In breve: sì, è molto probabile .
Se la striscia magnetica e l'RFID non sono correlati, anche se i dati sono stati crittografati, l'installazione non sarebbe sicura. Sarebbe troppo facile trasferire i dati dalla scheda originale (puoi farlo con una testina per registratore, e ci sono anche App per iPhone per farlo, interfacciato con il jack audio), puliscile e registrale su qualsiasi scheda ISO2.
Se l'RFID e la banda magnetica sono entrambi necessari, allora è molto più costoso, ma non difficile: hai solo bisogno di un lettore / scrittore RFID.
Le schede passive senza PIN sono non protette , questo è tutto ciò che c'è da fare. Le loro informazioni possono essere clonate in diversi modi; per esempio ho assistito ad una prova su una variazione del phreaking di Van Eck, in cui un sensore posizionato vicino al card swiper originale era in grado di "sentire" le chiacchiere dalla testina di lettura delle carte. Una volta che si conoscono i dati sulla striscia, basta passare vicino al titolare della carta con un terminale RFID e interrogare la scheda per il suo carico utile di dati. Le carte passive risponderanno sempre allo stesso modo. Una volta che hai le informazioni su strip e RFID, tutto ciò di cui hai bisogno è uno spazio vuoto su cui archiviare le informazioni.
Se è necessaria solo la banda magnetica, le cose possono peggiorare ulteriormente: si potrebbe cancellare la striscia magnetica sulla propria scheda e registrarla nuovamente con le informazioni di qualcun altro, quindi comparire per avere un legittimo e una carta autentica che supererebbe un esame superficiale, ma in realtà registra gli accessi e le somme di debito a qualcun altro.
Se lo scenario di destinazione non prevede l'interazione umana, non è nemmeno necessario un buon vuoto: puoi smagnetizzare e riciclare qualsiasi vecchia scheda ISO2 e sfiorarla indossando un radiofaro RFID su un braccialetto. La striscia fornirà i dati corretti, il fob ingannerà il lettore nel pensare che ci sia un chip RFID sulla scheda, e il lettore sarà ingannato.
Sono abbastanza sorpreso dal fatto che oggigiorno qualcuno stia ancora considerando di accettare pagamenti usando una carta cancellabile senza bisogno di autenticazione a due fattori (come un PIN). Vorrei provare ad avvisare l'Università - ma in modo anonimo, dato che questo tipo di setup di solito pratica spara al messenger , e sono troppo propensi a tira un Feynman su di te.