От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

Аааа, не разбрах как ги четеш. Мислех, че имаш съвместим четец. Сега попрочетох и излиза, че NFC и RFID работят на 13.56 MHz, като NFC е производно на цялата RFID технология. Стандартът е ISO/IEC 14443. Излиза, че някои NFC четци могат да прочетат определена информация отговаряща на този стандарт. Това е набързо каквото прочетох. Така че, ако картата е съвместима със съответния стандарт, а тя явно е, то може да предава информация, но това определено не е кода за транзакцията. Може би идентификационен код на самата карта.

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

Повечет RFID карти не са ли 125кХц (тези за бариери, врати и т.н.)??? При всички случаи не са нещо близко до банковите, защото картата на Метро, и всичките ми други RFID карти са на един стандарт (сърдят се устройствата, когато объркам картата , но не се 'чуват' от телефена ), докато банковата карта си е нещо съвсем друго...
Да, предполагам, че предава кода на картата... А как е реализиран целия обмен - дали само си казва коя карта е, или има диалог въпрос/отговор - не знам...

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

За дебитната незнам - нямам идея на какъв принцип работи вероятно има разни challenge-response алгоритми за защита етц. Старите rfid карти за достъп могат да се прочетат от около метър.

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

Въпроса не е в четенето а в транзакциите, някой амбициозен за един ден в метрото може да таксува стотици карти, по 20-30 кинта всяка и така два три дни и ето ти една хубава сума пари. Ако фирмата фантом е на бай мангал, парите ще ви ги върне банката а на хакера ще му хванат опинците.

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

Ще му трябва и човек вътре в банката, защото ПОС терминал се дава при едни задължения и изисквания към фирмата оператор.
Безконтактно скримиране без човек вътре в банката засега е невъзможно, то и само с чиповете е така (повреди си магнитната лента на картата и няма как бързо да ти я копират)

Пък ако имаш навит човек в банката, то 20-30лв. транзакции ще са ти последната идея

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

Аз за това говоря, фирма фантом, примерно в Словакия или България, натоварени хитреци с пос устройства по джибовете и хайде в европа на жътва, за два три дни става весело

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

Яяя, спокойно, отбой.

Когато чета разни светила от финансовата индустрия по света какви технологии предлагат (и финансират, и подкрепят, и пробват) се чудя какво тия хора пушат. Но парите са си "техни" така че да правят каквото си искат.
Факт е обаче че за масова употреба и стандартизация се утвърждават само технологии които няма как да бъдат пробивани в масов мащаб. Колкото и хората да попържат банките, картите и всичко подобно, дейността им изцяло се крепи на доверието, а то в голяма степен следва от факта че парите обикновено си седят там където си ги оставил и това е по-сигурно от бурканите и дюшеците.

На банковата карта "четенето" на номера е само началото на купона. С този номер не става друго, освен че терминалът разбира каква е картата и как да си говори с нея. После терминалът казва на картата какво се иска от нея като пари и картата (евентуално след като поиска и ПИН) му връща криптографски защитена заявка за транзакция, който се изпраща в Централата. Там го проверяват по свои си начини и евентуално връщат на ПОС отговор ДА или НЕ. Впрочем с "чип" транзакцията се случва пак така, просто през контактите на чипа вместо през антенката му.

Върху този механизъм работят всички други мерки против измами, които индустрията прилага върху потока от транзакции. Не забравяйте, че те имат не само отделната транзакция, а наблюдават всички които минават през тях и могат да правят произволни кръстосани връзки между данните. Примерно групиране на оплакванията от клиенти по търговец, по банка-картоиздател, по банка предоставяща ПОС, по географски признак или друго. Търговци с над определен (при това доста нисък) процент оплаквания горят. Вариации в очаквания поток от транзакции (процент чужденци, възрастов, географски, имуществен или друг профил на купувачите) предизвикват прости за изпълнение и сигурни като резултат проверки.

Самият ПОС терминал работи всичко това със свои криптографски ключве които не е лесно да се вземат от него и да се злоупотребят, така че си длъжен да работиш с устройство което ти дава банката, а тя го контролира по много начини и търговецът не знае всички тях (проверки на място на определен интервал и/или изненадващо, контрол по GPS/GSM клетка/IP адрес/захранване/памет за преминали транзакции, сензори за отваряне/ускорение и каквото ви хрумне). Даже и банката (в лицето на някой служител или ръководител) да се прави на ударена, банка с повишен процент оплаквания също не стига далече в преговорите си с картовия оператор.

Прибавете към това и факта че нов дребен търговец без стабилна история обикновено си получава парите с 30-60 дни закъснение и ви пожелавам успех в правенето на фантомна фирма за източване на карти през ПОС терминали.
Идеята за вербуване на легитимен търговец за експерименти в тази насока изисква той да не е чел договора си за ПОС и да е забравил колко му струва всичко това.

---
Общо взето, с постепенното премахване на магнитната лента от картите единственият вариант на разбойниците остава доброто старо крадене на карти с ПИН написан на тях.

Не че цялата описана схема няма вектори на атака, просто засега те са приемливо трудно достъпни. Примерно ако заради бъг в картовия софтуер се открие начин да се клонира картата безконтактно, на индустрията ще и отнеме известно време докато разбере какво става и откъде и е дошло. Може и цяла седмица да се мотаят, ако разбойниците не са твърде активни и старателно работят под радара.

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

Не съм сигурен че нещата са съвсем безобидни, но не иска да навлизам в детайли, за да не давам идеи, в случай че "лошите" още не са се сетили за тях...
По въпроса за пина, записан на картата... Там задължително се записва такъв, но фалшив. Като се направи един опит с него, един със същото, но отзад напред, и шансът за бинго намалява драстично...

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

Далеч по-хитро е да запише истинския но с някъв индекс - примерно е
Така 1234 ще се запише като 3354

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

Информационната сигурност работи наопаки - публикуваш идеята максимално рано. Така не даваш преднина на разбойниците.

За какво ти е изобщо това?

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

За да помниш само индекса, а не паролата

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

С банкови карти ,опити не съм почнал да правя,но с RFID на 125 килохерца чета,записвам модифицирам,преди три седмици монтирам антени в СФ ,които четат всичко живо на 125 килохерца до 3 метра,потока е безумен ,иде реч за безконтактно даване на достъп.Ако наложиш няколко карти една върху друга,кода се променя и няма да го прочете правилно

Sent from my HM NOTE 1W using Tapatalk

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

Ако поддържат антиколизия, не си пречат.

Sent from my old PC without using Tapatalk

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

Какво точно да "прочетат". Установяването на първоначален контакт с тях сигурно е много лесно на физическо ниво (за спе циалисти). От там нататък следват комуникации, които съвременните средства за криптиране осигуряват срещу четене в трамвая.
А и на самата дебитна карта информация за суми, номера на сметки ..... няма. Т.е. от нея няма какво да източат.
Всъщност въпросът е неправилно зададен.
Всъщност питаш дали е възможно някой да прочете от картата информация, чрез която да създаде клонинг на картата. И с този клонинг да оперира със сумите по сметката.
Който разбие "електронния подпис" и е писал софтуера на банката сигурно ще може. Ама той няма да се занимава с кокошкарски истории.

От: Могат ли да ти "прочетат" безконтактната дебитна карта от разстояние?

В типичния си стил.

Въпросът беше ТОЧНО осъществяване на безконтактна транзакция без знанието на носителя, а не клониране на картата.