Дистанционный съём информации с RFID-карточки

На конференции Shmoocon, которая прошла в Вашингтоне в минувший уикенд (27-29 января) известный специалист по безопасности Кристин Пейджет (Kristin Paget) провела демонстрацию дистанционного считывания информации с банковской карты, оснащённой радиочипом RFID. Нынешняя демонстрация показала, что надёжной защиты безопасности для чипов RFID до сих пор не появилось.

Для дистанционного считывания номера карты, срока действия и CVV номера использовался кард-ридер Vivotech (стоимость $50) и намагничивающее устройство (стоимость $300). Комплект для взлома обошелся в $350, он позволяет считать и записать данные на чистую карту.

Во время демонстрации Пейджет пригласила на сцену добровольца, который не вынимал из кармана кошелёк с карточкой. Считывание данных и намагничивание новой карточки заняло пару минут, после чего Пейджет достала iPhone с модулем Square, который позволяет принимать платежи, и перевела $15 на свой счёт, используя только что сделанный клон карточки.

По данным Smart Card Association, сейчас в обращении находится около 100 млн таких бесконтактных карт. Соответствующая технология у компании Visa называется payWave, у MasterCard — PayPass, у Discover — Zip, а у American Express — ExpressPay. Все они одинаково уязвимы для съёма данных.

В данном случае хакерский RFID кард-ридер ничем не отличается от легального терминала торговой точки. Самое сложное в такой атаке — приблизить кард-ридер на максимально близкое расстояние к кошельку с карточкой. В принципе, физический контакт даже необязателен, достаточно максимально близко приблизиться к жертве.

По мнению Пейджет, все это означает только то, что кардеру нужно посетить оживлённое место, где за один вечер можно набрать множество «одноразовых» карт.После этого записать данные, перевести деньги по подконтрольный счет и снять их максимально анонимно.