¿Los skimmers inalámbricos de tarjetas son simplemente temerosos?

Navega tus respuestas
0

No estoy seguro de otros países, pero los bancos australianos han estado lanzando tarjetas con chips RFID en ellos (por la razón que me supera, ya que casi al mismo tiempo ha habido aplicaciones de pago que cambian la tarjeta bancaria por un teléfono). También casi al mismo tiempo he estado viendo anuncios de Scan Blocker . La página explica cómo funciona.

  
  1. La antena del bloqueador de escaneo detecta un rastreador cercano
    2.   
  2. El bloqueador de escaneo extrae energía del sniffer para encenderse
    3.   
  3. Scan Blocker crea instantáneamente un E-Field, un campo electrónico envolvente que hace que todas las tarjetas sean invisibles para el sniffer
    4.   
  4. El bloqueador de escaneo repele y mezcla las señales de los sniffers
    5.   
  5. Una vez que un sniffer está fuera de rango, el Bloqueador de exploración se desactiva
    6.   

Antes de que estos chips se pusieran a mi entender, alguien necesitaba la tarjeta bancaria para hojearla y robarle información que una persona necesitaría para robar la tarjeta en sí misma o conectar una tarjeta skimmer a un cajero automático o máquina Eftpos. Los anuncios de Scan Blocker y similares implican que ahora alguien puede pasar por tu lado con este "sniffer" para obtener todos los detalles de tu tarjeta.

Pero me resulta difícil creer que múltiples bancos forzarían a 1 una tecnología que requeriría dispositivos de terceros para garantizar su seguridad. Entonces, me pregunto si hay algo de verdad en lo que dicen estos bloqueadores de análisis. ¿Se han vuelto más vulnerables las tarjetas bancarias gracias a estos chips RFID?

1: Digo forzado porque cuando fui a cambiar de banco una vez pedí una tarjeta sin chip pero me dijeron que no era una opción

    
pregunta Memor-X 08.11.2016 - 00:29
fuente

3 respuestas

4

ScanBlocker parece una exageración y, dependiendo de cómo funciona el transmisor, puede incluso ser ilegal en algunos lugares. Las billeteras de bloqueo de RF son mucho más baratas, mucho más pequeñas y tienen menos piezas para salir mal. Mi pasaporte de papel tiene una cubierta de bloqueo de RF; Necesita ser abierto un poco para ser leído. Mi tarjeta de pasaporte de plástico venía en una funda Tyvek con bloqueo de RF. He probado ambos y han demostrado ser altamente efectivos en la prevención de lecturas NFC.

Los anuncios son correctos en cuanto a que existen skimmers NFC. Si los datos de la tarjeta que son visibles para un skimmer son útiles o no, depende del ladrón y la tarjeta. Las tarjetas transmiten el número de cuenta en forma clara, pero una autenticación exitosa también necesita otro valor, llamado CVV, CVV2, CVC u otros. Si el banco emisor de la tarjeta usó la autenticación de datos estáticos (SDA) para generar el CVV, el ladrón tiene todo lo que necesita para crear un clon que funcione (la mayoría de los bancos son más inteligentes que eso). el ladrón obtendrá un número CVV de un solo uso generado criptográficamente, e incluso eso no funcionará después de que su tarjeta genere otro número. (El CVV2 es el código corto impreso en la cara o en la parte posterior de la tarjeta, y el ladrón no puede leerlo electrónicamente).

Tenga en cuenta que todavía tiene el número de cuenta, pero sin un CVV válido, limitará severamente las transacciones en las que puede usar el número robado para situaciones principalmente fuera de línea.

La pregunta más grande es si alguna de estas medidas es necesaria. Sí, hay ladrones de NFC en el planeta, pero no tantos como un anuncio de terror te haría creer. Así que la respuesta es "depende". ¿Vives en una zona populosa? ¿Con frecuencia toma el transporte público o se sienta en espacios públicos llenos de gente? ¿Pasas mucho tiempo en centros comerciales o aeropuertos ocupados? Cuantas más personas se expongan, mayores serán las posibilidades de que le desnuden. Si cree que está en riesgo, use una billetera con bloqueo de RF.

    
respondido por el John Deters 08.11.2016 - 05:12
fuente
0

No estaría muy preocupado.

En primer lugar, para extraer dinero de una tarjeta, necesitará un terminal con su propia cuenta de comerciante para recibir el dinero. No es tan fácil abrir una cuenta de este tipo de forma anónima y los fondos a menudo tardan unos días en aclararse, lo que significa que los bancos notarán que algo malo está ocurriendo e invertirán las transacciones antes de que pueda obtener el dinero.

Hay otro posible ataque que podría transmitir la señal entre su tarjeta y un terminal legítimo a través de Internet. Requeriría que los delincuentes tengan un terminal en su tarjeta y el otro en el lugar de algún comerciante al mismo tiempo que se realiza la transacción, de modo que el delincuente esencialmente pagará con su tarjeta, retransmitida a través de la red. Es bastante difícil de lograr y las ganancias son mínimas, ya que solo se puede extraer una cierta cantidad de dinero a través de contactless (30 £ aquí en el Reino Unido).

Finalmente, los bancos pueden revertir transacciones fraudulentas a menos que se haya ingresado un PIN, lo cual no es el caso de contactless.

    
respondido por el André Borie 08.11.2016 - 03:49
fuente
0

Bueno, enlace : las primeras implementaciones sin contacto simplemente transmitieron el PAN en el radio NFC. Una idea muy mala, con EMV, PIN, etc., las cosas han mejorado.

CVV es un código de 3 números, no es realmente una medida de seguridad como tal para que un atacante paciente no se rompa eventualmente, PAN se mantiene como datos confidenciales en el estándar PCI DSS por una razón.

No quiero darle a nadie ninguna idea, así que confíeme en mi palabra cuando le diga que hay muchos vectores de ataque disponibles para un atacante determinado y paciente, contrariamente a lo que algunas respuestas pueden hacer creer.

    
respondido por el bbozo 13.01.2017 - 11:17
fuente

Lea otras preguntas en las etiquetas

Diferentes variedades de seguimiento de IP ¿Puede el dispositivo en el otro extremo de un socket cambiar sin que yo lo sepa?