web-dev-qa-db-ja.com

ワイヤレスカードスキマーはただ恐れを抱いているだけですか?

他の国についてはよくわかりませんが、オーストラリアの銀行はRFIDチップを搭載したカードをリリースしています(ほぼ同じ時期に銀行カードを電話に交換するペイウェイアプリがあったので、理由は私を超えています)。また、ほぼ同時に、 スキャンブロッカー の広告が表示されています。このページでは、その仕組みについて説明しています。

  1. スキャンブロッカーのアンテナが近くのスニファーを検出します
  2. スキャンブロッカーは、スニファーからエネルギーを引き出して電源を入れます
  3. Scan Blockerは、すべてのカードをスニファーから見えなくするサラウンド電子フィールドであるE-Fieldを即座に作成します。
  4. スキャンブロッカーは、スニファーの信号をはじき、スクランブルします
  5. スニファが範囲外になると、スキャンブロッカーの電源が切れます

これらのチップが私の理解に入る前に、誰かがそれをすくい取ってそこから情報を盗むために銀行カード自体を必要としていました。人はカード自体を盗むか、カードスキマーをATMまたはEftposマシンに接続する必要がありました。 Scan Blockerなどの広告は、誰かがこの「スニファ」を持ってあなたの前を通り過ぎて、すべてのカードの詳細を取得できることを意味します。

しかし、私は複数の銀行が強制するだろうとは信じがたいです1 それらを安全にするためにサードパーティのデバイスを必要とするテクノロジー。だから私はこれらのスキャンブロッカーが言うことに真実があるかどうか疑問に思っていますか?これらのRFIDチップのおかげで、銀行のカードはさらに脆弱になりましたか?

1:チップのないカードを要求した後、銀行を変更するために行ったが、それはオプションではないと言われたので、私は強制されたと言います

banksrfidsniffing
1
Memor-X

ScanBlockerはやり過ぎのようで、送信機の動作によっては、場所によっては違法になることもあります。 RFブロッキングウォレットははるかに安価で、はるかに小さく、故障する部品が少なくなっています。私の紙のパスポートにはRFブロッキングカバーがあります。開く必要があります。私のプラスチック製パスポートカードは、RFブロッキングタイベックスリーブに入っていました。両方をテストしたところ、NFC読み取りを防ぐのに非常に効果的であることが証明されました。

NFCスキマーが存在するという点で広告は正しいです。スキマーに表示されるカードデータが役立つかどうかは、泥棒とカードによって異なります。カードは、アカウント番号を送信します。明確ですが、認証を成功させるには、CVV、CVV2、CVCなどと呼ばれる別の値も必要です。カード発行銀行が静的データ認証(SDA)を使用してCVVを生成した場合、泥棒は作業用クローンを作成するために必要なすべてを備えています。 (ただし、ほとんどの銀行はそれよりも賢いです。)カードが動的データ認証(DDA)を使用している場合、泥棒は暗号で生成された1回限りのCVV番号を取得し、カードが別の番号を生成した後でも機能しません。 。(CVV2はカードの表面または裏面に印刷された短いコードであり、泥棒はそれを電子的に読み取ることはできません。)

彼はまだアカウント番号を持っていますが、有効なCVVがないと、盗まれた番号を使用できるトランザクションが主にオフラインの状況に厳しく制限されることに注意してください。

より大きな問題は、これらの対策のいずれかが必要かどうかです。はい、地球上にはNFCスキミング泥棒がいますが、恐ろしい広告ほど多くは信じられないでしょう。それで答えは「状況によって異なります」です。あなたは人口の多い地域に住んでいますか?頻繁に大量輸送機関を利用したり、混雑した公共スペースに座ったりしますか?ショッピングモールや混雑した空港で多くの時間を過ごしますか?露出する人が多いほど、スキミングされる可能性が高くなります。危険にさらされていると思われる場合は、RFブロッキングウォレットを使用してください。

5
John Deters

あまり心配しません。

まず、カードからお金を引き出すには、実際にお金を受け取るために、自分のマーチャントアカウントを持つ端末が必要になります。このような口座を匿名で開設するのはそれほど簡単ではなく、資金が清算されるまでに数日かかることがよくあります。つまり、銀行は、実際にお金を受け取る前に、何かいたずらが起こっていることに気づき、取引を取り消すでしょう。

カードと正規の端末の間でインターネットを介して信号を中継する可能性のある別の攻撃があります。取引が行われるのとまったく同時に、詐欺師が一方の端末をカードに、もう一方の端末をある商人の場所に保持する必要があります。そのため、詐欺師は基本的にカードで支払いを行い、ネットワークを介して中継されます。非接触型決済(ここ英国では30ポンド)を介してのみ特定の金額を引き出すことができるため、引き出すのは非常にトリッキーであり、利益は最小限です。

最後に、銀行は、PINが入力されていない限り、不正な取引を取り消すことができます。これは、非接触型決済の場合には当てはまりません。

0
André Borie

ええと https://www.youtube.com/watch?v=elBWoMXt3WY -初期の非接触型実装は単にPAN in NFC半径。EMVを使用した非常に悪いアイデアPINなど)が改善されました。

CVVは3つの数字のコードであり、患者の攻撃者が最終的に破損しないようなセキュリティ対策ではありません。PANはPCIに機密データとして保持されますDSS =理由のための標準。

私は誰にもアイデアを与えたくないので、いくつかの答えがあなたを信じさせるかもしれないものとは反対に、断固とした忍耐強い攻撃者が利用できる攻撃ベクトルがたくさんあると私が言うとき、私を私の言葉に連れて行ってください。

0
bbozo