Man
Professional
- Messages
- 2,963
- Reaction score
- 486
- Points
- 83
Несмотря на демонстрации, показывающие, что это возможно, задокументированные случаи мошенничества с кредитными картами RFID неизвестны. И как знают специалисты по безопасности, существует огромная пропасть между потенциальным преступлением и реальным преступлением.
Я уже писал об отсутствии преступлений с использованием кредитных карт RFID, по крайней мере, как это пропагандируют все поставщики, продающие продукцию, защищающую от RFID. Я один из немногих, кто постоянно говорит, что покупка кошельков, чехлов и т. п., блокирующих RFID, — пустая трата времени и денег. Я часто говорил, что не могу найти ни одного задокументированного случая преступления с использованием кредитных карт RFID. Каждый раз, когда я пишу об этом, я получаю тонны гневных писем от поставщиков этих продуктов, а также от людей, которые «просто знают», что они стали жертвами преступления с использованием кредитных карт RFID.
«Жертвы», которые мне пишут, всегда говорят о таинственном человеке, ведущем себя странно, который прошел мимо с видимым устройством, которое, как они твердо уверены, было считывателем RFID, и вскоре после этого на их кредитной карте оказывается мошенническое списание. Я всегда отвечаю, что «ощущение», что произошло мошенничество с RFID, не является доказательством реального преступления, и что я до сих пор, после многих лет поисков, не нашел ни одного правоохранительного органа или документа, подтверждающего преступление с использованием кредитных карт RFID.
Последняя партия писем содержала два более весомых «доказательства» преступности с использованием RFID, о которых я раньше не упоминал.
Я несколько раз обращался в Mercedes-Benz, чтобы подтвердить, произошло ли или могло ли произойти преступление с использованием RFID, упомянутое в видео, но после многочисленных запросов в течение двух недель они не ответили. Я также не смог найти ни одного ресурса правоохранительных органов, чтобы поговорить со мной об этом конкретном преступлении или любом другом возможном преступлении, связанном с RFID-автомобилями.
С учетом сказанного, я считаю, что возможно совершение преступления, связанного с автомобилями с RFID. В прошлом большинство производителей автомобилей не использовали хорошие практики программирования жизненного цикла разработки безопасности (SDL). Я знаю, что многие автомобильные операционные системы и беспроводные системы запуска были полны ошибок безопасности. Хотя я не знаю подробностей преступления с автомобилем в видео или другого предполагаемого преступления с беспроводным автомобилем, я знаю достаточно, чтобы считать, что преступление с RFID-автомобилем, скорее всего, произошло.
Я должен верить, что любой производитель автомобилей, использующий сегодня любой критический беспроводной сигнал, теперь практикует SDL и защищает беспроводные сигналы от перехвата и подделки. Я знаю многих из самых умных этичных хакеров мира, которые сейчас работают в компаниях, связанных с автомобилями, и которые являются частью команд, чья работа заключается в предотвращении цифровой преступности в продуктах их работодателя. Преступления с использованием RFID-автомобилей могут быть возможны и со старыми моделями, но я думаю, что легкие «повторные» преступления, о которых сообщают сегодня, скоро уйдут в прошлое, если уже не ушли.
«Бесконтактное мошенничество охватывает инциденты как с бесконтактными картами, так и с мобильными устройствами. Мошенничество с бесконтактными картами и устройствами остается низким с убытками в размере 6,9 млн фунтов стерлингов в 2016 году по сравнению с расходами в размере 25,2 млрд фунтов стерлингов за тот же период. Это эквивалентно 2,7 пенса на каждые 100 фунтов стерлингов, потраченных с использованием бесконтактной технологии, и является снижением по сравнению с показателем 2015 года в 3,6 пенса на каждые 100 фунтов стерлингов. Мошенничество с бесконтактными картами и устройствами составляет всего 1,1 процента от общего числа случаев мошенничества с картами».
