотря на свое удобство, обе технологии содержат много дыр безопасности, позволяющих злоумышленникам получить конфиденциальные данные. Для того, чтобы украсть данные карты, пароли со смартфона или скопировать пропуск, не нужно подходить близко.

Чем опасен RFID

71E33UdEHoL
Чипы RFID позволяют считывать данные на расстоянии до нескольких метров. Все, что нужно для связи с меткой в документах — купить готовое устройство на eBay.

Считыватели близкого радиуса действия стоят около 50 долларов, дальнего — порядка сотни. Ссылок не дам, и доставка в Россию может вызвать проблему со спецслужбами. Но цена позволяет экспериментировать даже школьнику.

После считывания у злоумышленника на руках остается полная электронная копия всей информации RFID-метки. С ее помощью можно сделать поддельную копию, либо использовать другими методами — в зависимости от типа украденного документа.

Терминалы будут воспринимать копию в качестве оригинала. Доказать обратное практически невозможно.

Чем опасен NFC

nfc_fb[1]
NFC фактически является вариацией RFID, хотя и обладает меньшей дальностью — всего несколько сантиметров. Но это — только для заводских, лицензионных устройств.

Исследователи из британского Университета Суррей смогли считать данные по NFC на расстоянии до 80 см. Испанские хакеры и вовсе научили Android-смартфоны превращаться в ретранслятор NFC-сигнала, распространяющего собственные важные данные.

Подобный подход позволяет провести платеж прямо через смартфон владельца. Но есть и другие способы.

Например, подключившись через NFC другим смартфоном или серийно выпускаемым ридером с помощью приложения Banking card reader NFC (Android) можно получить все необходимые данные карт, использованных при операциях в браузере. Далее достаточно найти магазин, позволяющий проводить оплату без ввода указания CSV-кода (а такие еще существуют).

Как защитить свои деньги и данные? Самодельные варианты

10pcs-NFC-font-b-RFID-b-font-font-b-protection-b-font-Blocking-font-b-Sleeve
Для того, чтобы полностью исключить нежелательные контакты с считывающими устройствами, программных средств может быть недостаточно (об этом — чуть позже).

Поэтому стоит обратиться к дедовским методам, и начисто отрезать излучению путь к своим деньгам картам. Идеальны для этого два материала — вода и металл.
hqdefault
Конечно в пакете с водой носить карты затруднительно. А вот кусок обычной пищевой фольги из рулона (подойдет и от шоколадки — но не из пачки от сигарет) полностью блокирует сигналов RFID и NFC.

Это наиболее эффективный и удобный способ. Достаточно обернуть карту фольгой, и доставать из нее только в момент оплаты.

Боитесь прослыть параноиком? Тогда пригодятся готовые решения.

Как защищают данные ответственные служащие?

shark-tank-signal-vault-rfid-blocking-credit-card-2-1
Многие западные компании (о российских у меня нет данных) требуют от сотрудников пользоваться специальными бумажниками и обложками для документов с соответствующим логотипом “Protected from RFID”.

Наибольший выбор аксессуаров, блокирующие RFID-сигнал, предлагает компания Identity Stronghold. Часть их ассортимента изготовлено по заказу правительства США для государственных служащих.
Silent_Pocket_V2_magnetic_seal_shielding_Highlight_with_sp_logo_cc1b6dab-3f6b-4bef-b943-63adeb2ccc87
Можно найти и более дешевый вариант — на AliExpress есть масса разнообразных чехлов для карт, бумажников с металлическими вставками. Например, такие, или такие. Можно и просто искать по тегу “NFC protected”.

На сайте BetaBrand.com можно приобрести одежду с защитой от несанкционированного доступа. Аналоги есть. К тому же, металлизированную ткань можно найти в продаже и прошить ей карманы одежды (но это уже чересчур суровый DIY).
RFID_blocking_backpack_1
Кстати, есть и защищенные от беспроводного взлома рюкзаки — например, Dash Keyboard.

Как исключить кражу данных

5ecfc70c90f7ee04508fa55e0745ce0f
Впрочем, стоит помнить, что металлический кошелек или визитница для карт не исключают возможность кражи данных карт.

1. Не включайте NFC без надобности, не держите его постоянно включенным.

2. То же касается других беспроводных интерфейсов — Bluetooth и Wi-Fi.

3. Проверяйте активность фоновых процессов, при частом обращении к сетевым интерфейсам неподходящих для этого приложений — проверьте смартфон антивирусом.

4. Не устанавливайте приложения из непроверенных источников.

5. Не теряйте и не оставляйте смартфон в людных местах — как средство доступа к данным он может принести куда большую выгоду, вернувшись в ваши руки.

FavoriteLoading В закладки
undefined
iPhones.ru
Пользуетесь бесконтактными платежами, документами с радиочастотной меткой или используете смартфон в качестве ключа? Все данные под угрозой — но мы научим вас избегать взлома. Бесконтактные технологии: удобно, быстро, опасно Пластиковые карты и документы с микрочипами на основе ближней радиосвязи (NFC) или с радиочастотными метками (RFID) сегодня есть у каждого. Ими оснащаются многие кредитные и платежные...
Прокомментировать

🙈 Комментарии 40

  1. bassist avatar
    bassist26 марта 2017
    12

    Любители ведроида – фольгу от шоколадки не выбрасывайте!

