Blog o Ochronie Tożsamości Szczegoly

Szczegoly

  poprzedni wpis następny wpis  

2019-08-20 | Fellowes Polska SA | Albert Rynio

Wszyscy słyszeliśmy o skimmingu RFID przez przestępców z bezprzewodowymi czytnikami, którzy skanują karty płatnicze lub dokumenty w miejscach publicznych, aby wykraść informacje umożliwiające dokonywanie nieuczciwych transakcji lub kradzież tożsamości. Zagrożenie skimmingiem RFID spowodowało powstanie branży produktów blokujących sygnały RFID. Czy warto w nie inwestować? Dowiecie się tego z naszego artykułu.

Czy jest sens blokować sygnał RFID?

Czy jest sens blokować sygnał RFID? (źródło: depositphotos.com)

"Nie, to strata pieniędzy" – stwierdził Roger Grimes, ewangelista ochrony danych osobowych z KnowBe4, w wywiadzie udzielonym dla portalu Digital Trends. "Do tej pory nie było doniesień o próbie popełnienia przestępstwa, która została uniemożliwiona przez produkt blokujący RFID” – czytamy w artykule.

Wydaje się, że te stwierdzenia wyczerpują temat. Ale dlaczego przemysł RFID wciąż kwitnie?

Na czym polega skimming RFID?

Identyfikacja sygnału RFID (ang. Radio-Frequency Identification) to technika komunikacji bezprzewodowej, która wykorzystuje fale radiowe do przesyłania danych. Chipy RFID są powszechnie używane w kartach płatniczych, dokumentach oraz kartach dostępowych celem bezdotykowego skanowania danych i płatności zbliżeniowych. Te miniaturowe układy elektroniczne emitują sygnały radiowe, które są potencjalnie dostępne dla każdego odbiornika w bezpośrednim zasięgu.

Najtańsze czytniki RFID można kupić za mniej niż $100. Zeskanowane dane mogą zostać wykorzystane do kradzieży tożsamości ofiary lub przeprowadzenia nielegalnych transakcji. "Informacje, które są faktycznie przechwycone nie są jednak wystarczające do sfinalizowania transakcji” – stwierdza Grimes.

Obecnie każda karta płatnicza przesyła zaszyfrowany jednorazowy kod transakcji. Nie udostępnia imienia i nazwiska właściciela karty ani konta rozliczeniowego, a co najważniejsze, nie przesyła 3-cyfrowego kodu CVV/CVC znajdującego się z tyłu karty, wymaganego do uwierzytelnienia transakcji on-line. Informacje, które można zeskanować są niewystarczające, aby można było popełnić przestępstwo.

Jeśli zaś mowa o dokumentach tożsamości to przesyłanych przez RFID informacji nie można odczytać bez odpowiedniego klucza. Wszystkie dane są zaszyfrowane i mogą być odczytane wyłącznie przez autoryzowanych i uwierzytelnionych odbiorców. Ponadto wiele nowoczesnych dokumentów (np. paszporty) należy otworzyć na stronie ze zdjęciem, aby zeskanować chip – posiadają one osłony blokujące sygnały RFID.

Przestępstwo bez ofiar.

Producenci produktów blokujących sygnały RFID wykorzystują zrozumiały strach przed przestępstwami bezprzewodowymi. Nie ma jednak żadnych dowodów na to, że popełnione przestępstwa zostały dokonane po uprzednim zeskanowaniu RFID. Ten stan potwierdza również organizacja Action Fraud z Wielkiej Brytanii, która oświadczyła, że nigdy nie było żadnych zweryfikowanych doniesień o oszustach pobierających pieniądze z czyjejś karty zbliżeniowej po zeskanowaniu RFID. Okazuje się również, że nigdy nie odnotowano żadnych przypadków oszustw zbliżeniowych na kartach będących nadal w posiadaniu pierwotnego właściciela. Co więcej, nawet jeśli takie przestępstwa miałyby miejsce, transakcje bezprzewodowego posiadają gwarancję ochrony.

"Klienci banków są w pełni chronieni przed wszelkimi stratami wobec transakcji zbliżeniowych i nigdy nie zostaną pozostawieni bez wsparcia, w przeciwieństwie do utraty gotówki" – czytamy na stronach Digital Trends.

Roger Grimes od lat próbuje odszukać przestępstwo dokonane w wyniku skanowania RFID. Ten znany felietonista w dziedzinie bezpieczeństwa komputerowego napisał wiele artykułów i udzielił wielu wywiadów na temat produktów blokujących RFID. "Szczerze mówiąc, jestem zaskoczony, że producenci produktów blokujących RFID nie udowodnili do tej pory możliwości popełnienia przestępstwa przy użyciu RFID" – powiedział Grimes. "To udowodniło by sens ochrony dokumentów i kart płatniczych z RFID".

Producenci produktów blokujących RFID zwykle wyjaśniają na czym polega skimming RFID. Czasami odnoszą się również do prelekcji ekspertów ds. bezpieczeństwa danych na konferencjach naukowych lub przytaczają statystyki dotyczące różnych rodzajów przestępstw związanych z kartami płatniczymi.

"To jest właśnie oszustwo" – twierdzi Grimes. "Nigdy nie odnotowano ani jednego zgłoszenia próby popełniania przestępstwa, która została udaremniona przez produkt blokujący RFID, a nawet jeśli zgłoszono by 10 takich przypadków to nie jest coś, co powinno wygenerować przemysł o wartości wielu miliardów dolarów”.

Prawdziwe przestępstwa związane z kartami zbliżeniowymi.

Istnieją jednak pewne przestępstwa związane z RFID lub NFC (komunikacja bliskiego zasięgu) na kartach płatniczych i smartfonach, ale są one statystycznie niszowe. Zwykle występują one w sytuacjach, w których używana jest karta płatnicza, więc blokowanie sygnału RFID byłoby bezcelowe. Wśród nich najpopularniejszymi są nakładki na terminalach płatniczych lub bankomatach. Tego rodzaju incydenty są jednak "szybko" ujawniane, a klienci zawsze otrzymują zwrot utraconych środków.

Według brytyjskiego UK Finance oszustwa związane z kartami i urządzeniami bezdotykowymi pozostają na niskim poziomie, przy £19,5 mln funtów strat w 2018 r. w stosunku do £69 mld funtów wydatków w tym samym okresie. Oszustwa przy użyciu technologii zbliżeniowych i urządzeń płatniczych stanowiły jedynie 2.9% ogólnych strat związanych z oszustwami kart płatniczych.

Łatwiej kupić w Darknecie (ukryta część zasobów Internetu, którą można przeglądać wyłącznie przy użyciu specjalistycznego oprogramowania) dane kart kredytowych za 3 do 5 USD za sztukę, niż kłopotać się ze skomplikowanych skanowaniem RFID i oszustwami w świecie rzeczywistym.

Bardziej należy martwić się kradzieżą tożsamości lub oszustwami związanymi z kartami płatniczymi i innymi możliwymi do zweryfikowania przestępstwami. I choć korzystanie z produktu blokującego sygnał RFID nie ma faktycznego uzasadnienia, to nie ma również żadnych przeciwskazań, aby ich nie używać. Niniejszym artykułem obalamy jednak jeden z mitów ochrony kart płatniczych i dokumentów z chipami RFID.

źródło: https://www.digitaltrends.com/cool-tech/are-rfid-blocking-products-worth-your-money-we-asked-an-expert