BLOG

UPDATE: Bezpečnostná analýza platobných NFC kariet

2015-02-28 19:32 Pavol Lupták

Zusammenfassung

Kontaktlose Kreditkarten Visa (payWave) und Mastercard (PayPass) gehören zu den beliebtesten in der Slowakei – diese werden von mehr als der Hälfte der Menschen (56%) bevorzugt.

Auf der Konferenz Hackito Ergo Sum in Paris wurde im April 2012 die Präsentation (Hacking the NFC credit cards for fun and profit), veröffentlicht, in der zum ersten Mal beschrieben wurde, dass es technisch möglich ist, vollständig anonym und ohne Authentifizierung auf Entfernung zu großen Mengen sensibler Informationen zu gelangen um diese anschließend zu missbrauchen. Zu solchen Informationen gehört beispielsweise die Liste aller abgeschlossenen Zahlungstransaktionen (Zahlungen in POS-Terminals, Bankomatabhebungen)

Da es sich um fast 3 Jahr alte Informationen handelt, haben wir beschlossen eine Sicherheitsanalyse der NFC Kreditkarten in der Slowakischen Umgebung durchzuführen, um festzustellen, ob die Kreditkartenunternehmen diese Enthüllungen reflektieren und ob diese bereits begonnen haben, ausreichend sichere NFC-Kreditkarten auszustellen . Das Ergebnis unserer Analyse ist alarmierend – die meisten NFC Kreditkarten in der Slowakei sichern immer noch imposanten Mengen von sensiblen Informationen.

Diese sensiblen Daten kann jeder Verkäufer lesen, der einen NFC- POS-Terminal zur Verfügung hat , oder Banken, deren Geldautomaten kontaktlose NFC Kreditkarten lesen können oder zufällige Angreifer die einen physischem Zugriff zur verletzbaren NFC-Karte. Bekommen haben. Anschließend ist es möglich die angeführten Informationen zu missbrauchen, um das Einkaufsprofil des Karteninhabers zu erhalten, die Ermittlung der Länder (basierend auf der Währung die verwendet wurde) die der Kreditkartenbenutzer besucht und wo er diese Karte benutzt hat, zur Beurteilung seiner Zahlungsfähigkeit und damit beispielsweise gezieltes Marketing durchzuführen. Es ist auch möglich die Kreditkarte nach den Laden physisch zu sperren (3 malige Eingabe des falschen PIN-Codes)

Gebrauchte Instrumente

NFC Daten die auf der kontaktlosen Kreditkarte gespeichert sind, sind lesbar mit einen beliebigen NFC-Lesegerät der das ISO14443 –Protokoll fördert und auf der Frequenz von 13,56 MHz arbeitet. In unserem Fall haben wir Standard-Smartphones und Tablets mit der Unterstützung für NFC und spezialisierte NFC Reader (Touchatag) benützt. Als Applikation haben wir das Banking card reader NFC (EMV) benützt, das direkt auf Google Play erhältlich ist. Die benützte Applikation konnte einige Informationen (wie zB den Besitzer der Karte) nicht lesen. Diese Informationen waren aber zB mit der Applikation NFC millionare lesbar, das Demo-Video finden Sie hier, wo es möglich ist dies wirklich unauffällig durchzuführen.

Maximale Entfernung

Das Lesen der Karten wurde ohne eine externe NFC-Antenne mit einem Abstand von 4 cm realisiert. Der NFC-Standard ermöglicht es diese Entfernung bis zu einem Abstand von 20 cm zu erhöhen.

Nach der Präsentation “Hacking the NFC credit cards for fun and debit” (Folie 21) ist es möglich mit Hilfe einer externen Antenne die Reichweite des Leseverstärker ( 2000 EUR ) und einer Antenne (1000 EUR) bis zu einem Abstand von 1,5 Meter zu erhöhen. Eventuell mit passivem Sniffing die Entfernung bis zu 15 m erhöhen, mit der Hilfe eines Funkempfängers (zB USRP ) mit einem Standard- Teleskopantenne .

Video, wie man NFC- Kreditkarten elegant und einfach lesen kann.

 

Missbrauch von Kreditkarten

Eine Vielzahl der NFC EMV-Kreditkarten enthaltet sensible Informationen, welche aber für die korrekte Funktionalität der Kreditkarte nicht benötigt werden, wie zum Beispiel den Namen des Karteninhabers oder dessen ausgeführte Transaktion Geschichte.

Mit der Analyse der verfügbaren Slowakischen NFC EMV-Karten haben wir herausgefunden, dass es möglich war vollständig anonym, ohne Authentifizierung, für eine Reihe von Testkarten und innerhalb von wenigen Sekunden die gesamte Historie der Transaktionen zu laden.

Es war auch möglich aus den NFC Chip die Kartennummer und das Ablaufdatum (ohne CVC-Code) zu lesen, der auch auf der Karte selbst aufgedruckt ist, ebenso wie die Anzahl der verbleibenden PIN Versuche. Mit der ApplikationNFC millionare waren wir in der Lage, den Karteninhaber herauszufinden.

