Сканери даних банківських карт - небезпечно це?

Мені тут вже раз двадцять надіслали посилання на статті про сканерах банківських карт з вбудованими чіпами RFID. Частина цих статей написані в панічному стилі з серії: "Шеф, усьо пропало, гіпс знімають, клієнт виїжджає". Мовляв, тепер зловмисникові зі сканером досить пройти поруч з вами в магазині, транспорті і так далі, після чого дані ваших банківських карт виявляться у нього в руках. І все, ти розорений, зворушливо обіцяють в цих статтях.

Найбільше пишуть про якийсь Contactless Infusion X5 - сканер інформації про банківські картки, який дійсно продається через Інтернет і може, як запевняють продавці, зісканувати дані будь-якої карти на відстані до 8 сантиметрів. До сканера навіть додається 20 чистих болванок, на які можна записати зіскановані дані, щоб, мовляв, користуватися цими картами так само, як і власник. Продають цей сканер щось там за $ 800, але обіцяють, що власник сканера ка-а-а-ак вийде в магазин, ка-а-а-а-ак зісканують три тисячі двісті двадцять десять карт зі швидкістю 15 карт в секунду, так і настане йому ЩАСТЯ.

Ну ось мене і запитували, що тепер робити. Чи потрібно нам, власникам карт з RFID-чіпом (а я такими картами користуюся року три), посипати голову попелом і рвати ці карти на американський прапор, щоб вони не дісталися ворогові?

Тут ще згадується зворушлива історія, як співробітник "Лабораторії Касперського" зауважив в метро людини з працюючим "сканером" і зробив висновок тому, що хлопець сканує дані карток всього вагона. За фотографії добре видно, що людина тримає в руках звичайний переносний термінал для прийому платежів, але осад, як ви розумієте, залишився, так що багато користувачів вирішили негайно відмовитися від пластикових карт з RFID і перейти на готівку, золоті злитки і черепашки з острова Борнео - їх принаймні не зісканують.

А тепер давайте розберемося. Чи можуть такі сканери існувати? Так, можуть. Більш того, вони напевно існують. Поки знаходяться ідіоти, які подібні пристрої купують за $ 800, то завжди знайдуться розумні люди, які ці сканери будуть випускати.

Ціна на них, звичайно, скоро буде помітно падати, коли з'ясується, що за $ 800 люди набувають абсолютно марна пристрій, але запевняю вас, що до $ 200 ціна впаде ще нескоро.

Так ось. Що теоретично може отримати власник такого сканера? Він може отримати номер карти і термін її дії. От і все. Що йому це дає? Взагалі нічого. Правда, ні, брешу, він на цю карту може перевести гроші - для перекладу НА карту досить одного номера.

Чи може він зняти з неї гроші? Ні, не може: для цього потрібно знати код CVC2, який він ніяк не може отримати, потрібні дані магнітної смуги, які за допомогою такого сканера достовірно отримати неможливо, ну і плюс потрібен пін-код, який він також за допомогою сканера не може отримати .

Чи може він щось купувати через Інтернет за цими даними? Ні, він не знає імені власника карти і коду CVC2.

Так що він з цим може зробити? Перекласти на карту, дані якої отримані через сканер, гроші, більш нічого. Під всякі тонкощі на кшталт того, що вбудований в карту чіп при кожній транзакції генерує одноразовий код і без нього нічого не зробити - зараз навіть влазити не будемо. Зловмисник за допомогою отриманих даних навіть магнітну смугу не зможе зімітувати, щоб її не відхилив банк - не вийде.

Тому з приводу можливості того, що дані вашої карти зможуть отримати за допомогою подібного сканера - поки, на мій погляд, можна не турбуватися: навіть якщо отримають, то все одно з цим нічого не зможуть зробити.

Інша справа, що якщо у вас за допомогою даного сканера дізналися номер карти і термін її дії, а далі почали отримувати відсутні дані за допомогою якихось інших способів - так, ось тут вже карта може бути скомпрометована. Зловмисник може тупо підглянути CVC2-код і ваші ФМ, коли ви будете розплачуватися цією карткою на касі. Втім, аналогічним чином він може підглянути і запам'ятати код карти - є такі шустрики. Але це вже зовсім інша розмова.

Я, власне, до того, що тільки за допомогою цього або подібних сканерів неможливо отримати дані ваших карт так, щоб потім оплачувати покупки в Інтернеті, здійснювати невеликі платежі без введення пін-коду (в Іспанії це суми до € 20) або якимись іншими способами відводити ваші гроші.

Ну а якщо знайдуться ідіоти, які за $ 800 куплять такий сканер - ну так я буду тільки радий. Ідіотів, та ще й шахраїв, треба вчити. І я з нетерпінням чекаю подачі судових позовів до розробників Contactless Infusion X5 з серії: "Я тут вирішив стати злодюгою, заплатив грошей, а пристрій для крадіжки коштів з карток належним чином не працює. Поверніть мені гроші"! Це буде хороша ржачка!