Carduri de debit și credit bazate pe NFC: analiză de securitate și scenarii de fraudă

Focus (de , February 5, 2016)

carlo de micheliÎn anii ’80 a fost depus primul patent pentru comunicare radio NFC. În anul 2004, Philips, Nokia, și Sony au creat primul forum NFC (Near Field Communication). De atunci, NFC a devenit un standard adoptat de companii mari ca Apple și Samsung care îl introduc în cele mai noi tipuri de smartphone-uri și este prezent în întreaga lume în milioane de badge-uri și carduri fără contact. Companiile de transport au început să folosească carduri radio pentru sistemle folosite la metrou și autobuze. Este foarte confortabil pentru călători, aceștia trebuind doar să apropie cardul lor de un cititor pentru a-și plăti călătoria cu mijlocul de transport.

Această inovație a venit însă și cu toate problemele de securitate pe care o autentificare de la distanță (chiar și din apropiere) le-ar putea implica. Un exemplu în acest sens este sistemul Oyster pentru metrou, din Marea Britanie, care a fost subiectul unei slabe autentificări în operațiunile de scriere sau citire a cardurilor.

Doua din cele mai mari companii de credit carduri, Visa și Mastercard, au venit cu propriile sisteme NFC, respectiv PayWave și PayPass.

Când industria de carduri de credit şi de debit a început să adopte NFC, au fost adoptate de asemenea și unele reguli de bază de securitate. În majoritatea ţărilor există o limită de plăți de aproximativ 25 de euro per tranzacție NFC. Acest lucru limitează sumele tranzacționate cu autorizare fără PIN sau cip sau citire magnetică sau semnătura, pentru o accelerare a plăţilor. Companii mari precum McDonalds au devenit promotoare şi au adoptat această tehnologie, lansând o serie de oferte cum ar fi o cafea gratuită la o comandă plătită prin intermediul NFC.

În anul 2012, am început testarea de carduri NFC în laboratorul nostru de la Security Brokers. O bună perioadă de timp au fost realizate o mulţime de studii despre cum se citesc aceste tipuri de carduri, la ce distanță pot fi citite şi cum pot fi extrase datele din ele. Există comenzi specifice, care pot fi trimise “low level» direct cardurilor prin frecvențe radio, la care cardurile răspund direct cu datele conţinute în ele. În prezent, găsim cititoare hardware în cele mai multe smartphone-uri de ultimă generație iar software-ul aferent poate fi descărcat de pe app store.

Ce date pot fi extrase de pe cardurile NFC?

Ne-am aştepta ca numerele de card de credit şi de debit să fie diferite la un card cu limitare de plată la 25 euro pe tranzacție NFC, față de un card tradiţional. La toate cardurile am testat PAN (Primary Account Number), și numărul cardului pe care îl găsiți scris în relief pe fața cardului, a fost exact același cu numărul folosit pentru tranzacţiile NFC.

 Acest număr poate fi citit folosind un cititor NFC standard şi un mic software scris pentru un anumit tip de card, de exemplu, Mastercard şi Visa au comenzi diferite pentru a citi date de pe carduri.

De altfel, datele accesibile NFC, care sunt uşor de citit fără sa fie necesar vreun tip de autentificare, includ de asemenea, data de expirare a cardului şi prenumele proprietarului!

Acest lucru dă unui atacator informaţii suficiente pentru a procesa o tranzacţie.

Retailerii care adoptă această tehnologie şi clienţii lor, cu siguranță economisesc timp în efectuarea plăţilor, dar asta cu prețul unui mare risc de acces la date confidențiale şi de fraudă tangibilă pentru clienți, bănci şi companiile de asigurare aferente.

mastercard test read on publicly available softwareCare sunt diferitele scenarii de fraudă?

Scenariul de bază de fraudă prin NFC are ca principiu scanarea unui card şi folosirea PAN şi a datei de expirare a cardului pentru a efectua o tranzacție online sau off-line.

Cardurile NFC pot fi scanate de la o distanţă foarte mică, de la câţiva milimetri la câţiva centimetri. Am descoperit în urma testelor noastre că folosind o antenă 12x10cm, un card poate fi citit de la până la 10 centimetri distanţă. Credem că acest interval poate fi încă îmbunătățit în continuare prin utilizarea unui sistem mai puternic de antene şi circuite.