На первый взгляд, это кажется довольно убедительным доказательством мошенничества с кредитными картами RFID. Тем не менее, после многих дней поиска, я не смог найти ни одного примера реального мира (т. е. не демонстрации или заявления исследователя безопасности) мошенничества с кредитными картами RFID.
Это очень, очень важный момент. Существует огромная пропасть между потенциальным преступлением и реальным преступлением. В компьютерном мире в среднем ежегодно публично объявляется о 5000–7000 уникальных уязвимостях, и, возможно, несколько сотен из них фактически используются для взлома компьютера. Если вы защитник, вам нужно больше всего беспокоиться о том, что фактически эксплуатируется, а не о каждой возможности — особенно если это потенциальное преступление никогда не было заявлено как реальное преступление.
Отчет Великобритании, похоже, намекал на то, что я каким-то образом пропустил публичные данные о заявленном мошенничестве на сумму 6,9 млн фунтов стерлингов без контакта. Я решил, что собираюсь разыскать эти данные раз и навсегда и выяснить, были ли преступления с использованием кредитных карт RFID реальными. Я связался почти с дюжиной организаций, связанных с безопасностью кредитных карт RFID, включая VISA, Mastercard и Secure Technology Alliance. Я даже связался с создателями отчета Великобритании, упомянутого выше, что позволило мне связаться с финансовым подразделением Великобритании.
Я задал всем два вопроса:
Начиная с создателей отчета по Великобритании, поскольку в нем конкретно говорилось о преступлениях с бесконтактными кредитными картами, я спросил, сколько из зарегистрированных 6,9 млн фунтов стерлингов бесконтактного мошенничества было связано с бесконтактными кредитными картами, а сколько с мобильными устройствами? К сожалению, они так и не смогли дать ответ, хотя все, с кем я говорил, считали, что мошенничество с мобильными устройствами и другие сценарии, не связанные с удаленным вором со считывателем RFID, были гораздо более вероятны.
Причина, по которой британский финансовый отдел не смог мне ответить, заключается в том, что британские торговцы не обязаны сообщать о преступлениях с бесконтактными картами, за исключением преступлений с бесконтактными мобильными устройствами. У британского финансового отдела нет данных, чтобы разделить сумму. Кроме того, все мои попытки связаться с торговцами, которые сообщили правительству Великобритании о мошенничестве, не увенчались успехом.
Итак, я не знаю, сколько из 6,9 миллионов фунтов стерлингов бесконтактного мошенничества было связано с бесконтактными картами, а сколько с мобильными устройствами, или помогло ли экранирование RFID. Я не смог найти никаких публичных доказательств совершения хотя бы одного преступления с использованием бесконтактных RFID в реальном мире, и самые осведомленные должностные лица, с которыми я общался неофициально, не считали, что найдется хоть одно, соответствующее сценарию мошенничества, который я искал.
Мейв Данн, аналитик из Ассоциации торговли финансами Великобритании, ответила на мои вопросы следующим образом: «Размахивание считывателем карт на улице или в поезде не может привести к получению оплаты от прохожих, и нет ни одного подтвержденного сообщения о том, что подобное когда-либо происходило в Великобритании». Заявление Данн не исключает того, что это произойдет в других связанных сценариях RFID или в других странах, но я думаю, что ответ должен быть таким: преступления с использованием кредитных карт RFID, которые можно предотвратить путем экранирования, случаются очень редко и, возможно, не существуют.
Когда я спросил нескольких экспертов по безопасности бесконтактных кредитных карт об их мнении относительно того, можно ли совершить мошенничество, используя предложенный мной криминальный сценарий, все они сказали: «Нет!». Они сказали, что это технологически невозможно, а некоторые даже обвинили меня в том, что я работаю с поставщиками RFID, которые пытаются продать продукцию с защитой RFID. Я усмехнулся, потому что эти поставщики постоянно нападают на меня за то, что я пренебрегаю их продукцией.
