Jak ukraść dane karty płatniczej przy pomocy smartfonu
Przy użyciu smartfonów hakerzy mogą ukraść dane kart zbliżeniowych i dokonać zakupów na konto ich właścicieli. Przyczyną jest m.in. brak szyfrowania danych karty – poinformował "New Scientist".
Zbliżeniowe karty bankowe, używane zwykle do niewielkich płatności w sklepach czy punktach sprzedaży, mogą stać się celem mobilnego ataku hakerskiego, ze względu na zastosowaną w nich technologię. Jej głównym elementem jest chip komunikacji bliskiego zasięgu NFC (Near Field Chip). Rozwiązanie zawierające chip NFC, zastosowano także w wielu typach popularnych smartfonów np. firmy Samsung, HTC czy Nokia - miały one pełnić rolę elektronicznej portmonetki.
Jak poinformowała w marcu tego roku brytyjska telewizja Chanel 4 przy pomocy tych smartfonów możliwe jest pobranie środków z konta zbliżeniowego. Jak ujawnił ekspert ds. bezpieczeństwa Thomas Cannon z firmy ViaForensics, dzieje się tak przez przejęcie i wykorzystanie danych karty. Dane dotyczące samej karty zbliżeniowej - numer karty, data ważności, nazwa wystawcy, nazwisko posiadacza, a nawet służący do weryfikacji transakcji 3-cyfrowy kod CVV2 (ang. Card Verification Value 2. - nie są bowiem zaszyfrowane, aby płatność dotykowa była szybciej obsługiwana. W programie Channel 4, Cannon użył danych z cudzej karty, aby dokonać zakupów w supermarkecie online firmy Amazon.
Według magazynu "New Scientst" niemiecki analityk bezpieczeństwa Thomas Skora wyjaśnił mechanizm pobierania danych. Haker tworzy aplikację działającą jak czytnik kart zbliżeniowych, wykorzystującą smartfon z chipem NFC. Tak wyposażone urządzenie ma niewielki zasięg - do 1,5 metra, ale to zupełnie wystarczy, aby np. w tłoku w komunikacji miejskiej odczytać dane co najmniej kilku kart. Złodziej może tego samego dnia wykorzystać dane z kart do zamówienia towarów w sklepach internetowych z wysyłką pod umówiony adres. Mimo limitu środków na kontach kart płatności zbliżeniowych - w Polsce zwykle 150-30. zł - proceder w przypadku większej liczby kradzieży jest dla hakera bardzo opłacalny.
Skora wystawił 23. czerwca tego roku w sklepie internetowym Google Play z aplikacjami dla smartfonów, opracowaną przez siebie aplikację czytnika z wykorzystaniem chipu NFC na smartfon o nazwie paycardreader. Zawiera ona ograniczone w stosunku do aplikacji hakerskich funkcjonalności. Google usunął aplikację 25. czerwca, jednak Skora opublikował jej pełny kod w serwisie dla programistów GitHub, choć tylko z opcją podglądu, a nie jego skopiowania.
Analitycy bezpieczeństwa twierdzą, że hakerzy prawdopodobnie używają rozwiązań podobnych do zaprezentowanych przez Thomasa Skorę. Jak sądzą, przerwanie procederu kradzieży danych z kart jest możliwe poprzez ich szyfrowanie i zastosowanie lepszych zabezpieczeń.
PAP/GB/GB