Gli skimmer per tessere wireless sono solo spaventosi?

1

Non sono sicuro di altri paesi, ma le banche australiane hanno cominciato a pubblicare le carte con chip RFID in loro (per quale motivo è oltre me dal momento che intorno allo stesso tempo c'è stata apps payway cui scambiare la carta di credito per un telefono cellulare). Inoltre, nello stesso periodo ho visto annunci per Scan Blocker . La pagina spiega come funziona.

  1. Scan Blocker's antenna detects a nearby sniffer
  2. Scan Blocker draws energy from the sniffer to power up
  3. Scan Blocker instantly creates an E-Field, a surround electronic field making all cards invisible to the sniffer
  4. Scan Blocker repels and scrambles the sniffers' signals
  5. Once a sniffer is out of range Scan Blocker de-powers

Prima di questi chip sono stati messi in alla mia qualcuno comprensione necessaria la carta di credito stessa per scremare e rubare informazioni da esso una persona sarebbe sia bisogno di rubare la carta stessa o collegare uno skimmer carta a un bancomat o Eftpos. Gli annunci di Scan Blocker e simili implicano ora che qualcuno può passarti accanto con questo "sniffer" per ottenere tutti i dettagli della tua carta.

Ma trovo difficile credere che più banche possano forzare 1 una tecnologia che richiederebbe dispositivi di terze parti per renderli sicuri. Quindi mi chiedo se c'è qualcosa di vero in ciò che dicono questi Scan Blocker? Le carte bancarie sono state rese più vulnerabili grazie a questi chip RFID?

1: Dico forzato perché quando sono andato a cambiare banco una volta ho chiesto una carta senza chip ma mi è stato detto che non era un'opzione

    
posta Memor-X 08.11.2016 - 00:29
fonte

3 risposte

5

ScanBlocker sembra eccessivo e, a seconda di come funziona il trasmettitore, potrebbe anche essere illegale in alcuni punti. I portafogli di blocco RF sono molto più economici, molto più piccoli e hanno meno parti da sbagliare. Il mio passaporto cartaceo ha una copertura di blocco RF; deve essere aperto un po 'per essere letto. La mia tessera di plastica passaporto è arrivata in una manica Tyvek con blocco RF. Ho provato entrambi e si sono dimostrati molto efficaci nel prevenire le letture NFC.

Gli annunci sono corretti in quanto esistono gli skimmer NFC. Indipendentemente dal fatto che i dati della carta visibili a uno skimmer siano utili dipende dal ladro e dalla carta. Le carte trasmettono il numero di conto in chiaro, ma un'autenticazione corretta richiede anche un altro valore, chiamato CVV, CVV2, CVC o altri. Se la banca che ha emesso la carta utilizza l'autenticazione dei dati statici (SDA) per generare il CVV, il ladro ha tutto ciò che gli serve per creare un clone funzionante (la maggior parte delle banche è comunque più intelligente di quella). Se la carta utilizza l'autenticazione dei dati dinamici (DDA), il ladro riceverà un numero CVV monouso generato crittograficamente, e anche quello non funzionerà dopo che la tua carta ha generato un altro numero. (Il CVV2 è il codice breve stampato sulla faccia o sul retro della carta, e il ladro non può leggerlo elettronicamente.)

Si noti che ha ancora il numero di conto, ma senza un CVV valido limiterà severamente le transazioni in cui può utilizzare il numero rubato principalmente per le situazioni offline.

La domanda più grande è se una di queste misure è necessaria. Sì, ci sono ladri di skiff NFC sul pianeta, ma non tanti come una pubblicità spaventosa vorrebbero farci credere. Quindi la risposta è "dipende". Vivi in una zona popolosa? Prendi spesso il trasporto di massa o ti siedi in affollati spazi pubblici? Trascorri molto tempo nei centri commerciali o negli aeroporti affollati? Più persone ti esponi, maggiori sono le probabilità di essere scremato. Se ritieni di essere a rischio, utilizza un portafoglio di blocco RF.

    
risposta data 08.11.2016 - 05:12
fonte
0

Non sarei troppo preoccupato.

Prima di tutto, per prelevare denaro da una carta avrai bisogno di un terminale con il tuo account commerciante per ricevere effettivamente i soldi. Non è così facile aprire un account di questo tipo in modo anonimo e spesso i fondi impiegano un paio di giorni per cancellare il che significa che le banche noterebbero che qualcosa di cattivo sta succedendo e invertire le transazioni prima che tu possa effettivamente ottenere i soldi.

Esiste un altro possibile attacco che trasmette il segnale tra la tua carta e un terminale legittimo su Internet. Richiederebbe ai criminali di tenere un terminale alla tua carta e l'altro al posto di qualche mercante esattamente nello stesso istante in cui avviene la transazione, in modo che il truffatore paghi essenzialmente con la tua carta, trasmesso sulla rete. Abbastanza complicato da tirare fuori e i guadagni sono minimi in quanto si può solo tirare una certa quantità di denaro tramite contactless (30 £ qui nel Regno Unito).

Infine, le banche possono effettuare e invertire le transazioni fraudolente a meno che non sia stato inserito un PIN, che non è il caso di contactless.

    
risposta data 08.11.2016 - 03:49
fonte
0

Bene, link - le prime implementazioni contactless hanno semplicemente trasmesso il PAN nel raggio NFC. Un'ottima idea, con EMV, PIN ecc. Le cose sono migliorate.

CVV è un codice a 3 numeri, non proprio una misura di sicurezza in quanto tale che un utente malintenzionato non si romperà alla fine, PAN è tenuto come dati sensibili nello standard PCI DSS per un motivo.

Non voglio dare alcuna idea a nessuno, quindi prendimi in parola quando ti dico che ci sono molti vettori di attacco disponibili per un attaccante determinato e paziente, contrariamente a quello che alcune risposte potrebbero farti credere.

    
risposta data 13.01.2017 - 11:17
fonte

Leggi altre domande sui tag