Чтобы поверить в то, что преступления с использованием кредитных карт RFID происходят, вы должны игнорировать тот факт, что считыватели RFID могут считывать информацию RFID с расстояния многих десятков ярдов только в идеальных условиях. Реальные условия, когда несколько карт в чьем-то кошельке или сумочке, заблокированные другими картами и материалами и окруженные всевозможными другими металлическими предметами (например, ключами или монетами), способствуют тому, что карты RFID трудно считывать на расстоянии. Фактически, при использовании в торговом центре с обычными считывателями, карты RFID должны находиться в пределах нескольких сантиметров, чтобы работать. Часто вы даже не можете держать их в кошельке и чтобы сигнал достигал считывателя продавца.
Предположим, что у преступного гения есть лучший считыватель RFID, а жертва одна и просто держит свою карту перед собой, так что считыватель имеет четкий выстрел для подслушивания RFID. Предположим, что преступник действительно может получить всю доступную информацию с помощью беспроводного считывателя.
Большинство кредитных карт RFID легко передадут номер кредитной карты и дату истечения срока действия только в том случае, если их считывает беспроводной считыватель RFID. Злоумышленник не получит имя человека, код безопасности или адрес, прикрепленный к кредитной карте. Это эффективно предотвращает использование информации практически на любом веб-сайте онлайн-продавца. Вы когда-нибудь могли использовать кредитную карту в Интернете, не указав свое правильное имя, код безопасности или адрес, не говоря уже о том, чтобы не указать все три? Я нет. Поэтому повторное использование украденной беспроводной информации практически бесполезно.
Разве беспроводной вор не может просто взять захваченную информацию, сделать поддельную кредитную карту RFID и повторно использовать ее лично в магазинах так же, как используется настоящая карта? При личных транзакциях торговцу все равно, как ваше имя, и он не спрашивает ваш код безопасности или адрес. Вы просто проводите картой над считывателем, и он передает ту же информацию, которая была отправлена в нашей теоретической ситуации с вором. Или есть какая-то информация, отправленная картой RFID в законной торговой транзакции, которую беспроводной считыватель вора не может легко украсть? Ответ на последний вопрос: «Да».
Если у вора RFID есть считыватель RFID, он получает только две критически важные данные: номер кредитной карты и дату истечения срока действия. Для того чтобы произошла действительная транзакция, устройство RFID продавца должно передать информацию об авторизации, которая затем заставляет карту ответить кодом аутентификации на основе символов (частью того, что называется датаграммой), который может быть успешно запрошен и на который можно ответить только при использовании ранее проверенного устройства продавца. Удаленный вор RFID не может воссоздать действительную датаграмму с помощью простого считывателя. Недостающий компонент создается путем сопряжения карты RFID и законного устройства продавца.
Торговые автоматы имеют идентификационные номера. Если вор успешно получил карту жертвы для участия в фиктивной транзакции, держатель карты в конечном итоге сообщил бы о мошеннической транзакции своему поставщику карты, который смог бы идентифицировать задействованное торговое устройство. Не каждый может купить и использовать торговое устройство. Они должны подать заявку на него. Документы должны быть проверены и подписаны, а торговец должен иметь существующий, доверенный проверенный банковский счет для проведения транзакций.
Кроме того, по связанным с этим причинам безопасности, транзакции RFID ограничены довольно небольшими суммами, может быть, от 20 до 50 долларов или около того, в зависимости от сети кредитных карт. Преступнику RFID придется потратиться на получение законного торгового устройства (которое само по себе стоит денег) и предоставить действительный банковский счет, на который продавец кредитной карты может легко перевести платежи. Совершив всего несколько мошеннических дешевых транзакций, вор будет отрезан от этой машины, если не от всего своего торгового счета.