Informationen wie CVC / CVV-Code werden nicht auf der Karte gespeichert und sollten nicht gelagert werden.

Vergleich der NFC EMV – Zahlungskarten in der Slowakei
die Bank Kreditkarten Typ Transaktions-historie? Kartennumer und Verfallsdatum Gespeicherte information über die verbleibende  PIN Versuche Verfallsdatum
SLSP Visa Electron Ja Ja Ja 06/16
SLSP Visa Electron Nein Ja Ja 10/17
SLSP Visa Classic Nein Ja Ja 11/17
SLSP Visa Electron Ja Ja Ja 09/15
SLSP Visa Electron Ja Ja Ja 01/17
SLSP MasterCard Maestro Ja Ja Ja 10/16
SLSP Visa Electron Ja Ja Ja 08/17
SLSP Visa Electron Nein Ja Ja 09/17
SLSP Visa Electron Ja Ja Ja 07/15
SLSP Visa Classic Ja Ja Ja 06/17
SLSP Visa Classic Nein Ja Ja 06/15
SLSP Visa Electron Ja Ja Ja 06/15
SLSP MasterCard Maestro Ja Ja Ja 02/16
SLSP MasterCard Debit Ja Ja Ja 07/15
mBank Visa Classic Ja Ja Ja 04/17
mBank Visa Classic Ja Ja Ja 01/17
mBank Visa Classic Ja Ja Ja 12/15
mBank Visa Classic Ja Ja Ja 01/18
mBank Visa Classic Ja Ja Ja 09/17
Zuno Visa Classic Ja Ja Ja 07/17
Zuno Visa Classic Ja Ja Ja 02/18
Zuno Visa Classic Ja Ja Ja 09/16
Zuno Visa Classic Nein Ja Ja 07/17
Zuno Mastercard Ja Ja Ja 02/17
Zuno Visa Classic Nein Ja Ja 02/17
Zuno MasterCard Ja Ja Ja 03/17
Zuno Visa Classic Nein Ja Ja 10/17
VÚB Visa Classic Nein Ja Ja 02/18
VÚB Visa Classic Nein Ja Ja 08/15
VÚB Visa Electron Nein Ja Ja 08/15
VÚB Visa Classic Nein Ja Ja 12/16
VÚB Visa Classic Nein Ja Ja 06/15
VÚB Visa Classic Nein Ja Ja 01/17
Tatra banka Visa Classic Nein Ja Ja 06/15
Tatra banka Visa Electron Nein Ja Ja 11/15
Tatra banka Visa Electron Nein Ja Ja 01/16
Tatra banka Visa Electron Nein Ja Ja 03/16
Tatra banka Visa Electron Ja Ja Ja 02/17
Tatra banka Visa Electron Ja Ja Ja 09/16
Tatra banka Visa Electron Nein Ja Ja
Tatra banka Visa Classic Ja Ja Ja 07/17
Tatra banka Visa Electron Nein Ja Ja 07/16
Tatra banka Visa Electron Nein Ja Ja 06/17
Tatra banka Visa Classic Nein Ja Ja 11/15
Tatra banka Visa Electron Ja Ja Ja 02/17
Tatra banka Visa Classic Ja Ja Ja 11/16
Tatra banka Visa Electron Nein Ja Ja 07/15
Unicredit MasterCard Maestro Ja Ja Ja XX/XX
Unicredit MasterCard Maestro Ja Ja Ja 05/17
Unicredit MasterCard Nein Ja Ja 05/13
Sberbank MasterCard Maestro Ja Ja Ja 07/18
ČSOB Visa Classic Nein Ja Ja 02/18
ČSOB Visa Classic Nein Ja Ja 05/17
ČSOB Visa Electron Nein Ja Ja 07/15
ČSOB Visa Classic Nein Ja Ja 11/17
ČSOB MasterCard Ja Ja Ja 01/18
ČSOB Visa Classic Nein Ja Ja 01/18

 

Tschechische Republik
die Bank Kreditkarten Typ Transaktions-historie? Kartennumer und Verfallsdatum Gespeicherte information über die verbleibende  PIN Versuche Verfallsdatum
Raiffaisen MasterCard Ja Ja Ja 04/17
Česká spořitelna Visa Classic Nein Ja Ja 01/16
Česká spořitena Visa Classic Nein Ja Ja 10/16
Airbank MasterCard Ja Ja Ja 06/17
mBank Visa Classic Ja Ja Ja 11/16

 

Die Menge der analysierten Untersuchungsproben der Bankkarten ist derzeit leider immer noch nicht ausreichend, um uns eine endgültige Schlussfolgerung zu ermöglichen, in jedem Fall haben wir folgendes festgestellt:

• bei SLSP Karten waren wir in der Lage, eine Liste der durchgeführten Transaktionen nur für ältere Karten zu lesen, mit einem Ablaufdatum von 09/15, 06/16, 10/16, 01/17, 08/17. Für neuere SLSP Karten mit einem Ablaufdatum 09/17, 10/17 und 11/17 war es nicht möglich, und es sieht so aus, dass die neuen NFC-Kreditkarten mit dem Ablaufdatum 09/17 diese Informationen nicht mehr speichern.

