64.26K
Category: electronicselectronics

Обеспечение безопасности транзакций с использованием транспортных карт

1.

Обеспечение безопасности
транзакций с использованием
транспортных карт
Выполнил Аверьянов
Данил ИС191-9

2.

Что такое транспортная карта
Транспортная карта — это бесконтактная карта, предназначенная для оплаты проезда на общественном транспорте, подключенном к
автоматизированной системе оплаты проезда (далее — АСОП).
Транспортная карта предоставляется в пользование оператором системы при условии оплаты активации в размере 50 руб.
Персональные транспортные карты с фотографией и именем владельца предоставляются оператором системы бесплатно. Для
получения такой карты нужно заполнить заявку на сайте оператора системы, в пункте обслуживания оператора или в МФЦ. Срок
изготовления персональной карты — 14 дней.
Для того, чтобы начать пользоваться транспортной картой, нужно выбрать выгодный для Вас тариф, оплатить его и затем записать на
транспортную карту.
На транспортную карту записываются тарифы двух типов: «Электронный кошелёк» или «Электронный проездной билет».
Транспортные карты работают при помощи NFC(Технология беспроводной связи)

3.

Определение NFC и история
NFC (Near Field Communication, «Коммуникация ближнего поля» или «связь
ближнего действия») — это технология беспроводной высокочастотной
связи малого радиуса действия, обеспечивающая обмен данными между
устройствами на расстоянии нескольких сантиметров.
Технология NFC была разработана в начале 2000-х годов Sony и Philips. Он
основан на радиочастотной идентификации (RFID), аналогичной технологии,
которая десятилетиями использовалась для идентификации объектов, таких
как домашние животные или складские запасы, с помощью радиоволн.
NFC использует так называемую связь «ближнего поля», потому что она
работает только тогда, когда взаимодействующие устройства расположены
очень близко друг к другу - не более чем на несколько дюймов друг от
друга.

4.

Уязвимости платежей на основе NFC
NFC работает на дистанции не более 10 сантиметров на частоте
13,56 МГц. Технология подразумевает обязательное наличие
инициатора и цели. Инициатор генерирует активное поле, а цель
считывает его в пассивном режиме.
Над получением доступа к данным, передаваемым по NFC, уже
сейчас бьются учёные и хакеры. Исследователям из британского
Университета Суррей удалось считать данные, передаваемые с
помощью NFC-решений в супермаркете. Для этого использовались
портативные гаджеты, которые не вызывали подозрения у
покупателей. При этом они находились на расстоянии 45
сантиметров от получателя информации.

5.

Основные угрозы на основе NFC в транспортных
картах
Подслушивание - MitM
Технология NFC сама по себе не может защитить себя от прослушки. Важно отметить,
что данные, передаваемые в пассивном режиме значительно труднее перехватить, но
пассивный режим в большинстве решений и приложений не применим.
Кража устройства
Получив мобильное NFC-устройство, злоумышленник может также получить права
суперпользователя, подключив это устройство к другому, таким образом, получить
всю необходимую информацию и использовать ее для осуществления нелегитимных
транзакций.
Ошибки в программном коде

6.

Модель угрозы MitM
Если предположить, что А и B используют активный и пассивный
режим работы NFC-модуля соответственно, то будет создана
следующая ситуация. А генерирует ВЧ-поля и отправляет данные B.
Если злоумышленник (Е) находится достаточно близко, то он может
подслушивать данные, посланные А. Кроме того, Е должна активно
мешать передаче А, чтобы убедиться, что B не получает данных.
Пример атаки MitM

7.

Признаки атаки MitM
Атаки «человек посередине» трудноуловимы, но их присутствие всё
же оставляет следы в обычной сетевой активности, а
профессионалы в области кибербезопасности и конечные
пользователи могут обнаружить эти следы. Принято считать, что
лучше предотвратить, чем обнаружить.
Признаки
Неожиданное или повторяющееся отключение
Вы входите в общедоступную или незащищенную сеть Wi-Fi

8.

Обеспечение безопасности
Cоблюдение общих правил кибербезопасности поможет вам
защититься от атак типа «человек посередине»:
Подключайтесь только к защищенным маршрутизаторам
Используйте VPN
Обновляйте систему для защиты от вредоносных программ
Используйте менеджер паролей

9.

Заключение
Атаки типа «человек посередине» будут оставаться эффективным
инструментом в арсенале злоумышленников до тех пор, пока они смогут
перехватывать важные данные, такие как пароли и номера банковских карт.
Между разработчиками программного обеспечения и поставщиками
сетевых услуг с одной стороны, и киберпреступниками с другой идет
постоянная гонка вооружений для устранения уязвимостей, которые
злоумышленники используют для запуска своих атак.
Современные тенденции таковы, что количество сетей и подключенных к
ним устройств растет, а это означает, что у злоумышленников больше
возможностей использовать методы «человека посередине». Знание явных
признаков атаки «человек посередине» и применение методов
обнаружения может помочь вам обнаруживать атаки до того, как они
нанесут ущерб.
English     Русский Rules