Преступление с использованием кредитных карт RFID либо невозможно, либо его можно совершить лишь в очень ограниченном объеме, пока преступный забег его вдохновителя не закончится. Не будем забывать, что преступник может купить обычную информацию о кредитных картах, чтобы украсть тысячи долларов с гораздо меньшим риском в течение более длительного периода времени за несколько долларов за карту. Это еще одна причина, по которой преступление с использованием кредитных карт RFID практически невозможно, и, более того, не слишком выгодно из-за риска. Маловероятно, что это будет сделано, даже если это и возможно.
Это доказательство того, что это можно сделать, в некотором роде. Оно требует, чтобы онлайн-продавец нарушил свое торговое соглашение и не проводил базовую проверку против мошенничества (требуя действительное имя, адрес и код безопасности). Продавцы, не выполняющие правильную проверку, снимают с своих банковских счетов информацию о мошенничестве. Я должен думать, что эти онлайн-продавцы либо недобросовестны и намерены быть использованными в качестве криминального скупщика, либо они не будут долго существовать, когда продавцы кредитных карт отследят мошеннические транзакции до их плохой проверки.
Тем не менее, это не является доказательством реального преступления.
Как написал мне Рэнди Вандерхуф, исполнительный директор Secure Technology Alliance и директор US Payments Forum: «Потребители должны прислушиваться к своим доверенным финансовым учреждениям, банкам и платежным брендам и верить им, когда они говорят своим клиентам, что бесконтактные платежные карты безопасны».
Даже если предположить, что все 6,9 млн фунтов стерлингов из RFID-преступлений 2016 года, указанных в отчете UK Finance, были совершены с помощью кредитных карт, а не мобильных устройств, это означает, что RFID-преступления по-прежнему составляют в лучшем случае 1,1 процента от общего числа случаев мошенничества с кредитными картами, и эта цифра снижается. Если вы беспокоитесь о потенциальном уровне преступности в 1,1 процента, при этом используя не RFID-кредитные карты, которые ответственны за 98,9 процента случаев мошенничества с кредитными картами, не фокусируетесь ли вы на неправильной угрозе? Зачем использовать какую-либо кредитную карту? Насколько я могу судить, если вы беспокоитесь о мошенничестве с кредитными картами, вам будет примерно в 90 раз безопаснее (и становится безопаснее) использовать только RFID-кредитные карты. Вам не следует избегать или даже беспокоиться о RFID-кредитных картах, вам следует принять их.
Источник
Я уже писал об отсутствии преступлений с использованием кредитных карт RFID, по крайней мере, как это пропагандируют все поставщики, продающие продукцию, защищающую от RFID. Я один из немногих, кто постоянно говорит, что покупка кошельков, чехлов и т. п., блокирующих RFID, — пустая трата времени и денег. Я часто говорил, что не могу найти ни одного задокументированного случая преступления с использованием кредитных карт RFID. Каждый раз, когда я пишу об этом, я получаю тонны гневных писем от поставщиков этих продуктов, а также от людей, которые «просто знают», что они стали жертвами преступления с использованием кредитных карт RFID.
«Жертвы», которые мне пишут, всегда говорят о таинственном человеке, ведущем себя странно, который прошел мимо с видимым устройством, которое, как они твердо уверены, было считывателем RFID, и вскоре после этого на их кредитной карте оказывается мошенническое списание. Я всегда отвечаю, что «ощущение», что произошло мошенничество с RFID, не является доказательством реального преступления, и что я до сих пор, после многих лет поисков, не нашел ни одного правоохранительного органа или документа, подтверждающего преступление с использованием кредитных карт RFID.
Последняя партия писем содержала два более весомых «доказательства» преступности с использованием RFID, о которых я раньше не упоминал.