• im Falle kleiner Banken (mBank, Zuno, Unicredit, Sberbank) – haben wir es geschafft, eine Liste der durchgeführten Transaktionen von jeder Testkarte zu bekommen und auch von den Karten mit dem Ablaufdatum 07/18 (Sberbank). Um festzustellen, ob auch die letzten ausgegebenen Kreditkarten die Informationen über die durchgeführten Transaktionen speichern, ist es notwendig die NFC-Karten, die im letzten Monat ausgestellt wurden, zu analysieren.

• in Bezug auf die VUB und ČSOB-Karten, war es uns nicht möglich von keiner der getesteten Karten eine Liste der durchgeführten Transaktionen abzulesen.

• mit Tatra Banka ist die Situation ein wenig seltsam, weil es uns bei älteren Karten (Ablaufdatum 06/15 und 03/16) nicht gelungen ist die Transaktionsgeschichte zu erhalten. Bei der VISA-Electronkarte mit Ablaufdatum 02/17 ist es uns aber gelungen diese Informationen zu erhalten.

In den Fällen in denen es möglich war die Transaktion Geschickte abzulesen, waren für jede Transaktion die folgenden Informationen verfügbar:

• Art der Transaktion (Zahlung mit Kreditkarte, Bankomatabhebungen, etc.)

• Datum der Transaktion

• der Gesamtbetrag und die verwendete Währung

Ausgehend von der Währung des Landes, wo die Transaktion ausgeführt würde, ist es möglich ein geographisches Profil des Karteninhaber herzustellen, also wann und welche Länder er besucht hat.

Auf der Grundlage der Häufigkeit und Höhe der Zahlungen selbst, können wir ein Einkaufsprofil des Karteninhaber erstellen und seine Zahlungsfähigkeit einschätzten, zum Beispiel wie viel Geld er durchschnittlich in einem gegebenen Zeitraum ausgibt.

Die angeführten Informationen, die jeder POS – Terminal Eigentümer (Verkäufer) und auch anonymer Angreifer in physischer Nähe des Karteninhabers bekommen kann, könnte missbraucht werden beispielsweise für gezieltes Marketing, oder für Informationen über die Bewegung der Person zu einem genauen Zeitpunkt.

Viele E-Commerce-Websites erfordern für eine Zahlung keinen CVC / CVV-Code, für die Zahlung werden aber nur 3 grundlegende Informationen benötigt (Karteninhaber, Kartennummer und Ablaufdatum), diese Informationen kann man in der Regel reibungslos von den NFC-Chip ablesen. Dadurch steigt das Risiko des Missbrauchs.

Ebenso ist es möglich, einen DoS-Angriff durchzuführen und die Karte von der Ferne zu sperren (nach dem Senden von 3 falschen PIN-Codes).

Wie kann man sich schützen?

Prüfen Sie zunächst mit einem Android-Gerät mit Unterstützung der NFC-Applikation Banking card reader, welche Informationen man von ihrer Kreditkarte ablesen kann. Wenn es sich um Informationen empfindlicher Art handelt (Transaktionshistorie, oder Ihr Vor- und Nachname), kontaktieren Sie Ihre Bank und bitten Sie um die Ausstellung einer neuen sicheren Karte.

Falls ihre Bank keine sichereren NFC-Kreditkarten zur verfügung hat und sie dennoch kontaktlose Zahlungen erfordern, ist es eine überlegenswert, die Alternative einer anderen Bank mit sicheren NFC -Karten zu nützten.

Gegen zufällige Angreifer kann man seine Kreditkarte mit einen sogenannten RFID Shield schützten. (Faradayscher Käfig, der jede elektromagnetische Strahlung blockiert).

Machen sie bei unserer Analyse mit!

Uns fehlen immer noch Informationen von NFC- Karten aus einer Reihe von anderen ausländischen Banken, wie auch Informationen aus den aktuell ausgegebenen Kreditkarten und Mastercard Karten.

Wir würden uns über Ihre Hilfe freuen und bieten Ihnen ein kleines Geschenk für die Bereitstellung anonymisierter Informationen über Ihre NFC-Kreditkarte – unser firmen RFID-shield (Faradaykäfig) für jede ihrer Karten, deren Informationen (im Umfang der obigen Tabelle), Sie uns zur Verfügung stellen. Bei Interesse wenden Sie sich bitte an <nfc@nethemba.com >

 

Medien

ekonomika.sme.sk

aktualne.atlas.sk

zive.sk

TV Markíza