Mutt
Professional
- Messages
- 1,056
- Reaction score
- 643
- Points
- 113
Несмотря на демонстрации, показывающие, что это возможно, задокументированные случаи мошенничества с кредитными картами RFID неизвестны. Как известно специалистам по безопасности, существует огромная пропасть между потенциальным преступлением и реальным преступлением.
Я уже писал ранее об отсутствии преступлений с использованием RFID-кредитных карт, по крайней мере, как это продвигается всеми поставщиками, продающими продукты для защиты от RFID. Я один из немногих, кто постоянно говорит, что покупка кошельков, рукавов и т.п. с блокировкой RFID - пустая трата времени и денег. Я часто говорил, что не могу найти ни одного задокументированного случая преступления с использованием RFID кредитной карты. Каждый раз, когда я пишу об этом, я получаю массу гневных писем от продавцов этих продуктов, а также людей, которые «просто знают», что они стали жертвами преступлений с использованием RFID-карт.
«Жертвы», которые пишут мне, всегда говорят о загадочном человеке, который ведет себя странно, который прошел мимо с видимым устройством, которое, как они твердо считали, считывало RFID, и вскоре после этого на их кредитной карте было списано мошенническое списание. Я всегда отвечаю, что «ощущение» того, что произошло мошенничество с RFID, не является доказательством реального преступления, и что я до сих пор, после многих лет поисков, не нашел ни одного правоохранительного органа или документа, свидетельствующего о преступлении с использованием RFID кредитных карт.
Последняя партия электронных писем содержала два более убедительных «доказательства» RFID-преступлений, к которым я раньше не обращался.
RFID улики автомобильного преступления
Доказательством номер один стало видео, на котором воры угнали Mercedes-Benz . Хотя видео не показывает никаких доказательств кражи или того, как это произошло, в сопроводительных или упомянутых новостях действительно утверждается, что автомобиль был украден по беспроводной сети. Многие модели Mercedes-Benz используют беспроводную технологию RFID, которая теоретически может быть использована для угона автомобиля.
Я несколько раз обращался в Mercedes-Benz, чтобы подтвердить, действительно ли тот тип RFID-преступления, о котором идет речь в видео, произошел или мог произойти, но после нескольких запросов в течение двух недель они не ответили. Я также не смог найти никаких ресурсов правоохранительных органов, чтобы поговорить со мной об этом конкретном преступлении или о любых других возможных преступлениях, связанных с использованием RFID автомобилей.
С учетом вышесказанного, я считаю, что преступление, связанное с использованием RFID-технологий, вполне возможно. В прошлом большинство производителей автомобилей не использовали хорошие практики программирования жизненного цикла разработки безопасности (SDL). Я знаю, что многие автомобильные операционные системы и системы беспроводного запуска полны ошибок безопасности. Хотя я не знаю подробностей автомобильного преступления на видео или другого предполагаемого преступления с использованием беспроводных автомобилей, я знаю достаточно, чтобы полагать, что автомобильное преступление с RFID-меткой наиболее вероятно произошло.
Я должен верить, что любой производитель автомобилей, использующий сегодня любой критически важный беспроводной сигнал, теперь практикует SDL и защищает беспроводные сигналы от перехвата и подделки. Я знаю многих самых умных хакеров в мире, которые сейчас работают в автомобильных компаниях и являются частью команд, чья работа заключается в предотвращении преступлений, связанных с цифровыми технологиями, с помощью продуктов их работодателей. Преступления с использованием RFID автомобилей могут быть возможны с использованием более старых моделей, но я думаю, что легкие «повторные» преступления, о которых сообщается сегодня, скоро уйдут в прошлое, если они еще этого не сделали.
Отчет Великобритании о бесконтактном мошенничестве
Другой читатель уведомлений прислал мне ссылку на официальный финансовый отчет правительства Великобритании, в котором утверждается, что очень небольшой процент преступлений с использованием RFID-карт (т. Е. Бесконтактных карт) происходит в реальном мире. О преступлениях, связанных с RFID, говорится:
«Бесконтактное мошенничество распространяется как на бесконтактные карты, так и на мобильные устройства. Мошенничество с бесконтактными картами и устройствами остается на низком уровне: убытки в 2016 году составили 6,9 млн фунтов стерлингов, по сравнению с расходами в 25,2 млрд фунтов стерлингов за тот же период. Это эквивалентно 2,7 пенса на каждые 100 фунтов стерлингов, потраченных на использование бесконтактных технологий, и меньше, чем в 2015 году, когда показатель составлял 3,6 пенса на каждые 100 фунтов стерлингов. Мошенничество с бесконтактными картами и устройствами составляет всего 1,1% от общего числа случаев мошенничества с картами».
