Еще о защищенности RFID технологий- теперь применимо к RFID чипам применяемых в платежных картах

На сайте http://www.rfidjournal.com/expert/entry/7380/ обсуждался вопрос возможности считывания хакерами информации с кредитных карт с RFID чипом.

Господин Джордан из США обратился на RFIDJournal с письмом.
“Я исследовал вопрос о возможности считывания RFID меток на пластиковых банковских картах . Тем не менее, я не могу найти убедительных данных о реальных риск Можно ли считать RFID чипы кредитных карт? Если да, то какого рода информацию может быть получена хакерами? И могут ли они использовать считанную информацию для получения денег через платежные системы? Я посмотрел на веб-узлах компаний, продающих продукты для защиты от несанкционированного считывания, но их информация является предвзятой, потому что они пытаются продать свой продукт. “

Ему отвечает Марк Роберти, редактор, RFID Journal
Насколько мне известно еще не было случаев считывания информации с платежных карт с RFID метками (прим. Автора честно говоря я сильно в этом сомневаюсь. Поскольку такие карты появились давно и первые карты использовали чипы со слабой системой защиты и наверняка нашлись умельцы , которые смогли их считать. В настоящий момент компании работают над постоянным усилением режима защищенности чипов. И Современные технологии позволяют предотвратить не санкционированное считывание. Но технологии постоянно идут вперед – как технологии защиты так и технологии взлома.) RFID метки используемые в платежных картах имеют открытый стандарт , такой же как и другие RFID метки. Поэтому считывание RFID меток в картах оплаты возможно стандартными считывателями. Некоторые системы записывают в платежную карту только номер карты а все данные привязываются к этому номеру. Другие же хранят в RFID чипе имя владельца карты , код карты и дату окончания срока действия карты. (прим. Автора Первый случай кажется наиболее безопасным поскольку взломщик получит только некий абстрактный код ,который уже нужно дальше идентифицировать в системе).
Существует возможность мошенникам считать информацию с RFID метки в карте, но им также нужна дополнительная информация как пароль или адрес владельца. Получить ее они смогут только взломав дополнительные базы в которых хранится данная информация. Возможен вариант вступления в сговор с интеграторами платежных карт или с банковскими работниками имеющими доступ к данной информации, но перспективы получения выгод от этих операций значительно ниже рисков , которые с этим связаны.

Украденные данные платежной картой с RFID по идее можно было бы использовать для покупок в интернете, но нужно не забывать, что воспользовавшийся данной информацией должен указать свой адрес доставки и тем самым откроет себя. Также существующие системы платежей требуют адрес регистрации владельца. А данный адрес не храниться на RFID чипе платежной карты, тем самым введя не правильный адрес мошенник не сможет подтвердить платеж. Т.е. разрабатываются различные уровни защиты и обеспечения сохранности данных .
Компании, выпускающие кредитные карточки также используют программные средства для выявления потенциально мошеннических сделок, и прерывают ваши транзакции, если они обнаруживают необычные покупки.

В настоящее время вероятность кражи информации с кредитных и платежных карт с RFID чипами очень мала. Преступнику нужно потратить много времени для того, чтобы получить данные с карты, но возможностей использования и получения выгод не даст большой прибыли. Поэтому в ближайшее время беспокоиться не о чем. (прим.автора Насколько я знаю в интернете несколько лет назад был бум касательно баз данных платежных карт для использования их в качестве регистрации на различных сайтах предоставляющих услуги онлайн- например получение доступа к порносайтам. Но тогда довольно просто справились с этой проблемой. Поскольку владельцы карт ежемесячно получают отчеты о проведенных транзакцияхи только не внимательные пользователи карт пропускают такие оплаты. Тем более существует возможность вернуть платеж , который Вы не подтверждаете. Так что владельцам карт все таки стоит контролировать свои счета и подозрительные транзакции проверять и отменять).

Поэтому по мнению Марк Роберти, редактор, RFID Journal ближайшее время бояться не чего. В принципе я готов с ним согласиться.


http://rfid-and-wms.blogspot.com/