Матушкин Андрей Николаевич
Президент IAPD
Staff member
Private access level
Full members of NP "MOD"
From plastic cards began to steal money "by air."
A new way of stealing money has been revealed: fraudsters intercept signals from contactless technology cards using special devices
A new type of fraud has appeared in Russia - the theft of money from Russian cards equipped with contactless payment technology for goods (the card is attached to the PoS terminal, the purchase amount is debited from the “plastic”). According to Zecurion, fraudsters stole 2 million rubles from their Russian cards using their makeshift terminals (RFID readers) in 2015. Interviewed companies specializing in IT security noted that scammers learned to steal from cards using smartphones equipped with NFC chips (NFC is a type of RFID).
Contactless payment technology was developed by the American payment systems Visa (PayWave) and Mastercard (PayPass) to expedite and simplify cashless payments for purchases. Cards with PayPass technology are issued by 43 large Russian banks, cards with PayWave - 16. PayPass and PayWave technologies are used on cards with a chip and magnetic strip. When making payments with such a card, you do not need to enter a PIN code, as well as put a signature on the check if the purchase amount is small (up to 1 thousand rubles). According to Zecurion estimates, 2 million Russians have cards with contactless payment technology. It is stated that in Russia there are more than 30 thousand points of PayPass acceptance: transport, trade, and service industries.
Visa and Mastercard on their sites dedicated to PayPass and PayWave provided security rules, but they do not differ from those developed for classic bank cards (the PIN code should not be obvious; it should not be written on the back of the “plastic” card; should be in sight, and telephones for communication with the bank - at hand). PayPass and PayWave began to be distributed in Russia in 2008, but still have not received wide distribution: a small number of banks issuing such cards is explained by the complexity and high cost of this technology, and the card itself is 50-100% more expensive than usual ones (depending from design and type of card).
The essence of the scheme is similar to intercepting the signals of electric locks by car thieves. According to Zecurion, funds from PayPass and PayWave cards are debited by fraudsters using home-made readers that can scan bank cards with RFID chips (see photo). By and large, these are analogues of legal contactless PoS-terminals: RFID-readers that send electromagnetic signals.
“A hacker reader is very similar to a legal device, but it has a more advanced functionality,” Vladimir Ulyanov, head of the Zecurion analytical center, told Izvestia. - It is enough for an attacker to bring such a device closer to a card with an RFID chip by 5–20 cm, as all the necessary information will be read.
In crowded transport, in the market, in the store, this is easy to do. A person may not even notice theft. The scammers record / transmit the received data to clone cards - for further operations (entail the theft of funds from genuine bank cards).
The cost of a legal reader for PayPass and PayWave is from 20 thousand rubles. But you need to understand that hackers need a little for the reader, and the components are not very difficult to order. The cost of RFID readers used by hackers to steal money from Russian bank cards is $ 100 - their hackers make their own. The most primitive reader consists of a special controller, an antenna for receiving a signal and an interface for connecting to a computer and software on the computer itself.
According to Gleb Cherbov, deputy director of the security audit department of Digital Security, it’s enough for fraudsters to get the card number and the expiration date of its service without contact.
“This data is already enough to conduct transactions through fake online sites or to make a duplicate of the magnetic strip of the card, also sufficient to write off funds,” Cherbov explains. - Of the information available “over the air” for attackers, the history of operations on the card, including the exact amounts and dates of debiting, is also of interest. Having this data, it’s easy to make an approximate profile of the owner and assume the current account balance. Scammers also have cheaper ways to steal data from contactless cards - a regular smartphone with NFC support. They can steal bank customer data from a distance of a few centimeters.
But Cherbov reassures that protecting yourself from a fraudulent attack is not so difficult.
- There are wallets that protect the card from reading (RFID blocking wallet), there are cards that are put in wallets next to their own - at a price of about 500 rubles, says Cherbov. - Also, users of new cards can be advised to adhere to long-known recommendations regarding being careful with SMS-informing and to observe other well-known rules when conducting transactions.
According to Igor Novozhilov, Deputy Head of Binbank’s operational and IT support unit, contactless fraud came from Europe.
“It is difficult to predict the potential theft, but you can definitely fight it,” Novozhilov is sure. - The reader should be brought almost close to the card. This feature already provides a certain level of protection. It’s hard to imagine how anyone would allow a scanner to go through his pockets. And if there are two or more contactless cards in the wallet, then this only complicates the task of reading. You can also change the threshold for the amount of payment for entering a PIN code. The technology itself was developed for quick purchases in small amounts, for example, paying for public transport, the press in a stall, etc.
[DLMURL] https://izvestia.ru/ [/ / DLMURL]
A new way of stealing money has been revealed: fraudsters intercept signals from contactless technology cards using special devices
A new type of fraud has appeared in Russia - the theft of money from Russian cards equipped with contactless payment technology for goods (the card is attached to the PoS terminal, the purchase amount is debited from the “plastic”). According to Zecurion, fraudsters stole 2 million rubles from their Russian cards using their makeshift terminals (RFID readers) in 2015. Interviewed companies specializing in IT security noted that scammers learned to steal from cards using smartphones equipped with NFC chips (NFC is a type of RFID).
Contactless payment technology was developed by the American payment systems Visa (PayWave) and Mastercard (PayPass) to expedite and simplify cashless payments for purchases. Cards with PayPass technology are issued by 43 large Russian banks, cards with PayWave - 16. PayPass and PayWave technologies are used on cards with a chip and magnetic strip. When making payments with such a card, you do not need to enter a PIN code, as well as put a signature on the check if the purchase amount is small (up to 1 thousand rubles). According to Zecurion estimates, 2 million Russians have cards with contactless payment technology. It is stated that in Russia there are more than 30 thousand points of PayPass acceptance: transport, trade, and service industries.
Visa and Mastercard on their sites dedicated to PayPass and PayWave provided security rules, but they do not differ from those developed for classic bank cards (the PIN code should not be obvious; it should not be written on the back of the “plastic” card; should be in sight, and telephones for communication with the bank - at hand). PayPass and PayWave began to be distributed in Russia in 2008, but still have not received wide distribution: a small number of banks issuing such cards is explained by the complexity and high cost of this technology, and the card itself is 50-100% more expensive than usual ones (depending from design and type of card).
The essence of the scheme is similar to intercepting the signals of electric locks by car thieves. According to Zecurion, funds from PayPass and PayWave cards are debited by fraudsters using home-made readers that can scan bank cards with RFID chips (see photo). By and large, these are analogues of legal contactless PoS-terminals: RFID-readers that send electromagnetic signals.
“A hacker reader is very similar to a legal device, but it has a more advanced functionality,” Vladimir Ulyanov, head of the Zecurion analytical center, told Izvestia. - It is enough for an attacker to bring such a device closer to a card with an RFID chip by 5–20 cm, as all the necessary information will be read.
In crowded transport, in the market, in the store, this is easy to do. A person may not even notice theft. The scammers record / transmit the received data to clone cards - for further operations (entail the theft of funds from genuine bank cards).
The cost of a legal reader for PayPass and PayWave is from 20 thousand rubles. But you need to understand that hackers need a little for the reader, and the components are not very difficult to order. The cost of RFID readers used by hackers to steal money from Russian bank cards is $ 100 - their hackers make their own. The most primitive reader consists of a special controller, an antenna for receiving a signal and an interface for connecting to a computer and software on the computer itself.
According to Gleb Cherbov, deputy director of the security audit department of Digital Security, it’s enough for fraudsters to get the card number and the expiration date of its service without contact.
“This data is already enough to conduct transactions through fake online sites or to make a duplicate of the magnetic strip of the card, also sufficient to write off funds,” Cherbov explains. - Of the information available “over the air” for attackers, the history of operations on the card, including the exact amounts and dates of debiting, is also of interest. Having this data, it’s easy to make an approximate profile of the owner and assume the current account balance. Scammers also have cheaper ways to steal data from contactless cards - a regular smartphone with NFC support. They can steal bank customer data from a distance of a few centimeters.
But Cherbov reassures that protecting yourself from a fraudulent attack is not so difficult.
- There are wallets that protect the card from reading (RFID blocking wallet), there are cards that are put in wallets next to their own - at a price of about 500 rubles, says Cherbov. - Also, users of new cards can be advised to adhere to long-known recommendations regarding being careful with SMS-informing and to observe other well-known rules when conducting transactions.
According to Igor Novozhilov, Deputy Head of Binbank’s operational and IT support unit, contactless fraud came from Europe.
“It is difficult to predict the potential theft, but you can definitely fight it,” Novozhilov is sure. - The reader should be brought almost close to the card. This feature already provides a certain level of protection. It’s hard to imagine how anyone would allow a scanner to go through his pockets. And if there are two or more contactless cards in the wallet, then this only complicates the task of reading. You can also change the threshold for the amount of payment for entering a PIN code. The technology itself was developed for quick purchases in small amounts, for example, paying for public transport, the press in a stall, etc.
[DLMURL] https://izvestia.ru/ [/ / DLMURL]
Original message
С пластиковых карт начали угонять деньги «по воздуху».
Выявлен новый способ хищения денег: сигналы карт с бесконтактными технологиями мошенники перехватывают с помощью специальных устройств
В России появился новый вид мошенничества — кража денег с карт россиян, оснащенных технологиями бесконтактной оплаты товаров (карта прикладывается к PoS-терминалу, сумма покупки списывается с «пластика»). По данным компании Zecurion, мошенники увели с карт россиян с помощью своих самодельных терминалов (RFID-ридеров) 2 млн рублей в 2015 году. Опрошенные компании, специализирующиеся на IT-безопасности, отметили, что мошенники научились воровать с карт с помощью смартфонов, оснащенных чипами NFC (NFC — разновидность RFID).
Технологии бесконтактной оплаты товаров разработаны американскими платежными системами Visa (PayWave) и Mastercard (PayPass) для ускорения и упрощения безналичной оплаты покупок. Карты с технологией PayPass выпускает 43 крупных российских банка, карты c PayWave — 16. Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей). По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 млн россиян. Заявлено, что в России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.
Visa и Mastercard на своих сайтах, посвященных PayPass и PayWave, предусмотрели правила безопасности, но они не отличаются от тех, что выработаны для классических банковских карт (PIN-код должен быть неочевидным; его не следует писать на обратной стороне «пластика»; карта всегда должна быть в поле зрения, а телефоны для связи с банком — под рукой). PayPass и PayWave начали распространять в России в 2008 году, но до сих пор широкого распространения не получили: небольшое количество банков, эмитирующих такие карты, объясняется сложностью и дороговизной этой технологии, да и сама карта стоит дороже обычных на 50–100% (в зависимости от дизайна и типа карты).
Суть схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Как сообщили в Zecurion, средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID (см. фото). По большому счету это аналоги легальных бесконтактных PoS-терминалов: RFID-ридеров, посылающие электромагнитные сигналы.
— Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью, — рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана.
В переполненном транспорте, на рынке, в магазине сделать это нетрудно. Человек может даже не заметить «воровства». Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций (влекут хищения средств с подлинных банковских карт).
Стоимость легального считывателя для PayPass и и PayWave — от 20 тыс. рублей. Но надо понимать, что хакерам для считывателя нужно немного, а компоненты не очень сложно заказать. Стоимость RFID-ридеров, которыми пользуются хакеры для воровства денег с банковских карт россиян, составляет $100, — их хакеры изготавливают самостоятельно. Самый примитивный считыватель состоит из специального контроллера, антенны для приема сигнала и интерфейса для подключения к компьютеру и программного обеспечения на самом компьютере.
Как указывает замдиректора департамента аудита защищенности компании Digital Security Глеб Чербов, мошенникам достаточно бесконтактно получить номер карты и дату окончания срока ее обслуживания.
— Этих данных уже достаточно для проведения трансакций через подставные интернет-площадки или изготовления дубликата магнитной полосы карты, также достаточного для списания средств, — поясняет Чербов. — Из доступной «по воздуху» информации для злоумышленников также представляет интерес и история операций по карте, включающая в себя точные суммы и даты списаний. Располагая этими данными, несложно составить примерный профиль владельца и предположить текущий остаток по счету. У мошенников есть и более дешевые способы кражи данных с бесконтактных карт — обычный смартфон с поддержкой NFC. Им можно с расстояния в несколько сантиметров воровать данные банковских клиентов.
Но Чербов успокаивает, что защититься от мошеннической атаки не так сложно.
— Существуют кошельки, которые защищают карту от считывания (RFID blocking wallet), появились карты, которые кладутся в кошельки рядом с собственными — по цене около 500 рублей, — говорит Чербов. — Также пользователям новых карт можно посоветовать придерживаться давно известных рекомендаций относительно того, чтобы быть внимательными с SMS-информированием и соблюдать другие известные правила при проведении трансакций.
По словам замруководителя блока операционного и IT-сопровождения Бинбанка Игоря Новожилова, бесконтактное мошенничество пришло из Европы.
— Сложно предсказать потенциальный объем хищений, но с ним однозначно можно бороться, — уверен Новожилов. — Считывающее устройство должно быть поднесено практически вплотную к карте. Эта особенность уже обеспечивает определенный уровень защиты. Сложно представить, как кто-то допустит, чтобы по его карманам водили сканером. А если в кошельке две и более бесконтактных карты, то это только усложняет задачу считывания. Также можно менять порог суммы оплаты для ввода PIN-кода. Сама технология разрабатывалась для быстрых покупок на маленькие суммы, например оплата городского транспорта, прессы в ларьке и т.п.
