欢迎您进入通优物联官方网站

深圳市通优物联科技有限公司

智能由我 物联全球

专业的RFID产品供应商

全国咨询热线0755-2697 9016

黑客用RFID读卡器演示信用卡可以通过衣服和钱包轻松读取

人气:发表时间:2020-01-14 17:05
摘要:拉出你的信用卡并翻转它。如果后面标有PayPass,Blink等字样的嵌套弧形三角形作为无线数据的通用符号或其他一些晦涩难懂的图标,克里斯汀佩吉特表示它容易受到超级扒窃形式的扒窃...
拉出你的信用卡并翻转它。如果后面标有“PayPass”,“Blink”等字样的嵌套弧形三角形作为无线数据的通用符号或其他一些晦涩难懂的图标,克里斯汀佩吉特表示它容易受到超级扒窃形式的扒窃。正如她星期六在华盛顿特区的舞台上展示的,她可以读取她需要的所有数据,只需几百美元的设备就可以从该卡上做出欺诈性交易,并通过钱包,钱包或口袋隐藏。
 
在Shmoocon黑客大会上,Paget旨在毫无争议地证明黑客早就知道什么以及支付卡行业一再淡化和否认:RFID使能的信用卡数据可以很容易,便宜且不可察觉地被盗用,并用于欺诈性交易。她使用Vivotech RFID信用卡读卡器在eBay上以50美元的价格购买,佩吉无线读取台上的志愿者信用卡,并获得该卡的号码和有效日期,以及非接触卡用于验证付款的一次性CVV号码。一秒钟后,她用一个300美元的卡磁化工具将数据编码到空白卡上。然后,用iPhone的Square附件允许任何人刷卡和接收付款,她用自己刚刚创建的伪造卡向自己支付了15美元的志愿者的钱。(她还向志愿者递交了一张20美元的账单,基本上以15美元的价格在舞台上出售账单,以避免任何非法欺诈指控。)
 
 
Paget在Shmoocon的舞台上用志愿者的无线窃取的信用卡数据充磁假卡。
 
 
如果任何人仍然怀疑这个伎俩已经奏效,佩吉特无意中将志愿者的信用卡号码刷屏在数百名黑客和安全研究人员面前的屏幕上。“你打算取消那张卡片,不是吗?” 她有些羞怯地补充道。
 
非接触式卡比看起来要普遍得多:根据智能卡协会的统计,约有1亿支RFID卡正在流通中。Visa将其技术payWave称为PayPave,MasterCard将其称为PayPass,将其品牌称为Zip,而美国运通将其称为ExpressPay。根据Shmoocon的观众表示,在会议室中,数百名与会者中有数十名会议参加者使用非接触式卡片,其中约四分之一的人在佩吉特要求他们取出卡片并检查非接触式符号之前并不知晓。
 
Paget是一家着名的咨询公司Recursion Ventures的安全研究员,直到去年5月性别发生变化时才被称为克里斯托弗佩吉特,她使用了一种简单的方法来进行黑客攻击:使用自己的RFID读卡器冒充合法的非接触式销售点终端。(这是上图所示的条纹面板。)Paget说,在诈骗的一个实际版本中,欺诈者可能只是在外套口袋里与该读者碰撞,并通过皮革钱包或布料等材料无形地扫描RFID信号裤子。在她讲话前的示范中,佩吉特通过我的后兜在我的钱包里读取一张卡片,但未触及我,成功获取卡片的信息。
 
Paget指出,该方案不涉及系统中的任何隐藏缺陷,而是一个更基本的问题,即任何商业上可用的RFID阅读器都可以像从商店的销售点设备一样轻松地读取非接触式卡中的数据确实。她表示:“无论加密或其他安全性如何,都无关紧要。” “读者只是把这个数字当作销售点终端,这完全是愚蠢的,这是一个令人尴尬的简单黑客行为,但它很有效。”
 
佩吉特所展示的攻击远没有新意。自2006年以来,安全行业已经知道非接触式信用卡可以在业主不知情的情况下无线阅读。但是在当前版本的卡片中,用户的名字,PIN和卡背面的三位数CVV未包含在无线阅读信息中,业界认为这意味着攻击不实际。
 
智能卡联盟行业组织执行董事Randy Vanderhoof指出,尽管此前对非接触式攻击进行了研究,但迄今为止还没有真实世界的欺诈事例报告过。“我们有六年的历史,这些卡的用户有一亿,我们还没有看到任何有关这种欺诈性交易的记录案例。我们认为这种情况的原因是,很难将其作为货币化一个罪犯,“范德霍夫说。“这是一个新的威胁的前提是绝对错误的,并没有得到[Paget's]示范的支持。”
 
事实上,非接触式卡片确实提供了传统卡片不具备的一项安全功能:随着卡片的16位数字和有效期限,卡片每次扫描时都会提供一次性CVV代码。这些代码只能用于一个事务,并且必须按照它们生成的顺序使用。如果支付处理器检测到具有相同代码的多个交易或者用于以错误顺序进行交易的代码,则它将禁用该卡。因此,非接触式卡诈骗者只能使用每个被盗号码,并且如果在小偷有时间进行欺诈性付款之前,诈骗受害者再次使用该卡,卡上的所有交易都将被阻止。
 
“事实是,消费者应该拥抱这项技术,因为它使他们更安全,”范德霍夫说。“努力试图抹杀芯片中使用芯片技术只会使现有技术的用户更容易受到攻击。”
 
但佩吉特说,轮换一次性CVV只意味着欺诈者需要针对多名受害者,而不是一再欺骗一名受害者。例如,骗子可以站在拥挤的火车站,例如,阅读许多路人的卡号,并将他们发送给执行其余计划的同谋。她说:“与其让一个人看到许多欺诈性交易在他们的卡片上,有五十人在他们的声明中看到一个交易,也许他们甚至没有注意到它。” “卡行业说这是不可能的,但他们给你的信息并不完整,我需要我登上舞台并证明它,以便他们会接受这些问题是真实的。”
 
现在如何解决这些问题?佩吉特建议,最简单的解决方案可能是通过微波炉将其卡入RFID芯片。但这是一个比看起来更微妙的任务。她说:“微波炉中的三秒钟会杀死芯片。“五秒钟就会着火。”
 
 
 
佩吉特的公司一直在研究一种更复杂的修复方法:称为GuardBunny的信用卡形保护设备,与支付卡一起放在钱包中,阻止任何可能的RFID欺诈者。佩吉特说,该设备仍然是原型,仍然没有商业销售的路线图,它比任何现有的RFID屏蔽钱包更有效地阻止RFID信号。商业上可用的RFID阻挡器只需用铝或钢层屏蔽卡或护照。相反,Guardbunny使用自己的芯片反射读者的RFID信号,有效干扰无线电信号。这种技术意味着即使是高功率的RFID阅读器也可能无法获取附近的任何信用卡信号。“不管你投入多大的权力,它只是将它反弹回来,”佩吉特说。
 
更好的是,当Guardbunny检测到RFID阅读器的信号时,它会发出尖锐的呜呜声,并且其兔子图标的眼睛发光(如图所示),以警告可能的非接触式扒手。
 
佩吉特承认,即使是Guardbunny的保护措施,某些高级别的攻击也可能得到解决。“你可以战胜这一点,但它涉及建立你自己的读者,”她说。“这对坏人的要求要比在eBay上花费50美元多得多。”
 

标签:黑客,用,RFID,读卡器,演示,信用卡,可以通过,

同类文章排行

最新资讯文章

收缩