Доказательства преступления с использованием RFID-меток
Доказательством номер один было видео, на котором воры угоняют Mercedes-Benz. Хотя на видео нет никаких доказательств кражи или того, как это произошло, в сопровождающих или упоминаемых новостях утверждается, что автомобиль был украден беспроводным способом. Во многих моделях Mercedes-Benz используется беспроводная технология RFID, которая теоретически может быть использована для кражи автомобиля.Я несколько раз обращался в Mercedes-Benz, чтобы подтвердить, произошло ли или могло ли произойти преступление с использованием RFID, упомянутое в видео, но после многочисленных запросов в течение двух недель они не ответили. Я также не смог найти ни одного ресурса правоохранительных органов, чтобы поговорить со мной об этом конкретном преступлении или любом другом возможном преступлении, связанном с RFID-автомобилями.
С учетом сказанного, я считаю, что возможно совершение преступления, связанного с автомобилями с RFID. В прошлом большинство производителей автомобилей не использовали хорошие практики программирования жизненного цикла разработки безопасности (SDL). Я знаю, что многие автомобильные операционные системы и беспроводные системы запуска были полны ошибок безопасности. Хотя я не знаю подробностей преступления с автомобилем в видео или другого предполагаемого преступления с беспроводным автомобилем, я знаю достаточно, чтобы считать, что преступление с RFID-автомобилем, скорее всего, произошло.
Я должен верить, что любой производитель автомобилей, использующий сегодня любой критический беспроводной сигнал, теперь практикует SDL и защищает беспроводные сигналы от перехвата и подделки. Я знаю многих из самых умных этичных хакеров мира, которые сейчас работают в компаниях, связанных с автомобилями, и которые являются частью команд, чья работа заключается в предотвращении цифровой преступности в продуктах их работодателя. Преступления с использованием RFID-автомобилей могут быть возможны и со старыми моделями, но я думаю, что легкие «повторные» преступления, о которых сообщают сегодня, скоро уйдут в прошлое, если уже не ушли.
Отчет Великобритании о бесконтактном мошенничестве
Другой внимательный читатель прислал мне ссылку на официальный финансовый отчет правительства Великобритании, в котором утверждается, что в реальном мире наблюдается очень небольшой процент преступлений, связанных с кредитными картами RFID (т. е. бесконтактными картами). О преступлениях, связанных с RFID, говорится следующее:«Бесконтактное мошенничество охватывает инциденты как с бесконтактными картами, так и с мобильными устройствами. Мошенничество с бесконтактными картами и устройствами остается низким с убытками в размере 6,9 млн фунтов стерлингов в 2016 году по сравнению с расходами в размере 25,2 млрд фунтов стерлингов за тот же период. Это эквивалентно 2,7 пенса на каждые 100 фунтов стерлингов, потраченных с использованием бесконтактной технологии, и является снижением по сравнению с показателем 2015 года в 3,6 пенса на каждые 100 фунтов стерлингов. Мошенничество с бесконтактными картами и устройствами составляет всего 1,1 процента от общего числа случаев мошенничества с картами».
На первый взгляд, это кажется довольно убедительным доказательством мошенничества с кредитными картами RFID. Тем не менее, после многих дней поиска, я не смог найти ни одного примера реального мира (т. е. не демонстрации или заявления исследователя безопасности) мошенничества с кредитными картами RFID.
Это очень, очень важный момент. Существует огромная пропасть между потенциальным преступлением и реальным преступлением. В компьютерном мире в среднем ежегодно публично объявляется о 5000–7000 уникальных уязвимостях, и, возможно, несколько сотен из них фактически используются для взлома компьютера. Если вы защитник, вам нужно больше всего беспокоиться о том, что фактически эксплуатируется, а не о каждой возможности — особенно если это потенциальное преступление никогда не было заявлено как реальное преступление.
