Sovita - Hackerek megtanulták, hogy távolról olvasni információk érintésmentes kártya
Hackerek megtanulták, hogy távolról olvasni információk érintésmentes kártya
A hacker konferencián Shmoocon biztonsági Kristin Paget szakértő cég rekurzió Ventures tartott egy bemutatót távleolvasására bizalmas információk bankkártyával, felszerelt radiochipom RFID. Tény, hogy már évek óta beszélnek a biztonsági rés az érintésmentes kártyák öt, de a jelenlegi demonstrációs azt mutatta, hogy a megbízható védelmet nyújt biztonságot még nem jelent meg. Információt olvasni a kártyát használni olcsó berendezés a teljes költség egy pár száz dollárt.
A távoli olvasó a kártya számát, lejárati dátumát és CVV nonce használt Vivotech kártya olvasó, amely megvásárolható az eBay-en 50 $. Ezután egy mágnesezési eszköz értéke $ 300, ezeket az adatokat fel lehet írni az üres kártya, jelentések xakep.ru.
A bemutató során, Paget meghívott a színpadon egy önkéntes, aki nem húzott ki a zsebéből egy pénztárca a kártyát. Az adatok olvasását, és a mágnesezettség az új kártyák eltarthat pár percig, majd elővette a iPhone Paget tér modul, amely lehetővé teszi, hogy elfogadja kifizetések és át $ 15 fiókjába, csak a kártyákat, hogy tett-klón. Úgy, hogy senki nem volt kétséges a valóságnak fókusz, Paget megmutatta a klónozott kártyákat a nagy képernyőn a színpadon.
Ebben az esetben a hacker RFID kártyaolvasó nem különbözik a jogi point of sale terminál. A legnehezebb része az ilyen támadás -, hogy a kártyaolvasó a lehető legközelebb a pénztárca a kártya. A gyakorlatban ez lehet tenni egy zsúfolt közlekedés vagy a sorban, elrejtve a zsebében, és „véletlenül” ütközött a kártyatulajdonos. Elvileg még a fizikai kontaktust nem szükséges, elegendő, hogy a megközelítés a lehető legközelebb az áldozat.
Ez a támadás - nem valami egy biztonsági rést, de egy alapvető hibája a fizetési rendszer, ami speciálisan a lehető legegyszerűbb használni. A jelenlegi verzió a RFID-kártya technológia nem vezeték nélkül továbbítja a felhasználó nevét, a PIN-kódot, és három számjegyű állandó CVV. Képviselői fizetési rendszerek azt mondják, hogy hat év alatt nem egy dokumentált eset az ilyen típusú csalás, amely bizonyítja a megfelelő védelmet az ilyen típusú támadások, ahol a támadó nehéz fenntartani az azonosítást.
Tény, hogy az eldobható CVV lehetővé teszi, hogy végezzen egyetlen tranzakció klónozott kártyát, és ez lesz zárva, amikor megpróbálja a második ügylet.
Szerint a Paget, ez csak azt jelenti, hogy a támadó, nyüzsgő hely, ahol sok „egyszeri” kártyát, akkor tárcsázza egy éjszaka alatt. Elmondása szerint, azok a cég rekurzió Ventures most dolgozik egy speciális pénztárca Guardbunny RFID-detektor, amely jelzi a kísérletet, hogy átvizsgálja - A szeme egy nyúl a pénztárca könnyű, és ő mond erős hangokat. Ezen túlmenően, a pénztárca lesz proaktív védelmet nyújt a pásztázó helyett hatékony alumínium tömítés, amely most varrt pénztárcák és amely nem menti egy erős szkennert.
Megoldás Palo Alto Networks csapdák nyújt fokozott védelmet biztosít a munkaállomások, amely megakadályozza, hogy kifinomult támadásokat hasznosítja, amelyek kihasználják a biztonsági réseket, és támadások egy korábban ismeretlen rosszindulatú kódok
A sok lehetőség az átalakulás digitális üzleti, jelentős beruházást igényel, a Gartner azonosította a top 10 módon, hogy finanszírozza az áttérés a digitális üzlet.