Hacker dostal dostatočné podrobnosti na objednanie si £3000 TV
Which? odhalil bezpečnostnú chybu bezkontaktných kariet, ktoré by mohli zneužiť zlodeji na drahé on-line nákupy. Po získaní technológie na čítanie bezkontaktných kariet, ktorú možno bez problémov nájsť na internete, naši výskumníci dokázali vzdialene kradnúť kľúčové detaily z bezkontaktnej karty a používať ich na objednávky položiek, z ktorých napr. bola jedna na televízor v hodnote £3000.
Test bezkontaktných platobných kariet
Naši výskumníci testovali 10 kariet (z ktorých bolo šesť debetných a štyri kreditné) od dobrovoľníkov na posúdenie bezpečnostných rizík. Bezkontaktné karty sú kódované, aby skrývali osobné údaje , ale ak sa použila ľahko dostupná čítačka a free software pre odkódovanie dát, výskumníci bez problémov dokázali prečítať číslo karty a dátum platnosti zo všetkých desiatich kariet.
Podarilo sa nám aj prečítať limitované údaje posledných desiatich transakcií, hoci žiadna z kariet neodhalila CVV bezpečnostný kód (číslo zadnej strany karty).
Pochybovali sme o tom, že budeme schopní spraviť nákupy bez mena držiteľa karty alebo CVV bezpečnostného kódu, ale mýlili sme sa.
Kradnuté údaje použité pri objednávke
Objednali sme dve položky. Jednou z položiek bol televízor z internetového obchodu, pričom sme použili kradnuté údaje a kombinácie s falošným menom a adresou. Po uskutočnenom výskume sme samozrejme obchod o všetkom informovali.
Asociácia spojeného kráľovstva pripustila, že hoci úroveň šifrovania sa zvýšila, stále existuje možnosť čítať detaily kariet na diaľku.
Podvodníci s bezkontaktnými čítačkami
Limit pre bezkontaktne karty vzrástol z £15 na £20 v júni 2012 a zvýšil sa na £30 v septembri 2015.
Spravili sme iba dotyk dobrovoľníkovej karty s našou čítačkou a získali sme dostatok informácií, ktoré nám umožnili urobiť veľa internetových nákupov. S týmito detailmi, ktoré sa získajú z bezkontaktných kariet, je limit transakcii irelevantný, pretože internetové transakcie nie sú bezkontaktné .
Peter Eisenger – bezpečnostný expert, ktorý pomáhal vyvíjať európske štandardy pre bezkontaktné karty povedal, že kriminálnici môžu získať čítačky, ktoré by dokázali odčítať informácie z bezkontaktných kariet i z väčšej vzdialenosti, než čítačka použitá pri výskume časopisu Which.
Tiež povedal: „ je dôležité ochrániť zákazníka pred podvodníkmi, ktorí sú schopní vyvinúť pohybujúcu sa čítačku kariet s oveľa väčšou čítacou vzdialenosťou než tie, ktoré používajú maloobchodníci.“
Oficiálne údaje o podvodoch pri bezkontaktných kartách ukazujú straty súvisiace s bezkontaktnými podvodmi na menej ako 1p na £100. Avšak je nemožné zistiť skutočný rozsah krádeže cez bezkontaktné čítačky, pretože obeť ťažko odhalí, a teda nevie, či bola okradnutá týmto spôsobom.
Zdroj:which.co.uk