Отчет Великобритании, похоже, намекал на то, что я каким-то образом пропустил публичные данные о заявленном мошенничестве на сумму 6,9 млн фунтов стерлингов без контакта. Я решил, что собираюсь разыскать эти данные раз и навсегда и выяснить, были ли преступления с использованием кредитных карт RFID реальными. Я связался почти с дюжиной организаций, связанных с безопасностью кредитных карт RFID, включая VISA, Mastercard и Secure Technology Alliance. Я даже связался с создателями отчета Великобритании, упомянутого выше, что позволило мне связаться с финансовым подразделением Великобритании.
Я задал всем два вопроса:
- Возможно ли совершить мошенничество с бесконтактными кредитными картами RFID, при котором удаленный вор по беспроводной связи считывает информацию с RFID-карты жертвы, а затем успешно совершает мошенничество, используя эту информацию?
- Есть ли хоть один пример преступления с использованием бесконтактных кредитных карт RFID, совершенного в реальном мире, в котором использовался бы тот же сценарий, при котором экранирование RFID могло бы предотвратить его?
Начиная с создателей отчета по Великобритании, поскольку в нем конкретно говорилось о преступлениях с бесконтактными кредитными картами, я спросил, сколько из зарегистрированных 6,9 млн фунтов стерлингов бесконтактного мошенничества было связано с бесконтактными кредитными картами, а сколько с мобильными устройствами? К сожалению, они так и не смогли дать ответ, хотя все, с кем я говорил, считали, что мошенничество с мобильными устройствами и другие сценарии, не связанные с удаленным вором со считывателем RFID, были гораздо более вероятны.
Причина, по которой британский финансовый отдел не смог мне ответить, заключается в том, что британские торговцы не обязаны сообщать о преступлениях с бесконтактными картами, за исключением преступлений с бесконтактными мобильными устройствами. У британского финансового отдела нет данных, чтобы разделить сумму. Кроме того, все мои попытки связаться с торговцами, которые сообщили правительству Великобритании о мошенничестве, не увенчались успехом.
Итак, я не знаю, сколько из 6,9 миллионов фунтов стерлингов бесконтактного мошенничества было связано с бесконтактными картами, а сколько с мобильными устройствами, или помогло ли экранирование RFID. Я не смог найти никаких публичных доказательств совершения хотя бы одного преступления с использованием бесконтактных RFID в реальном мире, и самые осведомленные должностные лица, с которыми я общался неофициально, не считали, что найдется хоть одно, соответствующее сценарию мошенничества, который я искал.
Мейв Данн, аналитик из Ассоциации торговли финансами Великобритании, ответила на мои вопросы следующим образом: «Размахивание считывателем карт на улице или в поезде не может привести к получению оплаты от прохожих, и нет ни одного подтвержденного сообщения о том, что подобное когда-либо происходило в Великобритании». Заявление Данн не исключает того, что это произойдет в других связанных сценариях RFID или в других странах, но я думаю, что ответ должен быть таким: преступления с использованием кредитных карт RFID, которые можно предотвратить путем экранирования, случаются очень редко и, возможно, не существуют.
Когда я спросил нескольких экспертов по безопасности бесконтактных кредитных карт об их мнении относительно того, можно ли совершить мошенничество, используя предложенный мной криминальный сценарий, все они сказали: «Нет!». Они сказали, что это технологически невозможно, а некоторые даже обвинили меня в том, что я работаю с поставщиками RFID, которые пытаются продать продукцию с защитой RFID. Я усмехнулся, потому что эти поставщики постоянно нападают на меня за то, что я пренебрегаю их продукцией.