    Николай Маслов avatar
    Николай Маслов27 марта 2017
    3

    @bassist, считаете, что Apple Pay под надежной защитой?)

    6ec avatar
    6ec28 марта 2017
    1

    @Николай Маслов, за всю историю эпплпэй нет ни одного случая кражи денег. снова тут дешевая лапша для школоло

    месяца 4 не заходил на айфонс, и не надо было, вы превратились в желтую прессу..
    и да, я знаю что вы заблокируете мой каммент, чтоб только я его видел.

    CH2 avatar
    CH228 марта 2017
    0

    @6ec, я вижу твой камент

  2. Lazarus36 avatar
    Lazarus3626 марта 2017
    3

    Страшные сказки! Все застраховано! Поэтому не страшно!

    baraba6ka avatar
    baraba6ka26 марта 2017
    1

    @Lazarus36, читать условия договора с банком?!?! Зачем?

    Николай Маслов avatar
    Николай Маслов27 марта 2017
    0

    @Lazarus36, вы хотя бы раз пробовали вернуть украденные с карты деньги? НЕ дай бог еще в сбербанке?

    6ec avatar
    6ec28 марта 2017
    0

    @Николай Маслов, странный вы.. а почему банк должен их возвращать!? центробанк печатающий банковские билеты (деньги по вашему) не возвращает из при краже.

    этим занимается полиция.

    а вот в случае косяков самого банка, вощвращают и идут на всяческую поддержку вплоть до выдачи карты в ближайшем банке партнере за границей.

    надо аккуратно обращаться со своими сбережениями

  3. baraba6ka avatar
    baraba6ka26 марта 2017
    1

    Страшилки на ночь…

  4. zenya2014 avatar
    zenya201426 марта 2017
    20

    Этой страшилке уже пару лет, главный спонсор – продавцы фольги с алиэкспресс.

    Вот факты:
    1) Чтобы заиметь такой чемоданчик, нужно заключить договор с банком, оформить кучу документов, стать на учёт и вам выдадут терминал с конкретным номером – итого минус как минимум 500.000 – 1000.000 расходов.
    2) Работает терминал на расстоянии 30-50 см, т.е вы должны переобнимать полтолпы, прежде чем, что-то вам капнет.
    3) За раз снимается не более 999 рублей, более 3 транзакций по одной карте за минуту и вы в черном списке.
    4) Если хоть один из обнятых вами пожалуется в свой банк, то по номеру транзакции высветится ваш номер терминала и далее все ваши данные, т.е для полиции вы на голубом блюдечке с бантиком.

    Догадайтесь, почему до сих пор никто этим заморачиваться не стал

    rushave26 марта 2017
    2

    @zenya2014, 3) За раз снимается не более 999 рублей, более 3 транзакций по одной карте за минуту и вы в черном списке.

    По номеру 3:
    С чего это вы взяли? Лимиты за одну операцию банк не устанавливает.
    До 1000 рублей просто подпись не требуется, свыше 1000 на кассовом чеке.
    И то если отключена опция ввода пин свыше 1000 руб.

    red2121 avatar
    red212127 марта 2017
    1

    @rushave, знаток :)
    Fraud Management System (FMS) отрабатывает и не дает снимать, жди минут 15 и будет карта работать.

    rushave27 марта 2017
    0

    @red2121, дилетант :)
    ВЫ вообще это к чему?
    Фрод – система безопансти банка. И ее работа и алгоритмы стого засекреченны. И как правило она работает при использовании реквизитов карты (интернет-эквайринг и переводов С2С), а не при использовании пластика.

    svida avatar
    svida26 марта 2017
    0

    @zenya2014, так много писали, а судей текст прочитать не удосужились – не обязательно снимать сразу деньги, можно сделать слепок. а после расплачиваться им в магазинах, пока не заблокируют…
    в штатах, например, фишинговыми картами покупают подарочные сертификаты в аптеках/гипермаркетах и карточки айтюнс…это огромный бизнесс о котором все знают

    Николай Маслов avatar
    Николай Маслов26 марта 2017
    1

    @zenya2014, Потому что не сталкивались.

    Я работал с компанией, занимающейся пересылкой товаров из США. К ним по поводу покупок, купленных на краденые карты, приходили регулярно – раз в 3 дня. Раз в месяц по этому же поводу ФБР закрывали контору на перепроверку документации и т.д.

    Да, много карт уводится онлайн – но ничуть не меньше в оффлайне. Хорошо, если дело как в России – одна юрисдикция, одни законы. Но в США начинаются проблемы. Собстенно, в России их не меньше.

    Если у вас украли карту, купили с нее что-то у мелкого частника, а потом владелец отменил транзакцию – кто-то все равно остался без товара. С учетом того, что кардеров ловить не любят – денег мелкий продавец не дождется.

    baraba6ka avatar
    baraba6ka26 марта 2017
    3

    @Николай Маслов, Бред!

