Кредитные карты с чип-и-пин-кодами очень распространены в Великобритании, и они также растут в США — их обычно считают более удобными и более безопасными, чем давно используемые американские карты подписи. Тем не менее, группа исследователей из Университета Ньюкасла недавно провела несколько тревожных экспериментов, которые беспокоили некоторых держателей карт с чип-и-PIN-кодом. Пришло время узнать факты и защитить себя.
Бесконтактная технология Chip-And-PIN
Чтобы быть более точным, карты, которые подвергаются риску те, которые используют чип RFID (радиочастотная идентификация)
включить бесконтактные платежи. Это означает, что помимо небольшой микросхемы, по всей карте проходит крошечный провод; при прохождении рядом с терминалом этот провод генерирует небольшое количество электричества, передает информацию чипу и отправляет ответ обратно терминалу, авторизующему платеж. Это быстро и удобно.
В общем, это совершенно нормально. Банки и эмитенты карт обычно не требуют ПИН-кода для небольших покупок (обычно до 20 фунтов стерлингов), и все довольны. PIN-коды необходимы для крупных покупок, что снижает вероятность мошенничества. Существует также ограничение на офлайновые транзакции — те, которые разрешены картой, но не обработаны банком позднее — 100 фунтов стерлингов. К сожалению, система работает не совсем так, как планировалось.
Tricking The Tech
Команда Университета Ньюкасла нашла интересный способ обойти гарантии, введенные Visa, и подробно изложила их в своем документе «Сбор ценных операций в иностранной валюте с бесконтактных кредитных карт EMV без PIN-кода». Они обнаружили, что эти меры защиты обмануты иностранными транзакций, и, как правило, позволяет терминалу взимать плату с карты, содержащей до восьми цифр, которая может составить 999 999,99 долл. США или 999 999,99 евро. Предполагается, что это должно позволять совершать иностранные сделки с валютами, требующими больших сумм, такими как японская иена, южнокорейская вона или индонезийская рупия.
К сожалению, чип на карте не знает, находится ли он в Японии, Южной Корее, Индонезии или в супермаркете в Лондоне. Он также не знает разницы между бесконтактным терминалом продавца и взломанным терминалом, который можно носить в кармане. Вы можете подумать, что было бы трудно носить взломанный терминал в кармане, но команде из Ньюкасла удалось сделать это, написав приложение для телефонов Android с поддержкой NFC. Все, что вор должен сделать, это навести карту на кошелек, если он сидит на столе, или натолкнуться на вас, чтобы телефон оказался достаточно близко к карте в вашем кармане — это очень похоже на взлом NFC.
,
Этот метод не только позволяет обойти ограничение в 20 фунтов стерлингов, но и обойти лимит автономных транзакций в 100 фунтов, что означает, что вор может быть далеко от вас, когда транзакция проходит, даже если вы получаете текстовое сообщение из своего банка. сказав, что была обнаружена подозрительная транзакция, вы не будете знать, где находились, когда вор ударил вас.
Авторы статьи говорят, что если бы кто-то воспользовался этим недостатком системы, он, вероятно, не смог бы получить $ 999 999,99, поскольку это вызвало бы другие тревоги в банке (если, конечно, вы не один из тех людей, которые регулярно тратят более миллиона долларов на свою кредитную карту). Даже если им удастся получить 50 фунтов с каждого человека, с которым они столкнутся, это может привести к огромной сумме денег. Сколько людей вы регулярно сталкиваетесь на метро или прогуливаетесь по многолюдной главной улице?
Защищать себя
Авторы статьи рекомендуют несколько разных действий, которые Visa должна предпринять, чтобы защитить своих клиентов от подобных атак, например, всегда требуется PIN-код или онлайн-проверка перед обработкой транзакции в иностранной валюте. Visa ответила на это исследование, сказав, что у них есть другие меры предосторожности и что это не будет проблемой (но мы слышали подобные вещи раньше). Пока Visa не исправит ошибки, неплохо бы защитить себя.
Самый простой способ избежать этой проблемы — самый простой: не использовать бесконтактные карты. Если ваш банк предлагает вам выбор, просто выберите бесконтактный вариант. Довольно просто Вы также можете попросить банк запретить платежи в иностранной валюте на вашей карте, если вы не часто путешествуете. Если вы выберете любой из этих вариантов, вам не придется беспокоиться вообще.
Вы также можете использовать кошелек для блокировки сигналов, например, кошельки для блокировки RFID, о которых мы говорили в прошлом году.
, Существует много разногласий по поводу того, действительно ли эти кошельки действительно эффективны и нужны ли они, но использование одного из них определенно не сделает вас более уязвимым для такого рода атак. Существует множество вариантов, от стильных кожаных кошельков до прочных поликарбонатных чехлов, которые можно использовать для блокировки сигналов. Некоторые люди просто заворачивают свои карточки в фольгу, хотя, опять же, эффективность этого была поставлена под сомнение. Некоторые люди даже рекомендуют использовать алтоиды.
Независимо от того, говорит ли Visa правду об их других мерах защиты, улавливающих такую атаку, и действительно ли кошельки, блокирующие RFID, действительно выполняют свою работу, важно осознавать потенциальные угрозы, подобные этой. Бесконтактные карты действительно полезны, но их не было в большом количестве все это время, поэтому нам все еще нужно немного времени, чтобы выяснить их все.
Что вы думаете об этой угрозе? Вы беспокоитесь о безопасности ваших бесконтактных карт? Вы используете бесконтактную карту или RFID-блокирующий кошелек? Поделитесь своими мыслями ниже!
Изображение предоставлено: кредитные карты с мелким фокусом через Shutterstock (отредактировано), Swisstack через Wikimedia Commons, вор крадет кошелек человека, идущего по улице. Карманные кражи на улице днем через Shutterstock.