На первый взгляд, это кажется довольно убедительным доказательством мошенничества с кредитными картами RFID. Тем не менее, после многодневных поисков я не смог найти ни одного реального случая (то есть не демонстрации или заявления исследователя безопасности) мошенничества с RFID-кредитными картами.
Это очень и очень важный момент. Между потенциальным преступлением и реальным преступлением существует огромная пропасть. В компьютерном мире ежегодно публично объявляется от 5000 до 7000 уникальных уязвимостей, и, возможно, несколько сотен из них фактически используются для компрометации компьютера. Если вы защитник, вам нужно больше всего беспокоиться о вещах, которые на самом деле используются, а не столько о каждой возможности, особенно если это потенциальное преступление никогда не сообщалось как настоящее преступление.
Из отчета Великобритании следует, что я каким-то образом пропустил публичные данные о заявленных 6,9 млн фунтов стерлингов о бесконтактном мошенничестве. Я решил, что собираюсь выследить эти данные, раз и навсегда, и выяснить, было ли преступление с использованием RFID кредитной карты реальным. Я связался почти с дюжиной организаций, связанных с безопасностью кредитных карт RFID, включая VISA, Mastercard и Secure Technology Alliance. Я даже связался с создателями упомянутого выше отчета по Великобритании, что позволило мне связаться с финансовым отделом Великобритании.
Я задал всем два вопроса:
Начиная с создателей отчета из Великобритании, поскольку в нем конкретно говорилось о преступлениях с использованием бесконтактных кредитных карт, я спросил, сколько из заявленных 6,9 миллионов фунтов стерлингов бесконтактного мошенничества составили бесконтактные кредитные карты по сравнению с мобильными устройствами? К сожалению, они так и не смогли дать ответ, хотя все, с кем я разговаривал, считали, что мошенничество с мобильными устройствами и другие сценарии, не связанные с удаленным вором и считывателем RFID, были гораздо более вероятными.
Финансовый отдел Великобритании не смог мне сообщить по той причине, что британские продавцы не обязаны сообщать о преступлениях с использованием бесконтактных карт, кроме преступлений, связанных с использованием бесконтактных мобильных устройств. У финансового отдела Великобритании нет данных для разделения суммы. Кроме того, все мои попытки связаться с продавцами, которые сообщили правительству Великобритании о мошенничестве, не увенчались успехом.
Итак, я не знаю, сколько из 6,9 миллионов фунтов стерлингов бесконтактного мошенничества составили бесконтактные карты по сравнению с мобильными устройствами, и помогло ли использование RFID-защиты. Я не смог найти никаких публичных доказательств совершения одного реального преступления с использованием бесконтактной RFID-метки, и наиболее осведомленные официальные лица, с которыми я разговаривал не для протокола, не думали, что будет какое-либо совпадение со сценарием мошенничества, который я искал.
Мейв Данн, аналитик торговой ассоциации UK Finance, ответила на мои вопросы, сказав следующее: «Размахивание картридером на улице или в поезде не могло принять оплату от прохожих, и никогда не было подтвержденного отчета об этом. когда-либо происходившее в Великобритании». Заявление Данна не исключает, что это произойдет в других связанных сценариях RFID или в других странах, но я думаю, что ответ должен заключаться в том, что преступления с использованием кредитных карт RFID, которые можно предотвратить с помощью защиты, очень редки и могут отсутствовать.
Когда я спросил нескольких экспертов по безопасности бесконтактных кредитных карт, как они думают, можно ли совершить мошенничество с использованием предложенного мной криминального сценария, все они ответили: «Нет!». Они сказали, что это технологически невозможно, и некоторые даже обвинили меня в том, что я работаю с поставщиками RFID, которые пытаются продавать продукты для защиты RFID. Я усмехнулся, потому что эти поставщики постоянно нападают на меня за то, что они отказываются от своих продуктов.
Почему преступление с использованием RFID-кредитной карты невозможно (и не является)
Несмотря на то, что они сказали, что преступление с использованием бесконтактных кредитных карт в предложенном мною сценарии мошенничества невозможно, я попытался объяснить, почему. Информация, которая передается по беспроводной сети с RFID-карты, очень ограничена и не содержит достаточно информации для продавца (или устройства, или услуги) в соответствии с его лицензионным соглашением, чтобы позволить совершить мошенничество. Это непростое заявление, поэтому позвольте мне объяснить подробнее.
Чтобы поверить в то, что происходит преступление с использованием кредитных карт RFID, вы должны игнорировать тот факт, что считыватели RFID могут считывать информацию RFID на расстоянии многих десятков ярдов только в идеальных условиях. Реальные условия, когда в чьем-то кошельке или кошельке находится несколько карт, заблокированных другими картами и материалами и окруженных всевозможными другими металлическими объектами (например, ключами или монетами), все это способствует тому, что карты RFID трудно читать на расстоянии. Фактически, при использовании в магазине с обычными считывающими устройствами, RFID-карты должны работать в пределах нескольких сантиметров. Часто вы не можете даже сохранить его в кошельке, чтобы сигнал достиг читателя продавца.
Предположим, что у преступного вдохновителя есть лучший считыватель RFID, а жертва одна и в основном держит свою карту перед собой, чтобы у считывателя был четкий шанс для подслушивания RFID. Предположим, преступник действительно может получить всю доступную информацию из беспроводного считывания.
Большинство кредитных карт RFID с готовностью передают номер кредитной карты и дату истечения срока действия только в том случае, если их считывает беспроводной считыватель RFID. Злоумышленник не получит имя человека, код безопасности или адрес, привязанный к кредитной карте. Это эффективно предотвращает использование информации практически на любом веб-сайте онлайн-продавца. Вы когда-нибудь могли использовать кредитную карту в Интернете без указания своего правильного имени, кода безопасности или адреса, а тем более без всех трех? Не я. Таким образом, повторное использование украденной беспроводной информации практически бесполезно.
Разве злоумышленник не может просто взять захваченную информацию, создать поддельную кредитную карту RFID и повторно использовать ее лично в магазинах так же, как используется законная карта? В случае личных транзакций продавцу все равно, как вас зовут, и он не запрашивает ваш код безопасности или адрес. Вы просто проводите картой над считывателем, и она передает ту же информацию, что и в нашей теоретической ситуации с вором. Или есть какая-то информация, отправляемая RFID-картой в рамках законной торговой транзакции, которую беспроводной считыватель воров не может легко украсть? Ответ на последний вопрос - «Да».
Если у похитителя RFID есть считыватель RFID, он получает только две части важной информации: номер кредитной карты и дату истечения срока действия. Для того, чтобы произошла действительная транзакция, устройство RFID продавца должно передать информацию авторизации, которая затем заставляет карту отвечать символьным кодом аутентификации (часть того, что называется дейтаграммой), который может быть только успешно запрошен и получен ответ. до при использовании ранее проверенного торгового устройства. Удаленный похититель RFID не может воссоздать действительную дейтаграмму с помощью простого считывающего устройства. Отсутствующий компонент создается путем сопряжения карты RFID и законного устройства продавца.
Разве вор не может использовать действительное торговое устройство?
Возникает вопрос: не могут ли похитители RFID, использующие простой считыватель RFID, использовать законное торговое устройство для транзакций RFID? Да, но вам придется проигнорировать ряд важных факторов, включая предыдущее предположение о том, насколько близко вор должен быть к карте. Помните, что коммерческие ридеры подходят только для нескольких сантиметров. Предположим, вор либо находится очень близко к карте жертвы, либо имеет возможность выполнять долгое чтение (возможно, специализированное преступное устройство).
Торговые автоматы имеют идентификационные номера. Если вор успешно получил карту жертвы для участия в фиктивной транзакции, владелец карты в конечном итоге сообщит о мошеннической транзакции продавцу своей карты, который сможет идентифицировать вовлеченное торговое устройство. Не каждый может купить и использовать торговое устройство. Они должны подать заявку на получение одного. Документы должны быть проверены и подписаны, а для проведения транзакций у продавца должен быть действующий надежный подтвержденный банковский счет.
Кроме того, из соображений безопасности, RFID-транзакции ограничиваются довольно небольшими суммами, от 20 до 50 долларов США или около того, в зависимости от сети кредитных карт. Преступнику RFID придется потратиться на получение законного торгового устройства (которое само по себе стоит денег) и предоставить действительный банковский счет, на который продавец кредитной карты может легко отменить платежи. После совершения всего нескольких мошеннических, дешевых транзакций вор будет отключен от использования этой машины, если не всего его торгового счета.
Преступление с использованием RFID-кредитной карты либо невозможно, либо не многое из этого можно сделать до того, как преступная деятельность вдохновителя закончится. Не будем забывать, что преступник может купить обычную информацию о кредитной карте, чтобы украсть тысячи долларов с гораздо меньшим риском в течение длительного периода времени за несколько долларов за карту. Это еще одна причина, по которой преступление с использованием RFID-карт практически невозможно, а тем более не очень выгодно с точки зрения риска. Это очень маловероятно, даже если бы это было возможно.
Ах, но преступление RFID было успешно продемонстрировано
Я наткнулся на старую интернет-историю о преступлениях с использованием бесконтактных кредитных карт RFID. В 2015 году исследователи безопасности смогли по беспроводной связи украсть информацию о кредитных картах RFID (например, номера счетов и даты истечения срока действия) с закрытых, открытых карт и повторно использовать их для покупки товаров на крупную долларовую стоимость у онлайн-продавцов.
Это доказательство того, что это возможно. Это требует, чтобы онлайн-продавец нарушил свое торговое соглашение и не проводил базовую проверку на предмет мошенничества (требуя действительное имя, адрес и код безопасности). Поставщики, не выполняющие правильную проверку, снимают сообщения о мошенничестве с их собственных банковских счетов. Я должен думать, что эти онлайн-продавцы либо недобросовестны и намереваются использоваться в качестве криминального ограждения, либо они не будут работать очень долго, когда продавцы кредитных карт отследят мошеннические транзакции до их плохой проверки.
Тем не менее, это не свидетельство реального преступления.
Преступление с использованием RFID кредитной карты возможно только тогда, когда ...
Чтобы беспокоиться о преступлениях с кредитными картами RFID, вы должны предположить невероятную способность удаленного считывателя RFID в реальных ситуациях и онлайн-продавцов, буквально не имеющих базовой проверки кредитной карты, или преступников, которые хотят купить законные торговые устройства и пройти длительный процесс авторизации, и предоставить реальный банковский счет, чтобы фиксировать несколько транзакций с низким уровнем доллара до того, как они будут отключены.
Как написал мне Рэнди Вандерхоф, исполнительный директор Secure Technology Alliance и директор Платежного форума США: "Потребители должны прислушиваться к своим надежным финансовым учреждениям, банкам и платежным брендам и верить им, когда они говорят своим клиентам, что бесконтактные платежные карты безопасный."
Даже если мы предположим, что все преступления RFID на сумму 6,9 млн фунтов стерлингов, о которых говорится в финансовом отчете Великобритании за 2016 год, были совершены с использованием кредитных карт, а не мобильных устройств, это означает, что преступления RFID по-прежнему составляют, в лучшем случае, 1,1 процента от общего числа мошенничества с кредитными картами, и эта цифра сокращается. Если вас беспокоит потенциальный уровень преступности в 1,1% при использовании кредитных карт без RFID, которые ответственны за 98,9% мошенничества с кредитными картами, разве вы не сосредотачиваетесь на неправильной угрозе? Зачем использовать кредитную карту? Насколько я могу судить, если вы беспокоитесь о мошенничестве с кредитными картами, для вас будет примерно в 90 раз безопаснее (и даже безопаснее) использовать только кредитные карты RFID. Вы не должны убегать или даже беспокоиться о кредитных картах RFID, вы должны принять их.
Автор: Roger A. Grimes
Я уже писал ранее об отсутствии преступлений с использованием RFID-кредитных карт, по крайней мере, как это продвигается всеми поставщиками, продающими продукты для защиты от RFID. Я один из немногих, кто постоянно говорит, что покупка кошельков, рукавов и т.п. с блокировкой RFID - пустая трата времени и денег. Я часто говорил, что не могу найти ни одного задокументированного случая преступления с использованием RFID кредитной карты. Каждый раз, когда я пишу об этом, я получаю массу гневных писем от продавцов этих продуктов, а также людей, которые «просто знают», что они стали жертвами преступлений с использованием RFID-карт.
«Жертвы», которые пишут мне, всегда говорят о загадочном человеке, который ведет себя странно, который прошел мимо с видимым устройством, которое, как они твердо считали, считывало RFID, и вскоре после этого на их кредитной карте было списано мошенническое списание. Я всегда отвечаю, что «ощущение» того, что произошло мошенничество с RFID, не является доказательством реального преступления, и что я до сих пор, после многих лет поисков, не нашел ни одного правоохранительного органа или документа, свидетельствующего о преступлении с использованием RFID кредитных карт.
Последняя партия электронных писем содержала два более убедительных «доказательства» RFID-преступлений, к которым я раньше не обращался.
RFID улики автомобильного преступления
Доказательством номер один стало видео, на котором воры угнали Mercedes-Benz . Хотя видео не показывает никаких доказательств кражи или того, как это произошло, в сопроводительных или упомянутых новостях действительно утверждается, что автомобиль был украден по беспроводной сети. Многие модели Mercedes-Benz используют беспроводную технологию RFID, которая теоретически может быть использована для угона автомобиля.
Я несколько раз обращался в Mercedes-Benz, чтобы подтвердить, действительно ли тот тип RFID-преступления, о котором идет речь в видео, произошел или мог произойти, но после нескольких запросов в течение двух недель они не ответили. Я также не смог найти никаких ресурсов правоохранительных органов, чтобы поговорить со мной об этом конкретном преступлении или о любых других возможных преступлениях, связанных с использованием RFID автомобилей.
С учетом вышесказанного, я считаю, что преступление, связанное с использованием RFID-технологий, вполне возможно. В прошлом большинство производителей автомобилей не использовали хорошие практики программирования жизненного цикла разработки безопасности (SDL). Я знаю, что многие автомобильные операционные системы и системы беспроводного запуска полны ошибок безопасности. Хотя я не знаю подробностей автомобильного преступления на видео или другого предполагаемого преступления с использованием беспроводных автомобилей, я знаю достаточно, чтобы полагать, что автомобильное преступление с RFID-меткой наиболее вероятно произошло.
Я должен верить, что любой производитель автомобилей, использующий сегодня любой критически важный беспроводной сигнал, теперь практикует SDL и защищает беспроводные сигналы от перехвата и подделки. Я знаю многих самых умных хакеров в мире, которые сейчас работают в автомобильных компаниях и являются частью команд, чья работа заключается в предотвращении преступлений, связанных с цифровыми технологиями, с помощью продуктов их работодателей. Преступления с использованием RFID автомобилей могут быть возможны с использованием более старых моделей, но я думаю, что легкие «повторные» преступления, о которых сообщается сегодня, скоро уйдут в прошлое, если они еще этого не сделали.
Отчет Великобритании о бесконтактном мошенничестве
Другой читатель уведомлений прислал мне ссылку на официальный финансовый отчет правительства Великобритании, в котором утверждается, что очень небольшой процент преступлений с использованием RFID-карт (т. Е. Бесконтактных карт) происходит в реальном мире. О преступлениях, связанных с RFID, говорится:
«Бесконтактное мошенничество распространяется как на бесконтактные карты, так и на мобильные устройства. Мошенничество с бесконтактными картами и устройствами остается на низком уровне: убытки в 2016 году составили 6,9 млн фунтов стерлингов, по сравнению с расходами в 25,2 млрд фунтов стерлингов за тот же период. Это эквивалентно 2,7 пенса на каждые 100 фунтов стерлингов, потраченных на использование бесконтактных технологий, и меньше, чем в 2015 году, когда показатель составлял 3,6 пенса на каждые 100 фунтов стерлингов. Мошенничество с бесконтактными картами и устройствами составляет всего 1,1% от общего числа случаев мошенничества с картами».
На первый взгляд, это кажется довольно убедительным доказательством мошенничества с кредитными картами RFID. Тем не менее, после многодневных поисков я не смог найти ни одного реального случая (то есть не демонстрации или заявления исследователя безопасности) мошенничества с RFID-кредитными картами.
Это очень и очень важный момент. Между потенциальным преступлением и реальным преступлением существует огромная пропасть. В компьютерном мире ежегодно публично объявляется от 5000 до 7000 уникальных уязвимостей, и, возможно, несколько сотен из них фактически используются для компрометации компьютера. Если вы защитник, вам нужно больше всего беспокоиться о вещах, которые на самом деле используются, а не столько о каждой возможности, особенно если это потенциальное преступление никогда не сообщалось как настоящее преступление.
Из отчета Великобритании следует, что я каким-то образом пропустил публичные данные о заявленных 6,9 млн фунтов стерлингов о бесконтактном мошенничестве. Я решил, что собираюсь выследить эти данные, раз и навсегда, и выяснить, было ли преступление с использованием RFID кредитной карты реальным. Я связался почти с дюжиной организаций, связанных с безопасностью кредитных карт RFID, включая VISA, Mastercard и Secure Technology Alliance. Я даже связался с создателями упомянутого выше отчета по Великобритании, что позволило мне связаться с финансовым отделом Великобритании.
Я задал всем два вопроса:
- Возможно ли совершение мошенничества с бесконтактными кредитными картами с использованием RFID в сценарии, когда удаленный вор по беспроводной сети считывает информацию с RFID-карты жертвы, а затем успешно совершает мошенничество, используя эту информацию?
- Есть ли хоть один пример преступления с использованием бесконтактной кредитной карты RFID, совершенного в реальном мире, связанный с тем же сценарием, когда защита RFID могла бы предотвратить это?
Начиная с создателей отчета из Великобритании, поскольку в нем конкретно говорилось о преступлениях с использованием бесконтактных кредитных карт, я спросил, сколько из заявленных 6,9 миллионов фунтов стерлингов бесконтактного мошенничества составили бесконтактные кредитные карты по сравнению с мобильными устройствами? К сожалению, они так и не смогли дать ответ, хотя все, с кем я разговаривал, считали, что мошенничество с мобильными устройствами и другие сценарии, не связанные с удаленным вором и считывателем RFID, были гораздо более вероятными.
Финансовый отдел Великобритании не смог мне сообщить по той причине, что британские продавцы не обязаны сообщать о преступлениях с использованием бесконтактных карт, кроме преступлений, связанных с использованием бесконтактных мобильных устройств. У финансового отдела Великобритании нет данных для разделения суммы. Кроме того, все мои попытки связаться с продавцами, которые сообщили правительству Великобритании о мошенничестве, не увенчались успехом.
Итак, я не знаю, сколько из 6,9 миллионов фунтов стерлингов бесконтактного мошенничества составили бесконтактные карты по сравнению с мобильными устройствами, и помогло ли использование RFID-защиты. Я не смог найти никаких публичных доказательств совершения одного реального преступления с использованием бесконтактной RFID-метки, и наиболее осведомленные официальные лица, с которыми я разговаривал не для протокола, не думали, что будет какое-либо совпадение со сценарием мошенничества, который я искал.
Мейв Данн, аналитик торговой ассоциации UK Finance, ответила на мои вопросы, сказав следующее: «Размахивание картридером на улице или в поезде не могло принять оплату от прохожих, и никогда не было подтвержденного отчета об этом. когда-либо происходившее в Великобритании». Заявление Данна не исключает, что это произойдет в других связанных сценариях RFID или в других странах, но я думаю, что ответ должен заключаться в том, что преступления с использованием кредитных карт RFID, которые можно предотвратить с помощью защиты, очень редки и могут отсутствовать.
Когда я спросил нескольких экспертов по безопасности бесконтактных кредитных карт, как они думают, можно ли совершить мошенничество с использованием предложенного мной криминального сценария, все они ответили: «Нет!». Они сказали, что это технологически невозможно, и некоторые даже обвинили меня в том, что я работаю с поставщиками RFID, которые пытаются продавать продукты для защиты RFID. Я усмехнулся, потому что эти поставщики постоянно нападают на меня за то, что они отказываются от своих продуктов.