    Николай Маслов avatar
    Николай Маслов27 марта 2017
    1

    @baraba6ka, ну да, конечно. Мне, присутствовавшему на подобной проверке – конечно все показалось.

    Николай Маслов avatar
    Николай Маслов27 марта 2017
    0

    @zenya2014, перечитал. Вопрос – какой еще чемоданчик и договор? НА eBay готовые комплекты продают – бери и пользуйся. Расстояние – до полутора метров.

    Ну а деньги отоварить можно из далекой страны через Tor и 10 проксей. :/
    Кстати, про отоваривание – почитайте, как Pochtoy.com с кардером ругался.

  5. rushave26 марта 2017
    2

    del

  6. FiLunder_7 avatar
    FiLunder_726 марта 2017
    4

    “После считывания у злоумышленника на руках остается полная электронная копия всей информации RFID-метки.”
    Вы бы хоть прежде чем статью публиковать, почитали бы как бесконтактный банкинг работает.

    Николай Маслов avatar
    Николай Маслов26 марта 2017
    1

    @FiLunder_7, Расскажите? Больших перемен разговоры о новых технологиях не произвели.

    Ничто не защищено. Все дозволено.

    FiLunder_7 avatar
    FiLunder_726 марта 2017
    1

    @Николай Маслов, Пока искал для вас инфу, понял что это мой товарищ ввел меня в заблуждение. Так что приношу извинения. Он говорил, что в стандарте бесконтактных EMV используется DDA (Dynamic data authentication), динамический код-ответ, как и при операции с чипом. А на самом деле он пока не используется, а только планируется в следующем стандарте.

    red2121 avatar
    red212127 марта 2017
    0

    @FiLunder_7, https://habrahabr.ru/post/161401/

  7. val300 avatar
    val30026 марта 2017
    7

    После таких статей появляется острое желание забыть про этот сайт. И что обидно, происходит это все чаще. Жаль.

  8. dobriy_bober26 марта 2017
    1

    И шапочку из фольги на голову. Торсионные поля – это не шутки.

    Лавров.jpg

  9. The AGENT avatar
    The AGENT26 марта 2017
    0

    Выпустить бесконтактную карточку, а потом везде ссаться ее носить? В жопу, надежнее обычной с паролем пока не придумали…Либо АР

    Николай Маслов avatar
    Николай Маслов27 марта 2017
    0

    @The AGENT, У меня на учебе поставили турникеты с доступом по бесконтактной карте сбера. Туда еще и деньги догадались переводить. :/

    Репетитор avatar
    Репетитор27 марта 2017
    0

    @Николай Маслов, ну может хоть так соберут на ремонт класса и последний звонок.

  10. vozz avatar
    vozz26 марта 2017
    0

    Вообще нет связи с iPhone

    Николай Маслов avatar
    Николай Маслов27 марта 2017
    0

    @vozz, Apple Pay и куча обычных банковских карт – не для вас?

  11. vetok avatar
    vetok26 марта 2017
    2

    А чем включённый BT и WiFi мешает то?

    Николай Маслов avatar
    Николай Маслов27 марта 2017
    0

    @vetok, по BT можно получить доступ к NFC, по WIFI – более глубокий.

    Репетитор avatar
    Репетитор27 марта 2017
    1

    @Николай Маслов, ваши комментарии читать дико смешно, спасибо за хорошее настроение в понедельник!

    6ec avatar
    6ec28 марта 2017
    0

    более глубокий, Карл!!! более, более глубокий))))) ыыыыы)))) ой мама!!!!!

  12. lakoros27 марта 2017
    0

    Брал на Али за пару центов. Использовал не для защиты, а чтоб проездной в метро с другими картами не конфликтовал.

  13. icemanea avatar
    icemanea27 марта 2017
    2

    Такое ощущение, что статья попросту скопирована с какого-то ресурса про Андройд! Зачем это тут?

  14. Silmaril27 марта 2017
    0

    Зачем фольга? Достаточно держать карточку рядом с айфоном в одном кармане.
    К примеру если я держу карточку в одной руке с айфоном (6+) то она срабатывает только при полном контакте, а если айфон закрывает карту то и вообще сигнал не пробивает.

  15. Crash696 avatar
    Crash69628 марта 2017
    0

    У компании Викторинокс есть куча сумочек, кошельков и других сумок с защитой от сканирования.

  16. 6ec avatar
    6ec28 марта 2017
    1

    все эти сумочки и чехлы на самом деле были слеланы чтоб карты не глючили и не помирали от кривых считывателей и прочих ищлучателей.
    к примеру все подмосковные точки пополнения карт тройка умеют убивать из на раз два при пополнении. люди прикладывающие весь кошелек к турникетам в автобусе и метро тоже сталкиваются потом с мертвой картой

  17. Maximusumus avatar
    Maximusumus30 марта 2017
    0

    Автора статьи, я бы уволил! статья- любая, что бы не лил шлак!

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь