neprihlásený Streda, 26. februára 2020, dnes má meniny Viktor   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Z bezkontaktných Visa kariet je možné ukradnúť bez PIN-u vysoké sumy

Značky: platobné kartybezpečnosť

DSL.sk, 4.11.2014


Platobné karty Visa podporujúce bezkontaktné platenie je možné použiť bez zadania PIN-u na autorizovanie transakcie vo výrazne vyššej výške ako je limit pre tieto transakcie, v krajinách s eurom typicky 20 eur.

Tvrdí to tím expertov z Univerzity v Newcastli.

Tí našli slabinu v protokole EMV používanom pri bezkontaktných platbách, ktorý neošetruje dostatočne požiadavky na platby v inej mene ako je natívna mena karty. Karty tak pri vhodnej požiadavke na platbu v inej mene podľa expertov túto transakciu potvrdia bez zadania PIN-u až do výšky 999 999.99 v ľubovoľnej cudzej mene.

Základný problém je podľa expertov prítomný aj na MasterCard kartách, tam sú ale dodatočné ochrany zabraňujúce zneužitiu.


Visa karta podporujúca bezkontaktné platby (foto: Visa)



V prípade Visa kariet je autorizácia offline, karty pre autorizovanie transakcie nepotrebujú komunikovať s bankou a platobnému terminálu útočníkov poskytnú kód autorizujúci transakciu a umožňujúci zinkasovať platbu neskôr.

Experti útok testovali na britských kartách s natívnou menou librou. Ich informácie ale nenaznačujú, že by sa mal problém týkať len týchto kariet a týka sa zrejme kariet pre akúkoľvek menu.

Experti na demonštráciu vytvorili falošný platobný terminál z bežného Android smartfónu, ktorý pri priblížení k Visa karte z nej automaticky získal autorizáciu transakcie. Získané dáta je následne možné pomocou vytvoreného špecifického softvérového platobného terminálu a účtu zapojeného obchodníka poslať banke tohto obchodníka pre zrealizovanie.

Experti implementovali aj takýto terminál, dáta ale skutočnej banke neodoslali a neotestovali tak prípadné ďalšie ochrany bánk schopné detekovať takéto transakcie ako podozrivé. Sťahovanie transakcií vo výške zodpovedajúcej 100 až 200 eur by podľa nich ale nemalo vyvolať podozrenie.

Aktualizácia 1: Spoločnosť Visa Europe poskytla k zisteniam nasledovné stanovisko: "Výskum Univerzity v Newcastle neberie do úvahy niekoľkonásobné bezpečnostné prvky, ktoré sú aplikované naprieč systémom Visa. Vykonaniu akejkoľvek transakcie musí v skutočnom svete vždy predchádzať splnenie každej takejto bezpečnostnej požiadavky. Výsledky výskumu sme dôkladne preverili a nemyslíme si, že sú dôvodom na obavy, keďže nepredstavujú realistickú hrozbu." Detaily zisťujeme.


      Zdieľaj na Twitteri



Najnovšie články:

Prvé enterprise SSD pre PCI Express 4.0
V Telekome najpredávanejším smartfónom nový model
Sonda na Marse zachytila veľký počet otrasov, o jadre zatiaľ nič nezistila
Najnovšia verzia Windows 10 1909 sa už dostala na druhú pozíciu
K dispozícii 16 GB RAM pre smartfóny
Firefox začal skrývať DNS dotazy pred poskytovateľom pripojenia
Huawei mierne vylepšil skladateľný Mate, odstránil Google a zvýšil cenu
Raspberry Pi 4 má opravenú novú HW verziu
Známy termín príchodu Macu s ARM procesorom
Hotový prvý návrh PCI Express 6.0, 4x rýchlejšej ako PCI Express 4.0


Diskusia:
                               
 

Nemalo by to byť náhodou ľahko a rýchlo ošetritelne od strany peeringoveho centra po banku?
Odpovedať Známka: 7.1 Hodnotiť:
 

Myslim, ze to bude osetritelne na strane banky. Nie je to tak, ze by 100 az 200 eur nevyvolalo podozrenie.

Ak banka dostane prikaz na viac ako limit (20 eur) bezkontaktnou platbou, tak to vzdy vyvola podozrenie. Nech je to aj len 21 eur.
Odpovedať Známka: -4.4 Hodnotiť:
 

ty mozes zaplatit aj 21 EUR bezkontaktne, len potom by si mala karta pytat pin. Ak to obides, cez inu menu, ako utocnici ukazali, mas na smartfone uz overenu transakciu, ktoru potom uz len posles banke. Netreba Ti pin. Preto sa to vola zranitelnost.
Odpovedať Známka: 9.2 Hodnotiť:
 

Overenu transakciu sice mas, ale stale tam je aj udaj, ze nebol pouzity PIN. Ak su nastavene pravidla v riskovom module tak, ze nepovoli transakciu nad 20 Eur bez pinu, tak to proste system neautorizuje. Dalsia vec je, ze tu transakciu musis poslat banke ako autorizovany obchodnik. Spravis 2-3 take transakcie a uz Ta maju pod drobnohladom. Proste teroreticky to zranitelnost je, ale vyuzit ju prakticky je velmi obtiazne a riskantne.
Odpovedať Známka: 8.6 Hodnotiť:
 

no inak toto nechápem ako vôbec môže niekto chcieť čokoľvek vykonávať neautorizovaným terminálom, predsa na každej karte by mohol byť public key VISY ako hlavnej autority voči ktorej by si to karta sama overila.
Odpovedať Známka: 3.3 Hodnotiť:
 

Problem je, ze mozes pouzit neautorizovany terminal bez toho, aby si o tom vedel...
Odpovedať Hodnotiť:
 

Ked pouzijes neautorizovany terminal, ako potom dostanes transakciu do systemu? Banka neakceptuje ziadne ine transakcie, ako z registrovaneho terminalu.
Odpovedať Hodnotiť:
 

S posledno vetou nesuhlasim kedze obchodnik nemusi vediet ze si pouzil skimovanu kartu resp udaje znej v dnesnej dobe je normalne ze mas bezkontaktnu kartu na kryte mobiloch, staci to prepojit telefonom a pri kazdej patbe budes platit inou kartou
Odpovedať Hodnotiť:
 

Rozpravas uplne od veci. To nie je skimovana karta. Bezkontaktna karta sa neda skimovat. Precitaj si este raz clanok. Oni vytvorili falosny terminal a ziskali pozitivnu autorizaciu. Ale tu autorizaciu musia dostat do systemu cez registrovaneho obchodnika a to je velky problem.
Odpovedať Hodnotiť:
 

Nie. Tam sa platí kontaktne.
Odpovedať Známka: 6.4 Hodnotiť:
 

cash is the king ! a vzdy aj bude, bol a je !
a smrt tym, co hotovost zakazuju
Odpovedať Známka: 1.8 Hodnotiť:
 

cash je a vsetkych urovnaich zly, okrem jednej a to je vystopovatelnost.
Odpovedať Známka: -5.0 Hodnotiť:
 

já to říkám neustále, že každý email má mnohem lepší zabezpeční než bankovní systém

banky kradou, lžou a na bezpečnost kašlou
Odpovedať Známka: 4.0 Hodnotiť:
 

Email nema zabezpecenie uplne ziadne - nevies zarucit dovernost, integritu, autenticitu, dorucenie, nepopieratelnost, accountability....
Odpovedať Známka: 2.0 Hodnotiť:
 

asi si nepocul o openGPG... :D
Odpovedať Známka: -10.0 Hodnotiť:
 

ee nepocul, ale pocul som o OpenPGP
Odpovedať Známka: 10.0 Hodnotiť:
 

keby si mal na uctoch taky holy kkt ako ja tak by si bol v bezpeci
Odpovedať Známka: 8.9 Hodnotiť:
 

To nestačí. Musíš mať na účte aj zakázaný debet. Až potom si voči takémuto konaniu v bezpečí.
Odpovedať Hodnotiť:
 

tak toto je sprava dna! :D
... to aby som si kupil tie plechove puzdra na karty
Odpovedať Známka: 8.3 Hodnotiť:
 

staci raz zaplatit u necestneho pokladnika, co si v legalnom obchode prinesie nejaky skimming srandu a zoskenuje stovky kartiet za den, tisice za tyzden, potom uz bude na Hawaii..


Odpovedať Známka: 8.3 Hodnotiť:
 

To sa dalo uz aj predtym. Znama isla na dovolenku do Talianska. Na Sicilii si chcela pozicat na tri tyzdne auto. V oficialnej pozicovni zaplatila kartou okolo 700€. O dve hodiny jej volali zo slovenskej banky, ci vie o tom ze dnes zaplatila 3x 700€... Zrusila platby, nabehla naspät do pozicovne, urobila tam bordel ale to je asi tak vsetko co mohla s tym urobit. A pracovnicka pozicovne caka na dalsieho Slovaka :)
Odpovedať Známka: 9.1 Hodnotiť:
 

maju moznost platit bezkontaktne, cize ak chcete kartu len na pin, tak ju jednoducho nedostanete, lebo sa neda...
Odpovedať Známka: 2.7 Hodnotiť:
 

u lepicov som dostal bez problemov bezpecnejsiu kartu bez bezkontaktnej platby
Odpovedať Známka: 7.1 Hodnotiť:
 

lepici ma akurat pred dovmi mesiacmi otravovali uzasnou nalepkou na smartfon. A nie a nie pochopit, ze taku chujovinu nechcem a ze nepridem k 10sekundam pohodlia a stratim tym kontrolu a zbytocne zvysim riziko. Ze mi to pracovnici na prezentacii vysvetlia. Tak mu vravim, tak naco ponuka nieco o com nema ani paru a uz vobec sa nerozumie bezpecnostnym rizikam.
Odpovedať Známka: 9.0 Hodnotiť:
 

dam si limit ka kartu a mam v p... ne ?
Odpovedať Známka: -8.6 Hodnotiť:
 

Ano, ale v cudzej mene, vacsina blokovani zrovna v pripade bezkontaktnej Visa nefunguje!
Odpovedať Známka: 8.3 Hodnotiť:
 

Ide to offline, cize sa nekontrolje nastaveny limit
Odpovedať Hodnotiť:
 

Je smutné, keď banky kvôli svojim ziskom nepočúvajú priania svojich klientov a neponúknu im možnosť vybrať si aj kartu bez takéhoto bezpečnostného rizika.
Ale aby som len nepindal, poobede zo svojho počítača(počítaču v práci neverím, takže sa z neho na súkromný email neprihlasujem) zistím, či sa dá nastaviť limit na bezkontaktné platby a keď nie, tak im napíšem aspoň email.

Zatiaľ klientovi neostáva iné, než pri platbe kartou predavača upozorniť, že chcete platiť kontaktne.
Odpovedať Známka: 1.4 Hodnotiť:
 

Mne v mbank zrusili na vlastnu ziadost bezkontaktnu kartu (ktoru iniciativne zaslali bez toho, ze by som ich o to poziadal este pred vyprsanim platnosti starej) a poslali namiesto nej kontaktnu.
Odpovedať Hodnotiť:
 

Pred vydanim novej karty v mbank sa pytali, ci chcem stary iba kontaktny typ. Ja ze hej, takze mam stary kontaktny typ. Keby som im neodpisal, bez dalsich otazok ci ziadosti by mi znovuvydali bezkontaktny - tak bolo napisane v ozname.
Odpovedať Hodnotiť:
 

V normalnych bankach si cez internet banking vies bezkontaktne platby na karte vypnut.
Odpovedať Známka: 5.0 Hodnotiť:
 

To ale nedeaktivuje cip na karte. Ten funguje nadalej a daju sa z neho na dialku vycitat sukromne udaje podla udajov z hackerskej komunity bez zadania akehokolvek sifrovacieho hesla.
Odpovedať Hodnotiť:
 

Na akú diaľku je to možné? Nie náhodou pár cm?
Odpovedať Hodnotiť:
 

Vsetko zalezi od vykonu citacky. Ak si kutilsky vyrobia vykonnejsiu, tak kludne aj na 15-30 cm.
Odpovedať Hodnotiť:
 

a prave kvoli neeodstatocnej bezpecnosti kariet mam 2 ucty v rovnakej banke, jeden s kartou kde nenechavam viac ako 10€ a druhy bez karty
ak potrebujem platit kartou, prevediem si tam peniaze a budu tam teda iba kratky cas, takze aj keby mi niekto ukradol kartu alebo jej udaje, nedokaze ziskat viac ako 10€ (precerpanie toho uctu je samozrejme zakazane)
Odpovedať Známka: -3.3 Hodnotiť:
 

Podľa mňa kecáš...
Odpovedať Známka: 2.2 Hodnotiť:
 

v mbank je to bezny standard.
a uz som to asi s tou reklamou prehnal, ale nech.

Odpovedať Hodnotiť:
 

No vidis, ja prachy ukladam na 5 roznych miest - z toho 3 su ucty a kazdy v inej banke. AK sa nieco pokasles komplet vsetkymi bankami, tak stale pridem len o polovicu.
Odpovedať Známka: 3.8 Hodnotiť:
 

ked sa nieco pokasle so vsetkymi bankami tak padne mena ako taka a hotovost ti bude akurat tak na vytieranie zadku
Odpovedať Známka: 3.3 Hodnotiť:
 

A kde myslis, ze mam tie dalsie prachy? Ze drzim len hotovost?
Odpovedať Známka: 6.5 Hodnotiť:
 

Toto je hlupost. Ak padnu vsetky banky, tak praveze hotovost zostane jedina "cenina", ktoru vlastni kazdy, a ma dost ochrannych prvkov. To ci nastane obrovska inflacia alebo deflacia hotovosti zalezi od mnozstva penazi v obehu, alebo od zavedenia potencialne ineho platidla (zlato, striebro). No tam ludia budu vidiet riziko, pretoze je tazke overit beznemu cloveku pravost zlata/striebra resp. jeho hodnotu.

V dnesnej dobe je nerealne, ze by ludia presli na bartrovu vymenu, alebo si dohodli liter vody ako platidlo.

Nezmysel.
Odpovedať Známka: 3.3 Hodnotiť:
 

niekedy, ked este tatra bola normalna banka, tak mali eliot - nieco ako teraz zuno, ale komplet zadara ucet, na ktorom sa dalo riesit veci len elektronicky, a mal si k tomu kartu.
Ked som kupoval nieco cez net, previedol som tam peniaze, zaplatil. ak by chceli zneuzit, tak smola, na tom ucte som mal peniaze, len ked som chcel platit.
Odpovedať Známka: 5.0 Hodnotiť:
 

Takze tato sranda funguje len vtedy, ked mi pride na moju VISA kartu poziadavka na platbu v inej mene. Ale tato slabina v protokole EMV len sposobi to, ze karta potvrdi platbu v inej mene bez zadania pinu nad limit 20 eur. Ale ako je pre pana jana mozne zhotovit nejaky falosny platobny terminal, ktory pri priblizeni k mojej VISA karte, z nej automaticky ziska autorizaciu transakcie ? Ved aby mohla karta vobec nadviazat spojenie s nejakym platobnnym terminalom, mala by si vymenit svoje verejne kluce, ktore spravuje podobne ako pri sifrovanej komunikacii po nete nejaka korenova autorita, nie ?????
Odpovedať Známka: 2.0 Hodnotiť:
 

Pravdepodobne to tak nefunguje. Nezanedbatelna cast komunikacie sa odohrava v otvorenej forme podla normy ISO 14443 ako pri beznej smart card. Takto sa da na dialku vycitat meno a priezvisko drzitela, cislo karty, datum expiracie.

http://blog. saush.com/2006/09/08/ getting-information-from-an-emv-chip-card/
Odpovedať Hodnotiť:
 

celkom fajn clanok o bezkontaknych kartach http://goo.gl/Vc37VV
Odpovedať Hodnotiť:
 

vdaka za info
Odpovedať Hodnotiť:
 

Banka nesie riziko pri zneužití karty a uhradí všetky ukradnuté peniaze.

Ja by som chcel bezkontaktne platiť všetko do 100 Eur a všade. Načo nosiť železo a papiere po vreckách?

Teraz mi v potravinách vždy víjde účet že, 21 € alebo 20,50 € a už musím dávať PIN.

Ale pozerám, že je tu na IT portály dosť ľudí, čo by najradšej platili ovcami a medom - kvôli vyššej bezpečnosti..

Odpovedať Známka: -2.0 Hodnotiť:
 

Podla mna rizike nenesie banka ktora kartu vydala ale priamy tvorca systemu, napriklad VISA. Ak VISA neuzna Vasu reklamaciu, banka Vam to zo svojho nepreplati.
Odpovedať Známka: 3.8 Hodnotiť:
 

Ty mas zmluvu s bankou, nie s VISA. TJ reklamujes tam a kedze ide o transakciu, ktora podla zmluvy nemohla byt autorizovana (viac ako 20 Euro bez PINU) banka reklamaciu prijme a peniaze vrati. Zvysok si vybavi banka s VISA. Moze Ti byt jedno ako.
Odpovedať Známka: 7.5 Hodnotiť:
 

To čo píšeš ty je na rozhodnutí banky či bude prozákaznícky orientovaná. Ak by sme sa ale držali zákonov tak držiteľ karty je spoluzodpovedný za škodu pri zneužití karty do výšky 100€. Takže keď ti niekto ukradne kartu a vyberie 200€, banka ti vráti kilo a všetko bude podľa predpisov.

Odpovedať Hodnotiť:
 

Zrovna mne ukradli z karty 770,- E (VISA) niekto sa dostal k udajom pocas zadavania a banka (UniCredit) mi vsetko preplatila, este aj uroky, ktore som zaplatil z dlznej ciastky od nahlasenia zneuzitia...
Odpovedať Hodnotiť:
 

Mne zase došlo 150 € ale pred rokom, nezistil som doteraz odkiaľ, ale minul som ich a stále nič :d
Odpovedať Hodnotiť:
 

Uz to niekto spominal vyssie, robim to podobne. Proste 2 ucty, jeden s kartou kde sa drzi len minimalna hotovost t.j. 100-300 eur bez moznosti precerpania na bezny zivot, druhy sporiaci bez karty kde sa drzi vacsia hotovost. V pripade potreby cez mobil behom sekundy sa da previest z jedneho na druhy. Samozrejme cez net moznost nastavenia limitov vyberu z bankomatu, platieb na nete, mnozstvo transkacii denne.
Odpovedať Známka: 5.0 Hodnotiť:
 

presne tak, mam to rovnako, jeden bezny s kartou, k tomu spojeny sporiaci, posielat medzi nimi mozem v sekunde, a na sporiaci sa mi nik nedostane...cize ked tak mi mozu zobrat max par stovak.
Odpovedať Hodnotiť:
 

... alebo ti hacknu ucet nejakym trojanom ked prevadzas alebo banka skraje alebo euro pojde do <>, nikdy nemas v banke peniaze v bezpeci.
Odpovedať Známka: -2.0 Hodnotiť:
 

No kde mat peniaze aby boli uplne v bezpeci je asi ina tema...jedine asi v pozemkoch alebo nehnutelnostiach, inak nemas bezpecne asi nic
Odpovedať Známka: 7.8 Hodnotiť:
 

Mudro vravis
Odpovedať Známka: 10.0 Hodnotiť:
 

Alebo v Šermiarovej BezElektre...
Odpovedať Známka: 7.5 Hodnotiť:
 

ver tomu ze aj nehnutelnosti sa daju znarodnit ked uz sme pri tom
Odpovedať Známka: 6.0 Hodnotiť:
 

alebo znicit.
Odpovedať Hodnotiť:
 

bezkontakná platba sa dá vypnúť v internetbankingu, ja som to zrobil ihneď po príchode novej karty
Odpovedať Známka: -6.0 Hodnotiť:
 

a co si este zrobil
Odpovedať Známka: 7.8 Hodnotiť:
 

IMHO vypnúť sa dá len prerazením RFID antény. To čo nastavíš je len nejaký limit. Článok hovorí o tom, že nastavený limit bol prekročený. Ergo ako keby nebol. Nevidím dôvod domnievať sa, že nejaké nastavenie cez IB je na tom lepšie.
Odpovedať Známka: 3.3 Hodnotiť:
 

Ako nikdy som si nemyslel, ze sa pridam k gramar nazi.

Urobil pise sa urobil kua nie zrobil. <facepalm>ja</facepalm>
Odpovedať Hodnotiť:
 

Sa mi paci ze uz banky funguju v peeringovom centre (Sixe) a zrusili uz tie clearingove centra :-)
Odpovedať Známka: 3.3 Hodnotiť:
 

Ano, tiez som si vsimol tuto novinku :)
Odpovedať Hodnotiť:
 

Detegovať, nie detekovať .. :)
Odpovedať Známka: -4.3 Hodnotiť:
 

Nemohla by redakcia skúsiť získať vyjadrenie našich bánk? V prvom kole tých, ktoré už ponúkajú len bezkontaktné karty.
Odpovedať Hodnotiť:
 

Stanoviská samozrejme zisťujeme, k dispozícii by mali byť zajtra.
Odpovedať Známka: 10.0 Hodnotiť:
 

No pekne, dneska mi akurát prišla bezkontaktná Visa z VÚB. Posielajú to automaticky ako keby som mal o nejakú bezkontaktnú kartu záujem, ani nezavolajú ani nič, či chcem takú alebo takú.... Našťastie nie som milionár, ale ide o princíp, prečo mi niečo vnucujú.
Odpovedať Hodnotiť:
 

tvojich 17 eur na ucte naozaj nikoho nezaujima nemusis sa bat. chce to byt menej paranoidny, sem tam vybehni von na prechadzku.
Odpovedať Známka: -5.0 Hodnotiť:
 

čo sa stane keď si nastavím denný limit?
Odpovedať Hodnotiť:
 

Dobry bullshit. Tí vedci predsa neziskali žiadne peniaze. Iba dokázali spraviť transakciu, ktorá by podľa ich vedomostí nemala byť možná. Či ale ozaj nemala byť možná musí povedať banka, ktorá kartu vydala. Ona totiž určuje personalizáciou, či bude transakcia v zahr. mene kartou akceptovaná a do akej výšky.
Odpovedať Hodnotiť:
 

Viac si asi v rámci legálnosti nemohli dovoliť.
Odpovedať Hodnotiť:

Pridať komentár