Почему преступление с использованием RFID-кредитной карты невозможно (и не является)
Несмотря на то, что они сказали, что преступление с использованием бесконтактных кредитных карт в предложенном мною сценарии мошенничества невозможно, я попытался объяснить, почему. Информация, которая передается по беспроводной сети с RFID-карты, очень ограничена и не содержит достаточно информации для продавца (или устройства, или услуги) в соответствии с его лицензионным соглашением, чтобы позволить совершить мошенничество. Это непростое заявление, поэтому позвольте мне объяснить подробнее.
Чтобы поверить в то, что происходит преступление с использованием кредитных карт RFID, вы должны игнорировать тот факт, что считыватели RFID могут считывать информацию RFID на расстоянии многих десятков ярдов только в идеальных условиях. Реальные условия, когда в чьем-то кошельке или кошельке находится несколько карт, заблокированных другими картами и материалами и окруженных всевозможными другими металлическими объектами (например, ключами или монетами), все это способствует тому, что карты RFID трудно читать на расстоянии. Фактически, при использовании в магазине с обычными считывающими устройствами, RFID-карты должны работать в пределах нескольких сантиметров. Часто вы не можете даже сохранить его в кошельке, чтобы сигнал достиг читателя продавца.
Предположим, что у преступного вдохновителя есть лучший считыватель RFID, а жертва одна и в основном держит свою карту перед собой, чтобы у считывателя был четкий шанс для подслушивания RFID. Предположим, преступник действительно может получить всю доступную информацию из беспроводного считывания.
Большинство кредитных карт RFID с готовностью передают номер кредитной карты и дату истечения срока действия только в том случае, если их считывает беспроводной считыватель RFID. Злоумышленник не получит имя человека, код безопасности или адрес, привязанный к кредитной карте. Это эффективно предотвращает использование информации практически на любом веб-сайте онлайн-продавца. Вы когда-нибудь могли использовать кредитную карту в Интернете без указания своего правильного имени, кода безопасности или адреса, а тем более без всех трех? Не я. Таким образом, повторное использование украденной беспроводной информации практически бесполезно.
Разве злоумышленник не может просто взять захваченную информацию, создать поддельную кредитную карту RFID и повторно использовать ее лично в магазинах так же, как используется законная карта? В случае личных транзакций продавцу все равно, как вас зовут, и он не запрашивает ваш код безопасности или адрес. Вы просто проводите картой над считывателем, и она передает ту же информацию, что и в нашей теоретической ситуации с вором. Или есть какая-то информация, отправляемая RFID-картой в рамках законной торговой транзакции, которую беспроводной считыватель воров не может легко украсть? Ответ на последний вопрос - «Да».
Если у похитителя RFID есть считыватель RFID, он получает только две части важной информации: номер кредитной карты и дату истечения срока действия. Для того, чтобы произошла действительная транзакция, устройство RFID продавца должно передать информацию авторизации, которая затем заставляет карту отвечать символьным кодом аутентификации (часть того, что называется дейтаграммой), который может быть только успешно запрошен и получен ответ. до при использовании ранее проверенного торгового устройства. Удаленный похититель RFID не может воссоздать действительную дейтаграмму с помощью простого считывающего устройства. Отсутствующий компонент создается путем сопряжения карты RFID и законного устройства продавца.
Разве вор не может использовать действительное торговое устройство?
Возникает вопрос: не могут ли похитители RFID, использующие простой считыватель RFID, использовать законное торговое устройство для транзакций RFID? Да, но вам придется проигнорировать ряд важных факторов, включая предыдущее предположение о том, насколько близко вор должен быть к карте. Помните, что коммерческие ридеры подходят только для нескольких сантиметров. Предположим, вор либо находится очень близко к карте жертвы, либо имеет возможность выполнять долгое чтение (возможно, специализированное преступное устройство).
