piątek, 23 lutego 2018

Czytanie karty płatniczej NFC

Tradycyjne metody dostarczania kart płatniczych niestety nie są dobre z punktu widzenia bezpieczeństwa, co można dość prosto zademonstrować przy pomocy na przykład telefonu Nexus 5 oraz programu Czytnik kart bankowych NFC Pro (bezpłatna wersja Czytnik kart bankowych NFC). W naszym przypadku będzie to karta w zamkniętej kopercie, dokładnie tak jak przychodzi do skrzynki klienta.




Atakujący w ten sposób jest w stanie sczytać wszystkie dane potrzebne do przeprowadzenia internetowej transakcji. Imię, nazwisko i dane teleadresowe znajdują się na kopercie, natomiast przy pomocy czytnika NFC pobierane są dane takie jak numer karty płatniczej oraz data wygaśnięcia. Przy pomocy tych danych możemy płacić w wielu internetowych sklepach, gdzie nie jest wymagany kod zabezpieczający CVC / CVV / CVV2 itp. Przykładem takiego sklepu jest Amazon, który oferuje szybkie zakupy, a zminimalizowanie ilości potrzebnych kroków zwiększa sprzedaż. Naturalnie sklep akceptuje związane z tym ryzyko większej ilości reklamacji chargeback.

Chargeback (z ang. obciążenie zwrotne) – rodzaj zwrotu środków za transakcję dokonaną kartą płatniczą realizowany przez wystawcę karty i inicjowany przez klienta w sytuacji, gdy [...] transakcja nosi znamiona oszustwa. Wikipedia


Co więcej ofiara nie będzie nawet świadoma możliwości, iż ktoś mógł uzyskać w ten sposób dostęp do jej finansów. Oczywiście atakujący nie wykona ataku przed aktywacją karty, ale wystarczy iż odczeka parę tygodni, a wtedy karta będzie już aktywna. Kartę może sczytać w ten sposób każdy – listonosz bądź też inna osoba, ponieważ wsunięcie telefonu do skrzynki, bądź też tylko anteny, nie stanowi większego problemu, tak samo jak i zapoznanie się z danymi adresata.

Problem dotyczy oczywiście kart zbliżeniowych (NFC), czyli de facto wszystkich... wyłączenie opcji zbliżeniowej płatności nie dezaktywuje tego wektora ataku, ponieważ karta w dalszym ciągu będzie możliwa do sczytania nawet po zablokowaniu takiej możliwości po stronie banku. Związane jest to z faktem, że bank blokuje tylko taką możliwość w parametrach usługi, a nie dokonuje fizycznej modyfikacji samej karty, która ciągle fizycznie oferuje możliwość płacenia bezprzewodowego.



Karta płatnicza po otwarciu koperty, wszystkie dane są zgodnie z tymi odczytanymi przez kopertę.


Nie zalecamy sczytywania swoich kart płatniczych, karta wykorzystana w tej prezentacji nigdy nie była i nie będzie aktywowana – została zastrzeżona przez bank. Sczytywanie kart wiąże się zawsze z ryzykiem, iż dane te mogą być wykorzystane przez osoby niepowołane (np. wysyłane do twórcy aplikacji).