[DLMURL]https://izvestia.ru/[/DLMURL]
Выявлен новый способ хищения денег: сигналы карт с бесконтактными технологиями мошенники перехватывают с помощью специальных устройств
В России появился новый вид мошенничества — кража денег с карт россиян, оснащенных технологиями бесконтактной оплаты товаров (карта прикладывается к PoS-терминалу, сумма покупки списывается с «пластика»). По данным компании Zecurion, мошенники увели с карт россиян с помощью своих самодельных терминалов (RFID-ридеров) 2 млн рублей в 2015 году. Опрошенные компании, специализирующиеся на IT-безопасности, отметили, что мошенники научились воровать с карт с помощью смартфонов, оснащенных чипами NFC (NFC — разновидность RFID).
Технологии бесконтактной оплаты товаров разработаны американскими платежными системами Visa (PayWave) и Mastercard (PayPass) для ускорения и упрощения безналичной оплаты покупок. Карты с технологией PayPass выпускает 43 крупных российских банка, карты c PayWave — 16. Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей). По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 млн россиян. Заявлено, что в России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.
Visa и Mastercard на своих сайтах, посвященных PayPass и PayWave, предусмотрели правила безопасности, но они не отличаются от тех, что выработаны для классических банковских карт (PIN-код должен быть неочевидным; его не следует писать на обратной стороне «пластика»; карта всегда должна быть в поле зрения, а телефоны для связи с банком — под рукой). PayPass и PayWave начали распространять в России в 2008 году, но до сих пор широкого распространения не получили: небольшое количество банков, эмитирующих такие карты, объясняется сложностью и дороговизной этой технологии, да и сама карта стоит дороже обычных на 50–100% (в зависимости от дизайна и типа карты).
Суть схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Как сообщили в Zecurion, средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID (см. фото). По большому счету это аналоги легальных бесконтактных PoS-терминалов: RFID-ридеров, посылающие электромагнитные сигналы.
— Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью, — рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана.
В переполненном транспорте, на рынке, в магазине сделать это нетрудно. Человек может даже не заметить «воровства». Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций (влекут хищения средств с подлинных банковских карт).
Стоимость легального считывателя для PayPass и и PayWave — от 20 тыс. рублей. Но надо понимать, что хакерам для считывателя нужно немного, а компоненты не очень сложно заказать. Стоимость RFID-ридеров, которыми пользуются хакеры для воровства денег с банковских карт россиян, составляет $100, — их хакеры изготавливают самостоятельно. Самый примитивный считыватель состоит из специального контроллера, антенны для приема сигнала и интерфейса для подключения к компьютеру и программного обеспечения на самом компьютере.
Как указывает замдиректора департамента аудита защищенности компании Digital Security Глеб Чербов, мошенникам достаточно бесконтактно получить номер карты и дату окончания срока ее обслуживания.
— Этих данных уже достаточно для проведения трансакций через подставные интернет-площадки или изготовления дубликата магнитной полосы карты, также достаточного для списания средств, — поясняет Чербов. — Из доступной «по воздуху» информации для злоумышленников также представляет интерес и история операций по карте, включающая в себя точные суммы и даты списаний. Располагая этими данными, несложно составить примерный профиль владельца и предположить текущий остаток по счету. У мошенников есть и более дешевые способы кражи данных с бесконтактных карт — обычный смартфон с поддержкой NFC. Им можно с расстояния в несколько сантиметров воровать данные банковских клиентов.
Но Чербов успокаивает, что защититься от мошеннической атаки не так сложно.
— Существуют кошельки, которые защищают карту от считывания (RFID blocking wallet), появились карты, которые кладутся в кошельки рядом с собственными — по цене около 500 рублей, — говорит Чербов. — Также пользователям новых карт можно посоветовать придерживаться давно известных рекомендаций относительно того, чтобы быть внимательными с SMS-информированием и соблюдать другие известные правила при проведении трансакций.
По словам замруководителя блока операционного и IT-сопровождения Бинбанка Игоря Новожилова, бесконтактное мошенничество пришло из Европы.
— Сложно предсказать потенциальный объем хищений, но с ним однозначно можно бороться, — уверен Новожилов. — Считывающее устройство должно быть поднесено практически вплотную к карте. Эта особенность уже обеспечивает определенный уровень защиты. Сложно представить, как кто-то допустит, чтобы по его карманам водили сканером. А если в кошельке две и более бесконтактных карты, то это только усложняет задачу считывания. Также можно менять порог суммы оплаты для ввода PIN-кода. Сама технология разрабатывалась для быстрых покупок на маленькие суммы, например оплата городского транспорта, прессы в ларьке и т.п.
[DLMURL]https://izvestia.ru/[/DLMURL]
