Karty paypass Ataki Bezpieczeństwo w Systemach Komputerowych Skimming Utrata karty Przechwycenie danych karty kredytowej Błędy działania Chargeback 1 2 wprowadzenie wprowadzenie Budowa karty magnetycznej 1 ścieżka alfanumeryczna i 2 ścieżki numeryczne 218 znaków nie ma zapisanego PINu (autoryzacja PINu podanego przez użytkownika wymaga połączenia z centrum autoryzacji) łatwość kopiowania danych i ich fałszowania Karta chipowa 100kb pamięci możliwość wewnętrznej autoryzacji z identyfikacją kodu PIN off-line 3 4 Skimming - skopiowanie zawartości paska magnetycznego Anty 5 6 1
Na Antyskimmer Na Antyskimmer 7 8 9 10 Bankomat + Biometria!!! inne zagrożenia CashTrap 11 12 2
utrata karty utrata karty 1.04.2014 weszła w życie rekomendacja NBP w sprawie kart zbliżeniowych. Całkowicie zniesiono odpowiedzialność klienta za transakcje po zastrzeżeniu karty (łącznie z transakcjami z PINem) Za nieuprawnione transakcje dokonane przed zastrzeżeniem karty klient odpowiada do kwoty 50 euro (dotychczas 150 euro) Nie dotyczy sytuacji, gdyposiadaczowi można przypisać winę za zaistniałą sytuację, np. nienależyte przechowywanie karty, kodu, udostępnienie karty osobie nieuprawnionej Nie dotyczy to sytuacji, gdy doszło do transakcji z winy umyślnej: przy przestępstwach bankomatowych musi być zapis z kamery lub fotografia których zapis wskazuje na posiadacza, by udowodnić winę posiadacza. wina umyślna a płatności potwierdzone PINem...? 13 14 przechwycenie danych karty kredytowej przechwycenie danych karty kredytowej Nie podawaj (telefon, e-mail) danych: numer, kod CVV2/CVC2 Nie spuszczaj karty z oka, płacąc Bo sprzedawca może zapamiętać imię, nazwisko i kod CVV2, natomiast numer karty ma na zestawieniu dobowym!!!! Nie podawaj (telefon, e-mail) danych: numer, kod CVV2/CVC2 Nie spuszczaj karty z oka, płacąc Nie ufasz sklepowi internetowemu? (obawa o dane karty kredytowej) karta wirtualna - samemu ustala się limity wydatków ładując na nią tyle pieniędzy, ile jest potrzebne do zrobienia zakupów. Po opuszczeniu wirtualnego sklepu kartę można rozładować. Karta wirtualna przestaje być obiektem zainteresowań internetowego oszusta, bo nie ma na niej żadnych pieniędzy 15 16 błędy działania Chargeback 3/2008 6/2011 Posiadacze kart VISA, którzy dokonywali w dniu 14 i 15 stycznia 2008 wypłat z bankomatów mogli się zdziwić niektóre wypłaty były księgowane wielokrotnie pojawiły się znaczne debety Banki prawdopodobnie anulują wypłaty Anulowanie obciążeń - procedura: Umowa o korzystanie z karty: postępowanie reklamacyjne Art. 278 par. 3 Kodeksu Cywilnego: posiadacz rachunku bankowego jest obowiązany zgłosić bankowi niezgodność zmian stanu rachunku lub salda w ciągu 14 dni od otrzymania wyciągu z rachunku Kupując przez internet i płacąc kartą (kredytową, płatniczą) można... mieć problemy: towar nie dotarł lub dostaliśmy coś innego a rozmowy ze sprzedawcą nic nie dały. Można złożyć w banku reklamację transakcji Bank może zainicjować tzw. procedurę chargeback prowadzącą do odzyskania utraconych pieniędzy. Zgodnie z regulacjami Visa i MasterCard bank ma obowiązek taką reklamację przyjąć. Przykładem zastosowania procedury było bankructwo firmy Air Polonia i złożenie przez klientów reklamacji 17 18 3
Wprowadzenie (karty przedpłacone) znane także jako elektroniczne portmonetki (ang. electronic purse) standard ISO/IEC 14443 technologia PayPass (MasterCard) lub PayWave (Visa) układ elektroniczny z anteną RFID uiszczenie opłaty zbliżenie do czytnika transmisja karta-czytnik jest szyfrowana transakcja do 50 PLN nie wymaga tzw. autoryzacji (podpis, PIN) 19 20 anonimowość anonimowość Jak rozpoznać kartę pre-paid (anonimową) Karty gwarantują anonimowość Kod IBAN dla kont: PL cc BBBB BBBc RRRR RRRR RRRR RRRR c cyfry kontrolne, R kod banku i oddziału, R numer rachunku Zakupiona w banku karta ma ANONIMOWE konto bankowe Zasilanie karty (nie dla każdej karty) wpłata na konto WBK wydaje karty o kodzie 59 (cc) 1090 0075 (BBBB BBBc) 1090 kod banku 0075 kod oddziału Nie możemy zakładać, że banki będą miały anonimowe rachunki tylko w jednym oddziale 21 możliwość wykonywania anonimowych transakcji możliwość anonimowego wyłudzania pieniędzy (np. aukcje) Problem nielegalnego wykorzystania jest badany w USA (finansowanie siatek terrorystycznych, prania pieniędzy) 22 http://www.snopes.com/fraud/identity/pickpocket.asp (12.2010) Osoba atakująca posiadająca czytnik z anteną: odczyta: imię, nazwisko, numer rachunku, data ważności PINu i CVV nie odczyta Electronic pickpocketing zasięg ataku niewielki skupiska ludzkie obrona: odczyt karty przez osobę nieupoważnioną utrudniony, w sytuacji wystąpienia w sąsiedztwie czytnika kilku kart z nadajnikiem RFID, działających na podobnej częstotliwości 23 24 4
Utrata pieniędzy z konta Podsumowanie 08.2014 ZABEZPIECZENIA: : chroń karty pomimo, że jesteś chroniony Kopiowanie zawartości karty czytnikiem RFID jest możliwe z odległości mniejszej niż kilka cm. Do każdej transakcji bezstykowej karta generuje jednorazowy kod CVC Możliwość zdefiniowania autoryzacji online w celu sprawdzenia, czy nie doszło do przekroczenia limitu Co kilka/kilkanaście transakcji terminal żąda potwierdzenia transakcji kodem PIN, nawet jeżeli kwota nie przekroczy 50 PLN 25 26 5