Почему преступления с использованием RFID-карт невозможны (и невозможны)
Хотя они и говорили, что бесконтактное кредитное преступление в предложенном мной сценарии мошенничества невозможно, я настоял на объяснении, почему. Информация, которая передается по беспроводной связи с RFID-карты, очень ограничена и не содержит достаточно информации для продавца (или устройства, или сервиса), следующего его лицензионному соглашению, чтобы позволить совершить мошенничество. Это не простое утверждение, поэтому позвольте мне объяснить подробнее.Чтобы поверить в то, что преступления с использованием кредитных карт RFID происходят, вы должны игнорировать тот факт, что считыватели RFID могут считывать информацию RFID с расстояния многих десятков ярдов только в идеальных условиях. Реальные условия, когда несколько карт в чьем-то кошельке или сумочке, заблокированные другими картами и материалами и окруженные всевозможными другими металлическими предметами (например, ключами или монетами), способствуют тому, что карты RFID трудно считывать на расстоянии. Фактически, при использовании в торговом центре с обычными считывателями, карты RFID должны находиться в пределах нескольких сантиметров, чтобы работать. Часто вы даже не можете держать их в кошельке и чтобы сигнал достигал считывателя продавца.
Предположим, что у преступного гения есть лучший считыватель RFID, а жертва одна и просто держит свою карту перед собой, так что считыватель имеет четкий выстрел для подслушивания RFID. Предположим, что преступник действительно может получить всю доступную информацию с помощью беспроводного считывателя.
Большинство кредитных карт RFID легко передадут номер кредитной карты и дату истечения срока действия только в том случае, если их считывает беспроводной считыватель RFID. Злоумышленник не получит имя человека, код безопасности или адрес, прикрепленный к кредитной карте. Это эффективно предотвращает использование информации практически на любом веб-сайте онлайн-продавца. Вы когда-нибудь могли использовать кредитную карту в Интернете, не указав свое правильное имя, код безопасности или адрес, не говоря уже о том, чтобы не указать все три? Я нет. Поэтому повторное использование украденной беспроводной информации практически бесполезно.
Разве беспроводной вор не может просто взять захваченную информацию, сделать поддельную кредитную карту RFID и повторно использовать ее лично в магазинах так же, как используется настоящая карта? При личных транзакциях торговцу все равно, как ваше имя, и он не спрашивает ваш код безопасности или адрес. Вы просто проводите картой над считывателем, и он передает ту же информацию, которая была отправлена в нашей теоретической ситуации с вором. Или есть какая-то информация, отправленная картой RFID в законной торговой транзакции, которую беспроводной считыватель вора не может легко украсть? Ответ на последний вопрос: «Да».
Если у вора RFID есть считыватель RFID, он получает только две критически важные данные: номер кредитной карты и дату истечения срока действия. Для того чтобы произошла действительная транзакция, устройство RFID продавца должно передать информацию об авторизации, которая затем заставляет карту ответить кодом аутентификации на основе символов (частью того, что называется датаграммой), который может быть успешно запрошен и на который можно ответить только при использовании ранее проверенного устройства продавца. Удаленный вор RFID не может воссоздать действительную датаграмму с помощью простого считывателя. Недостающий компонент создается путем сопряжения карты RFID и законного устройства продавца.
Разве вор не может использовать действительное торговое устройство?
Возникает вопрос: вместо того, чтобы вор RFID использовал простой считыватель RFID, разве он не может использовать законное торговое устройство RFID для транзакций? Да, но вам придется проигнорировать ряд важных факторов, включая предыдущее предположение о том, насколько близко вор должен находиться к карте. Помните, торговые считыватели хороши только на расстоянии нескольких сантиметров. Предположим, что вор либо находится очень близко к карте жертвы, либо имеет возможность выполнять длительное считывание (возможно, специализированное криминальное устройство).Торговые автоматы имеют идентификационные номера. Если вор успешно получил карту жертвы для участия в фиктивной транзакции, держатель карты в конечном итоге сообщил бы о мошеннической транзакции своему поставщику карты, который смог бы идентифицировать задействованное торговое устройство. Не каждый может купить и использовать торговое устройство. Они должны подать заявку на него. Документы должны быть проверены и подписаны, а торговец должен иметь существующий, доверенный проверенный банковский счет для проведения транзакций.
