商场刷卡不安全 数字扒窃数秒窃取银行卡信息 - APT防御产品

商场刷卡不安全 数字扒窃数秒窃取银行卡信息

站在15厘米远处利用RFID读写器即可获取银行信息

美国芝加哥信息安全性和合规性解决方案的领先提供商Trustwave的安全专家大卫•布莱恩(David Bryan)站在拥挤的购物区域,他身后的背包里装有可以读取银行卡信息的设备。

Trustwave的安全专家大卫•布莱恩。

“这一科技是高频RFID,”布莱恩说道。“它利用13.56Mhz使得卡和读取器之间进行通信。在这个例子里,我使用了低功率嵌入式Linux电脑和一个容易买到的RFID读取器。它由USB电池驱动,可以塞进一个背包里。”

除了作为一个设备,数字扒窃还能够在手机里下载RFID应用程序。如果一个读取器或者装有RFID应用程序的智能手机处于够及范围内,它就能读取银行卡被用于支付购买的商品时传输的无线信号。

这一信息可以被输入一台机器里以复制这张卡,这台机器只需要300至400美元即可买到。安全公司诺顿表示今年70%的信用卡很容易受到数字扒窃的攻击。“这种设备可以读取不同的RFID标签,包括MiFare卡, EMV 卡,以及很多类型的RFID 标签。”由于RFID总是处于开启状态,有些支付专家表示它比近场通信技术技术(NFC)更易受到攻击。“这展示了感应支付卡读取技术并不是安全的银子弹(喻为一劳永逸的良方)。”布莱恩说道。

这种RFID技术会将银行信息通过无线电信号传输,能够在几秒钟的时间内获取这些细节。

“RFID支付卡需要配有一个移动设备,后者会生成特定交易的一次性支付卡号——而非拥有永不过期的静态支付卡。在拥挤的车站,如果某人有RFID支付卡,且我站的足够近,或者拥有一个足够大的天线,我就可以轻而易举的获取这些数据。”布莱恩先生还利用背包里的读取器靠近手提电脑从而轻易的窃取了信息。“卡背面的三位数字密码可以缓和可能的恶劣后果,”电子隐私信息中心(Epic)的总裁马克•罗登伯格(Marc Rotenberg)这样表示。

 谨防数字扒窃的场所包括拥挤的购物中心和繁忙的车站,在这些地点交易持续进行。

读取器无法读取这三位密码,但没有这三位数字密码也可以伪造银行卡并在店里出示使用。“我们对于(这三位数字密码)的启用存在一些疑问,因为如果不要求出示银行卡,那么使用这三位密码是没有意义的。” 罗登伯格说道。

使用箔的专业钱包会阻挡这些无线电频率信号,但真实的威胁仍然存在。Apple Pay通过不在iPhone上存储任何数字来克服这一问题。美国大通银行(Chase)的一名发言人告诉ABC7 I-Team他们的银行卡将停止使用这种无线电技术。“使用这些技术并没有错,但目前需要更多措施来保证人们的信息安全。”


转载请注明出处 APT防御产品 » 商场刷卡不安全 数字扒窃数秒窃取银行卡信息

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址