Торговые автоматы имеют идентификационные номера. Если вор успешно получил карту жертвы для участия в фиктивной транзакции, владелец карты в конечном итоге сообщит о мошеннической транзакции продавцу своей карты, который сможет идентифицировать вовлеченное торговое устройство. Не каждый может купить и использовать торговое устройство. Они должны подать заявку на получение одного. Документы должны быть проверены и подписаны, а для проведения транзакций у продавца должен быть действующий надежный подтвержденный банковский счет.
Кроме того, из соображений безопасности, RFID-транзакции ограничиваются довольно небольшими суммами, от 20 до 50 долларов США или около того, в зависимости от сети кредитных карт. Преступнику RFID придется потратиться на получение законного торгового устройства (которое само по себе стоит денег) и предоставить действительный банковский счет, на который продавец кредитной карты может легко отменить платежи. После совершения всего нескольких мошеннических, дешевых транзакций вор будет отключен от использования этой машины, если не всего его торгового счета.
Преступление с использованием RFID-кредитной карты либо невозможно, либо не многое из этого можно сделать до того, как преступная деятельность вдохновителя закончится. Не будем забывать, что преступник может купить обычную информацию о кредитной карте, чтобы украсть тысячи долларов с гораздо меньшим риском в течение длительного периода времени за несколько долларов за карту. Это еще одна причина, по которой преступление с использованием RFID-карт практически невозможно, а тем более не очень выгодно с точки зрения риска. Это очень маловероятно, даже если бы это было возможно.
Ах, но преступление RFID было успешно продемонстрировано
Я наткнулся на старую интернет-историю о преступлениях с использованием бесконтактных кредитных карт RFID. В 2015 году исследователи безопасности смогли по беспроводной связи украсть информацию о кредитных картах RFID (например, номера счетов и даты истечения срока действия) с закрытых, открытых карт и повторно использовать их для покупки товаров на крупную долларовую стоимость у онлайн-продавцов.
Это доказательство того, что это возможно. Это требует, чтобы онлайн-продавец нарушил свое торговое соглашение и не проводил базовую проверку на предмет мошенничества (требуя действительное имя, адрес и код безопасности). Поставщики, не выполняющие правильную проверку, снимают сообщения о мошенничестве с их собственных банковских счетов. Я должен думать, что эти онлайн-продавцы либо недобросовестны и намереваются использоваться в качестве криминального ограждения, либо они не будут работать очень долго, когда продавцы кредитных карт отследят мошеннические транзакции до их плохой проверки.
Тем не менее, это не свидетельство реального преступления.
Преступление с использованием RFID кредитной карты возможно только тогда, когда ...
Чтобы беспокоиться о преступлениях с кредитными картами RFID, вы должны предположить невероятную способность удаленного считывателя RFID в реальных ситуациях и онлайн-продавцов, буквально не имеющих базовой проверки кредитной карты, или преступников, которые хотят купить законные торговые устройства и пройти длительный процесс авторизации, и предоставить реальный банковский счет, чтобы фиксировать несколько транзакций с низким уровнем доллара до того, как они будут отключены.
Как написал мне Рэнди Вандерхоф, исполнительный директор Secure Technology Alliance и директор Платежного форума США: "Потребители должны прислушиваться к своим надежным финансовым учреждениям, банкам и платежным брендам и верить им, когда они говорят своим клиентам, что бесконтактные платежные карты безопасный."
Даже если мы предположим, что все преступления RFID на сумму 6,9 млн фунтов стерлингов, о которых говорится в финансовом отчете Великобритании за 2016 год, были совершены с использованием кредитных карт, а не мобильных устройств, это означает, что преступления RFID по-прежнему составляют, в лучшем случае, 1,1 процента от общего числа мошенничества с кредитными картами, и эта цифра сокращается. Если вас беспокоит потенциальный уровень преступности в 1,1% при использовании кредитных карт без RFID, которые ответственны за 98,9% мошенничества с кредитными картами, разве вы не сосредотачиваетесь на неправильной угрозе? Зачем использовать кредитную карту? Насколько я могу судить, если вы беспокоитесь о мошенничестве с кредитными картами, для вас будет примерно в 90 раз безопаснее (и даже безопаснее) использовать только кредитные карты RFID. Вы не должны убегать или даже беспокоиться о кредитных картах RFID, вы должны принять их.
Автор: Roger A. Grimes