Кроме того, по связанным с этим причинам безопасности, транзакции RFID ограничены довольно небольшими суммами, может быть, от 20 до 50 долларов или около того, в зависимости от сети кредитных карт. Преступнику RFID придется потратиться на получение законного торгового устройства (которое само по себе стоит денег) и предоставить действительный банковский счет, на который продавец кредитной карты может легко перевести платежи. Совершив всего несколько мошеннических дешевых транзакций, вор будет отрезан от этой машины, если не от всего своего торгового счета.
Преступление с использованием кредитных карт RFID либо невозможно, либо его можно совершить лишь в очень ограниченном объеме, пока преступный забег его вдохновителя не закончится. Не будем забывать, что преступник может купить обычную информацию о кредитных картах, чтобы украсть тысячи долларов с гораздо меньшим риском в течение более длительного периода времени за несколько долларов за карту. Это еще одна причина, по которой преступление с использованием кредитных карт RFID практически невозможно, и, более того, не слишком выгодно из-за риска. Маловероятно, что это будет сделано, даже если это и возможно.
Ах, но преступление с использованием RFID было успешно продемонстрировано
Я наткнулся на старую историю в Интернете о преступлениях с бесконтактными кредитными картами RFID. В 2015 году исследователи безопасности смогли по беспроводной связи украсть информацию о кредитных картах RFID (например, номера счетов и даты истечения срока действия) с закрытых, открытых карт и повторно использовать их для покупки товаров на большие суммы у онлайн-продавцов.Это доказательство того, что это можно сделать, в некотором роде. Оно требует, чтобы онлайн-продавец нарушил свое торговое соглашение и не проводил базовую проверку против мошенничества (требуя действительное имя, адрес и код безопасности). Продавцы, не выполняющие правильную проверку, снимают с своих банковских счетов информацию о мошенничестве. Я должен думать, что эти онлайн-продавцы либо недобросовестны и намерены быть использованными в качестве криминального скупщика, либо они не будут долго существовать, когда продавцы кредитных карт отследят мошеннические транзакции до их плохой проверки.
Тем не менее, это не является доказательством реального преступления.
Преступление с использованием RFID-карт возможно только тогда, когда…
Чтобы беспокоиться о мошенничестве с кредитными картами с использованием RFID, нужно предположить невероятную способность удаленного считывателя RFID в реальных ситуациях и наличие интернет-продавцов, у которых буквально нет элементарной проверки кредитных карт, или преступников, которые хотят купить легальные торговые устройства и пройти длительный процесс авторизации, а также предоставить реальный банковский счет, чтобы зафиксировать несколько транзакций на небольшие суммы, прежде чем они будут заблокированы.Как написал мне Рэнди Вандерхуф, исполнительный директор Secure Technology Alliance и директор US Payments Forum: «Потребители должны прислушиваться к своим доверенным финансовым учреждениям, банкам и платежным брендам и верить им, когда они говорят своим клиентам, что бесконтактные платежные карты безопасны».
Даже если предположить, что все 6,9 млн фунтов стерлингов из RFID-преступлений 2016 года, указанных в отчете UK Finance, были совершены с помощью кредитных карт, а не мобильных устройств, это означает, что RFID-преступления по-прежнему составляют в лучшем случае 1,1 процента от общего числа случаев мошенничества с кредитными картами, и эта цифра снижается. Если вы беспокоитесь о потенциальном уровне преступности в 1,1 процента, при этом используя не RFID-кредитные карты, которые ответственны за 98,9 процента случаев мошенничества с кредитными картами, не фокусируетесь ли вы на неправильной угрозе? Зачем использовать какую-либо кредитную карту? Насколько я могу судить, если вы беспокоитесь о мошенничестве с кредитными картами, вам будет примерно в 90 раз безопаснее (и становится безопаснее) использовать только RFID-кредитные карты. Вам не следует избегать или даже беспокоиться о RFID-кредитных картах, вам следует принять их.
Источник