Псевдохакерам удается заработать на мифе о том, что бесконтактные платежи небезопасны

Разного рода известия о том, что хакерами придуман способ, как украсть деньги с кредиток, выпущенных с поддержкой бесконтактных платежей, появляются с завидной регулярностью. И, как правило, это всего лишь утка. Но на этот раз кое-кто действительно станет жертвой из-за того, что не доверяет payWave и PayPass, причем, их не смущает, что причастность к этому банков и платежных систем равна нулю.

В паутине сегодня можно наблюдать распространение информации об устройстве Contactless Infusion X5, которому, по слухам, по силам даже ежесекундное клонирование до 15 карт. Его характеристики занимают весь экран, в которых говорится о его физических параметрах, частоте передатчика (13,56 MHz), максимальном расстоянии до карты (80 мм), габаритах антенны (5 на 6 см) и даже поддержке на уровне ОС (можно применить Windows 2000).

Особое внимание уделено скорости записи и чтения, составляющей 1 Мбайт/с. Дескать, за счет этого скорость клонирования поистине феноменальна. Где взять такое количество карт, не сказано, но в будто бы за каждой чудо-машиной прикреплено 20 болванок кредиток, которые и можно пустить на изготовление рабочих карточек.

Стоимость этого полезного в хозяйстве устройства 1,2 биткоина, или 825 долларов по текущему курсу. По рассказам продавцов, достаточно пройтись с ним в кармане, среди людей (допустим, в переполненном автобусе или на рынке), потом на болванки сделать запись данных карт и тут же все затраты окупятся.

Примечательно, что имея Contactless Infusion X5, действительно можно заработать. Только не тем, кто покупает, а тем, кто продает. Потому что практически реализация обещанного на практике в принципе нереальна.

Мошенники, к их чести, признаются, что устройство считывает только номер карты и срок ее годности. Но считывание ПИН-кода, имени владельца ему не по силам.

Теоретически, банк-эмитент может снизить уровень безопасности, но он по-прежнему будет слишком высоким для ридера Contactless Infusion X5. В чипе RFID не может содержаться имени владельца и CVC2-кода, в итоге полученная информация бесполезна даже для транзакций по интернету. Если говорить о беспроводных транзакциях, то по каждой из них чип динамически осуществляет генерацию одноразового кода на основе находящихся на хранении в его защищенной сфере секретных тройных 112-битных ключей алгоритма шифрования DES и реквизитов карты. Одноразовый код и подтверждает платежную операцию.

А если пытаться использовать клонированную карту, это приведет к тому, что и оригинал, и клон окажутся заблокированными.

Если владельцу чудесного сканера нечеловечески повезет, что машина считает это код до того, как его используют, это позволит создать клон карты, имеющей магнитную полосу. По такой карте вы даже совершите покупку в магазине, где нет терминалов с поддержкой чипованных карт. но тут действительно должно очень сильно повезти, ведь в современных картах применяется несколько значений track2 - на магнитной полосе, для контактного чтения чипа и для бесконтактного. Можно сделать запись кода с чипа на магнитную полосу, но это сработает только на старых терминалах, а их уже почти нет.

Но если владельцу оригинальной карты удастся успеть к тому моменту хоть раз попользоваться ею, сгенерируется новый код подтверждения, превратив скопированный в недействительный. Попытка использовать клонированную карту закончится блокировкой банком и оригинала, и клона. Вставлять в банкомат клон не имеет смысла - без ПИН-кода от него нет никакой пользы.

Своего рода изюминка новой чудесной машины - это ограничения по суммам бесконтактного платежа. Каждый банк проводит свою политику, но в России получить более 5 тыс. рублей не получится. В Америке это максимально $100, но, как правило, не выше $25. Велик риск не отбить затрат до того, как вас поймают.

Самое большее, что можно ожидать от машинки,— она склонирует бесконтактные пропуски, но этой функции нет в прилагаемом программном обеспечении. И получается, что немалые деньги можно отдать за настоящую пустышку, себестоимость которой примерно $50.