Рубрика «NFC»

Привет.

В последнее время я довольно часто сталкиваюсь с непониманием российских пользователей относительно бесконтактных платежей в дешевой носимой электронике и роли NFC чипа в данной функциональности.

Большую роль в этом играют всевозможные новостные ресурсы, авторы которых бездумно (или же специально, в жертву кликбейту) копипастят друг друга, додумывая интересные фишки. Ситуация усугубляется с анонсами новых устройств, таких, как Xiaomi Mi Band 4, и новостями о скором приходе в Россию платежной системы Xiaomi Mi Pay, в сотрудничестве с MasterCard.
Этим постом хотелось бы развеять непонимание, сложившееся в рунете по этой теме.
Читать полностью »

Умелец растворил банковскую карту в ацетоне, чтобы сделать кольцо для бесконтактных платежей - 1

Многие находят удобным платить бесконтактной RFID картой: просто поднести её к терминалу без ввода пинкода. Но ещё удобнее избавиться от пластика и платить просто рукой.

Идея этого DIY-проекта заключается в том, что если у вас есть банковская карта RFID, вы можете запросить у банка ещё одну, затем растворить её в ацетоне, вытащить чип RFID, припаять к нему новую антенну, приклеить эту сборку к внутренней раме, а затем поместить её в форму, сделанную из полноразмерного кольца, залить смолой. В результате у вас будет кольцо, которое позволит расплачиваться в любом учреждении, которое принимает бесконтактные карты (то есть практически везде) без необходимости вынимать кошелёк.
Читать полностью »

Как я имплантировала RFID себе в руку, а потом еще NFC. Часть 2 - 1

Прошло более четырех лет с момента публикации первой части про EM4100 и я решила все же написать вторую часть — про имплантируемый NFC.

Преимущества первой 125 кГц метки были ощутимы сразу — ключ к домофонам и внутренним замкам, но хотелось большего — разблокировать телефон, ноутбук, хранить данные в защищенном месте. Все это позволяет сделать метка NFC стандарта.

Подробнее про процесс имплантации без помощи посторонних, использование и недостатки — под катом.
Читать полностью »

Спешу предупредить читателей: Данная статья написана только для ознакомления, и ни в коем случае не призывает к любым противоправным действием. Автор не несет ответственности за любые неправомерные действия совершенные людьми с использованием информации из данной статьи.
СКУД моего ЖК — безопасность на двух болтах - 1
Приветствую читатель. Сегодня я хочу поговорить о безопасности систем контроля и управления доступом (СКУД) в целом и на примере моего ЖК. Будут рассмотрены основные уязвимости, а также совершена успешная попытка копирование ключей. Все манипуляции будут носить в основном аппаратный характер.
Читать полностью »

Визитки, обмен контактами

Аннотация: в статье сделан обзор современных технологий и мобильных приложений под android для обмена контактами.

В поездках, на конференциях и других мероприятиях мы часто встречаем новых людей. Обычно при обмене контактами мы называем свое имя, диктуем номер телефона, email, даем ссылку на профиль в соцсети или просто передаем новому знакомому свою бумажную визитку. На смену этих способов обмена контактами все чаще приходят другие – более быстрые, современные и технологичные. Давайте рассмотрим в этой статье какие варианты приходят на смену традиционным способам обмена контактами. Среди всех возможных вариантов обмена контактами выберем популярное направление – мобильные приложения для смартфонов, т.к. сейчас смартфон все чаще – это непременный атрибут современного человека.
Читать полностью »

В этой статье я хочу рассказать о безопасности систем автоматизированной оплаты парковки. Приблизительно таких, как на этой картинке.

image

При въезде выдается парковочный талон, при выезде он засовывается обратно в терминал. В основном, талоны бывают двух типов: бумажные со штрихкодом/QR-кодом и пластиковые бесконтактные карты, о последних и пойдет речь.
Читать полностью »

Всегда было интересно посмотреть, что происходит у банковской карточки под «капотом». Как реализуется протокол общения банковской карточки и POS-терминала, как это работает и насколько это безопасно. Такая возможность предстала передо мной, когда я проходил стажировку в компании Digital Security. В результате при разборе одной известной уязвимости EMV карт в MagStripe-режиме, было решено реализовать мобильное приложение, которые способно общаться с терминалом по бесконтактному интерфейсу, с использованием своих команд и подробным разбором запросов и ответов. А также попробовать реализовать способ клонирования карт MasterCard в режиме MagStripe.
В этой статье я постараюсь описать, что такое EMV-карта, как она работает и как используя Android можно попытаться клонировать вашу MasterCard карту.