Exploatând diferite metode de tranzacţionare utilizate în Europa versus alte ţări precum Statele Unite, se pare că scanarea unui card într-o ţară şi efectuarea tranzacţiei în altă țară este, probabil, cea mai uşoară cale de extragere de cash.

open source reading software in CExistă moduri diferite de a efectua o plată cu cardul, prima și cea mai utilizată fiind plata online. Informațiile minime cerute de bancă pentru a permite o tranzacţie sunt PAN şi data de expirare a cardului. Pentru securitatea clienţilor lor, unele companii cer o parolă suplimentară (de exemplu Verified by Visa), sau un one time token trimis prin SMS sau prezent pe un device, sau adresa proprietarului, sau CVV/CVV2 (codul de verificare de 3 cifre scris pe spatele cardului). Cu alte cuvinte, există multe căi de de limitare a unei tranzacţii cerând informaţii care nu sunt prezente în datele publice ce ar putea fi citite prin NFC. Există site-uri de comerț electronic care încă nu cer CVV sau alte detalii pentru a efectua o tranzacție, ceea ce înseamnă o cale deschisa de extragere de cash pentru atacatori.

În tranzacţiile “card prezent”, în care clientul oferă cardul, acesta este autentificat fie prin intermediul CIP și PIN, sau este citit magnetic şi semnat. Trucul din spatele încasării se bazează pe metodele de rezervă ale acestor tipuri de tranzacţii. Dacă CIP-ul nu reuşeşte, se bazează pe banda magnetică. Dacă banda magnetică nu reuşeşte, va trebui să fie introdus manual în sistem PAN şi data de expirare.

În timp ce în Europa CIP și PIN sunt dominante, în Statele Unite tranzacţia cu bandă magnetică este încă un standard folosit pe scară largă. O simplă propoziţie “the stripe isn’t working, please type the code” (banda magnetică nu funcționează, vă rog să tastați codul) face posibil pentru un atacator să determine casierul la un supermarket, chelnerul dintr-un restaurant, angajatul unei cabine de taxare de autostradă, să tasteze direct PAN-ul şi data expirării fără a încerca măcar să treacă cardul prin cititorul magnetic.

Adesea se cere să se arate fizic cardul unui angajat pentru a fi copiate numerele. Acest lucru înseamnă că cu o simplă imprimantă de carduri şi cu o stație de scanare NFC, care să se afle undeva pe un alt continent, se poate avea la dispoziție un set întreg pentru o operațiune de carding la nivel global.

Ce riscăm noi din postura de clienţi?

O staţie de scanare poate fi imaginată ca un mini-PC, cu o baterie de lungă durată, ascuns lângă un terminal de plată NFC, de exemplu într-un restaurant fast-food sau la un automat de bilete în gară. Mini-PC-ul poate stoca local sau poate trimite prin Internet detaliile cardurilor scanate de la oamenii aflați în apropierea antenei ascunse. Este ca un skimmer de ATM-uri, dar cardul nu trebuie nici măcar sa fie introdus în mod voluntar în maşină.

Care sunt soluţiile?

Din postura de clienți putem să ne plângem emitenților de carduri şi să cerem băncilor să ne emită carduri fără NFC (cardurile cu NFC au un simbol unic pe ele similar cu pictograma WiFi), sau să folosim portofele speciale care au ecranare împotriva undelor radio.

Băncile trebuie să acţioneze imediat pentru a-și actualiza sistemele şi pentru a evita carding în masă, implementând o soluție care include autentificare înainte de a avea acces la detaliile cardului. În acelaşi timp este cu siguranţă necesară o monitorizare sporită a tuturor tranzacțiilor cu cardul și a notificărilor care vin de la clienți prin intermediul mesajelor text sau al smartphone-urilor.

Autor: Carlo De Micheli Security, Consultant at Security-Brokers, cdm@security-brokers.com

Carlo a lucrat ca web şi back-end developer din 2005, după ce a obținut o licență în inginerie aerospațială şi a dobândit expertiză în securitatea web şi sectorul wireless. El a câştigat mai multe concursuri de hacking. A fondat un proiect de angajament civic, care a fost premiat de către Preşedintele Republicii Italiene ca fiind cea mai bună iniţiativă cetăţenească. El s-a alăturat apoi echipei Security-Brokers ca ethical hacker. Din 2013 publică studii despee pieţele underground din social media, care au făcut furori în New York Times, The Guardian, CNN, Bloomberg TV şi în multe alte publicații.

Material publicat în Cybersecurity Trends, nr. 4


Tags: , , ,

Trackbacks

Leave a Trackback