Устройство работает на расстоянии до 8 сантиметров от целевой карты, клонирование ведется постоянно
https://xakep.ru/wp-content/uploads/2016/06/X5.png
В dark web поступило в продажу устройство, изготовленное группой The CC Buddies, которое способно клонировать данные 15 банковских карт в секунду. При этом само устройство имеет очень небольшой размер, и работает на расстояниях до 8 сантиметров от целевой карты. Конечно, это не так много. Но представьте, сколько карточек можно клонировать, если пройтись по посещаемому супермаркету, вагону метро, очередью в авиакассу или потолкаться в других подобных местах (клуб, концерт известной группы и т.п.).
Если раньше злоумышленники для этой же цели использовали довольно габаритные девайсы, которые можно было рассмотреть, то размеры этого устройства позволяют положить его в карман. А если кто-то и увидит гаджет в руках злоумышленника, вряд ли поймет, что это такое. Называется эта система X5, и предназначена она для копирования данных чипа, встроенного в современные банковские карты с RFID.
Все собираемые данные хранятся внутри устройства, девайс поставляется со встроенной памятью. Извлечь информацию очень просто — нужно подключить систему к ПК, посредством USB кабеля, и при помощи специального программного обеспечения загрузить данные на компьютер. Софт поставляется все той же командой CC Buddies вместе с устройством.
Что касается информации, которую собирает гаджет, то она включает номер карты и срок ее действия. Если чип хранит и другую информацию, включая имя держателя, домашний адрес, мини-выписки, она также будет извлечена устройством и сохранена. Причем данные хранятся не в открытом виде, а шифруются. Владельцы устройства без проблем расшифровывают данные при помощи прилагаемого к Х5 программного обеспечения. После этого можно без проблем создать клон скопированной банковской карты, и использовать ее для различных целей.
Поставляется устройство с несколькими заготовками для создания дубликатов пластиковых карт, а стоимость системы достигает $800. Это по текущему курсу всего 1.2 биткоина. Отправляется Х5 по почте. вместе с USB дата-кабелем и 20 пустыми пластиковыми болванками. Доступна и подробная техническая информация.
«Contactless Infusion X5 является первым бесконтактным считывателем банковских карт, который продается хакерами на черном рынке. Этот продукт был спроектирован и создан командой The CC Buddies. Contactless Infusion X5 может обнаружить и считать любую банковскую карту на расстоянии до 8 сантиметров. Скорость передачи данных составляет 1024kbps, а это означает скорость считывания в 15 карт в секунду», — сообщается на ресурсе, где продается девайс.
В корпусе находится 5-вольтовая батарея, заряжаемая посредством кабеля USB 3.0 (прилагается). Для полной зарядки аккумулятора необходимо около 3 часов, после этого время работы системы составит около 10 часов. Считывает Х5 и другие карты с RFID, работающим с частотой 13.56 МГц. Пока что софт, поставляемый хакерами, не может расшифровать данные, собранные с других карт, но команда уже над этим работает. Так что в скором времени может быть представлено универсальное устройство.
Характеристики:
-Источник питания: USB 3.0
-Скорость: 480 Mbps (полная скорость)
-напряжение: 5V DC
-Ток: 200 mA (максимум); 50 mA (спящий режим); 100 mA (нормальный режим)
Работает с картами:
— SO 14443 Part 4 Type A и B карты, FeliCa, и еще четыре типа беспроводных карт (ISO/IEC 18092 tags)
-Протокол: FeliCa protocol, T=CL protocol
-Рабочая частота: 13.56 MHz
-Рабочее расстояние: до 80 mm
-Память: 8 ГБ
-Скорость чтения/записи: 1024kbps
Физические характеристики
-Размеры: 98.0 мм x 65.0 мм x 12.8 мм
-Вес: 70 г
-Материал: Поликарбонат
-Цвет: Черный
-Размер антенны: 60 мм x 50 мм
-Длина кабеля: 50 см (USB 3.0)
Дополнительно:
-Красный и зеленый светодиоды
-Вибромотор
Совместимость с ОС:
-Microsoft WHQL 2000, XP, Vista, 7, 8, 10, Server 2003, Server 2008, Server 2008 R2, Server 2012
Что в коробке:
1 x Contactless Infusion X5
20 x пустых пластиковых болванки (с чипом)
1 x USB 3.0
1 x The CC Buddies софт
1 x упаковка
Как видим, охота на банковские карты (причем «умные» карты) выходит на поистине промышленный уровень. Такие системы могут собирать данные карт практически в неограниченном количестве.
Ранее в этом году по многим СМИ разошлась фотография человека в метро, который держит переносной «сканер» (на самом деле — мобильный терминал оплаты), считывающий банковские карты. Сканер на фотографии работал, и пользователи сети решили, что этот человек — мошенник, который дистанционно списывает суммы до 1000 рублей у своих соседей по вагону.
И действительно, это можно осуществить. «Согласно правилам платежных систем, бесконтактная оплата до тысячи рублей может осуществляться без введения пин-кода. Если рассуждать гипотетически, то на вопрос «может ли человек в метро с таким терминалом в час пик, прислоняя его к одежде и сумкам, списывать деньги со счетов пассажиров» ответ будет положительным. При определенной ловкости – сможет. Но черт, как обычно, кроется в деталях», — пояснил Александр Бородкин, начальник управления пластиковых карт ВТБ24.
Но проблема (для злоумышленников) с таким терминалом состоит в том, что денежные средства с вашего карточного счета в банке спишутся и попадут в банк – эквайер, владеющий этим терминалом. Плюс ко всему, при снятии денег с карты клиента банка ему будет приходить SMS-уведомление.
А вот у X5 никаких ограничений нет — здесь деньги никуда не переводятся, а считываются сами данные карты. Так что мошенник может беспрепятственно обходить десятки вагонов метро или ходить по очень людным местам. И никто ничего не заподозрит.