«There are some things money can't buy. For everything else, there's MasterCard»

Что такое EMV карта?

EMV — это международный стандарт для банковских карт с чипом. В разработке этого стандарта принимали участия Europay + MasterCard + VISA, отсюда и название. Попробуем разобраться, как же все таки карта общается с POS-терминалом по бесконтактному интерфейсу. Читать полностью »

Как украсть деньги с бесконтактной карты из кармана? Насколько безопасен PayPass и Apple Pay?

В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты на примере настоящего POS-терминала, карт PayPass/payWave и телефонов с функцией Google Pay/Apple Pay.

Рассматриваемые темы:

  • Можно ли НА САМОМ ДЕЛЕ украсть деньги, прислонившись POS-терминалом к карману? — мы попытаемся полностью воспроизвести этот сценарий мошенничества от начала до конца, с использованием настоящего POS-терминала и платежных карт в реальных условиях.
  • В чем разница между физическими и виртуальными картами Apple Pay? — как происходит связывание физической карты и токена Apple Pay, и почему Apple Pay во много раз безопаснее обычной карты.
  • Используем аппаратный NFC-сниффер (ISO 14443A) — воспользуемся устройством HydraNFC для перехвата данных между POS-терминалом и картой. Рассмотрим, какие конфиденциальные данные можно извлечь из перехваченного трафика.
  • Разбираем протокол EMV — какими данными обменивается карта с POS-терминалом, используемый формат запросов, механизмы защиты от мошенничества и replay-атак.
  • Исследуем операции без карты (CNP, MO/TO) — в каких случаях на самом деле(!) можно украсть деньги с карты, имея только реквизиты, считанные бесконтактно, а в каких нельзя.

Внимание!
В статье подробно описывается гипотетическая схема мошенничества, от начала и до конца, глазами мошенника, с целью покрыть все аспекты, в которых культивируются мифы и заблуждения. Несмотря на провокационный заголовок, основной вывод статьи — бесконтактные платежи достаточно безопасны, а атаки на них трудоемки и невыгодны.

Материалы в статье представлены исключительно в ознакомительных целях. Все сцены демонстрации мошенничества инсценированы и выполнены с согласия участвующих в них лиц. Все списанные деньги с карт были возвращены их владельцам. Воровство денег с карт является уголовным преступлением и преследуется по закону.Читать полностью »

Используем Apple Pay, Android Pay, Mastercard Paypass, Visa PayWave и карту Тройка в качестве пропуска на работу

TL;DR В статье описывается процесс создания системы контроля доступа (СКУД), в которой в качестве идентификатора могут использоваться карты Тройка, любые бесконтактные банковские карты EMV, а также телефоны с Apple Pay и Android Pay. Управление системой происходит через Telegram-бота.

Основные задачи системы

  • Избавиться от лишних карт — в качестве идентификатора используется то, что уже есть у пользователя: транспортная карта, телефон или банковская карта. Какой идентификатор использовать — каждый выбирает сам. Система работает со всеми типами идентификаторов одновременно.
  • Избавиться от бюро пропусков и сложных программ управления — нам надоело выдавать и забирать карты у пользователей, держать отдельные компьютеры для управления пропусками, изучать переусложненные программы.
  • Управление через Telegram — заведение и удаления пользователей происходит удаленно и не требует компьютера.

Читать полностью »

Биохакера с имплантированным проездным оштрафовали за безбилетный проезд - 1

Многие привыкли платить в магазине и в транспорте бесконтактными смарт-картами. Это действительно очень удобно: достаточно поднести карточку к ридеру — и с неё списывается необходимая сумма денег или поездок. Если карта выдана банком, то при оплате мелких покупок не нужно вводить пинкод. Но у такой карты есть главный недостаток — её можно потерять.

Усовершенствовать систему предложил австралийский юрист по имени Мяу-Людо Диско Гамма Мяу-Мяу (Meow-Ludo Disco Gamma Meow-Meow). Зачем носить карточку в кармане, если гораздо удобнее вмонтировать чип непосредственно в руку. Такую идею биохакер (он называет себя киборгом) выдвинул в 2017 году — и реализовал на практике, зашив чип от карты под кожу левой ладони. «Киборг» рассчитывал, что теперь у него не возникнет проблем в общественном транспорте. Надежды разбились о суровую реальность. Прогрессивному гражданину пришлось заплатить штраф за безбилетный проезд, потому что формально он был обязан предъявить контролёру карту, но не смог.
Читать полностью »