Gli skimmer per tessere wireless sono solo spaventosi?

ScanBlocker sembra eccessivo e, a seconda di come funziona il trasmettitore, potrebbe anche essere illegale in alcuni punti. I portafogli di blocco RF sono molto più economici, molto più piccoli e hanno meno parti da sbagliare. Il mio passaporto cartaceo ha una copertura di blocco RF; deve essere aperto un po 'per essere letto. La mia tessera di plastica passaporto è arrivata in una manica Tyvek con blocco RF. Ho provato entrambi e si sono dimostrati molto efficaci nel prevenire le letture NFC.

Gli annunci sono corretti in quanto esistono gli skimmer NFC. Indipendentemente dal fatto che i dati della carta visibili a uno skimmer siano utili dipende dal ladro e dalla carta. Le carte trasmettono il numero di conto in chiaro, ma un'autenticazione corretta richiede anche un altro valore, chiamato CVV, CVV2, CVC o altri. Se la banca che ha emesso la carta utilizza l'autenticazione dei dati statici (SDA) per generare il CVV, il ladro ha tutto ciò che gli serve per creare un clone funzionante (la maggior parte delle banche è comunque più intelligente di quella). Se la carta utilizza l'autenticazione dei dati dinamici (DDA), il ladro riceverà un numero CVV monouso generato crittograficamente, e anche quello non funzionerà dopo che la tua carta ha generato un altro numero. (Il CVV2 è il codice breve stampato sulla faccia o sul retro della carta, e il ladro non può leggerlo elettronicamente.)

Si noti che ha ancora il numero di conto, ma senza un CVV valido limiterà severamente le transazioni in cui può utilizzare il numero rubato principalmente per le situazioni offline.

La domanda più grande è se una di queste misure è necessaria. Sì, ci sono ladri di skiff NFC sul pianeta, ma non tanti come una pubblicità spaventosa vorrebbero farci credere. Quindi la risposta è "dipende". Vivi in una zona popolosa? Prendi spesso il trasporto di massa o ti siedi in affollati spazi pubblici? Trascorri molto tempo nei centri commerciali o negli aeroporti affollati? Più persone ti esponi, maggiori sono le probabilità di essere scremato. Se ritieni di essere a rischio, utilizza un portafoglio di blocco RF.

Non sarei troppo preoccupato.

Prima di tutto, per prelevare denaro da una carta avrai bisogno di un terminale con il tuo account commerciante per ricevere effettivamente i soldi. Non è così facile aprire un account di questo tipo in modo anonimo e spesso i fondi impiegano un paio di giorni per cancellare il che significa che le banche noterebbero che qualcosa di cattivo sta succedendo e invertire le transazioni prima che tu possa effettivamente ottenere i soldi.

Esiste un altro possibile attacco che trasmette il segnale tra la tua carta e un terminale legittimo su Internet. Richiederebbe ai criminali di tenere un terminale alla tua carta e l'altro al posto di qualche mercante esattamente nello stesso istante in cui avviene la transazione, in modo che il truffatore paghi essenzialmente con la tua carta, trasmesso sulla rete. Abbastanza complicato da tirare fuori e i guadagni sono minimi in quanto si può solo tirare una certa quantità di denaro tramite contactless (30 £ qui nel Regno Unito).

Infine, le banche possono effettuare e invertire le transazioni fraudolente a meno che non sia stato inserito un PIN, che non è il caso di contactless.

Bene, link - le prime implementazioni contactless hanno semplicemente trasmesso il PAN nel raggio NFC. Un'ottima idea, con EMV, PIN ecc. Le cose sono migliorate.

CVV è un codice a 3 numeri, non proprio una misura di sicurezza in quanto tale che un utente malintenzionato non si romperà alla fine, PAN è tenuto come dati sensibili nello standard PCI DSS per un motivo.

Non voglio dare alcuna idea a nessuno, quindi prendimi in parola quando ti dico che ci sono molti vettori di attacco disponibili per un attaccante determinato e paziente, contrariamente a quello che alcune risposte potrebbero farti credere.