CardReview

Есть все-таки что-то хорошее, уютное и безопасное, в том что Apple не открывает доступ к своему NFC сторонним приложениям.
В статье фуева туча технических деталей, куски кода и птичьего языка программистов от инфобеза, но между ними есть и вполне понятное описание способов атаки на владельцев Android с применением свободно распространяемой утилиты, написанной в 2015 году немецкими студентами, которую встраивают в приложения мимикрирующие под госсервисы или банки (с примерами скринов).

Самая суть: мамонта уговаривают установить приложение, содержащее в том числе код этой студенческой поделки и потом поднести к телефону банковскую карту. Приложение умеет прочитать карту на устройстве мамонта и передать данные на сервер, с которого приложение мошенника, стоящего у банкомата (про POS-терминалы в статье не пишут, но не вижу почему бы и нет), передает их на ридер полностью эмулируя ту самую оригинальную карту в бесконтактном образе. PIN у клиента выманивают в том числе под предлогом идентификации при логине в то самое гос.или банковское приложение.
Заявляют, что в России за полгода всего 40М экспроприировали, но это пока

PS а ведь сейчас полно андроид-терминалов и касс, причем их возят из китая все кому не лень и лепят свои названия под видом отечественного производства… их теоретически можно сломать, а могут и недобросовестные «импортеры» завестись

www.group-telegram.com/br/cardreview.com/3056

1.5K viewsedited  Jan 22 at 12:37

Есть все-таки что-то хорошее, уютное и безопасное, в том что Apple не открывает доступ к своему NFC сторонним приложениям.
В статье фуева туча технических деталей, куски кода и птичьего языка программистов от инфобеза, но между ними есть и вполне понятное описание способов атаки на владельцев Android с применением свободно распространяемой утилиты, написанной в 2015 году немецкими студентами, которую встраивают в приложения мимикрирующие под госсервисы или банки (с примерами скринов).

Самая суть: мамонта уговаривают установить приложение, содержащее в том числе код этой студенческой поделки и потом поднести к телефону банковскую карту. Приложение умеет прочитать карту на устройстве мамонта и передать данные на сервер, с которого приложение мошенника, стоящего у банкомата (про POS-терминалы в статье не пишут, но не вижу почему бы и нет), передает их на ридер полностью эмулируя ту самую оригинальную карту в бесконтактном образе. PIN у клиента выманивают в том числе под предлогом идентификации при логине в то самое гос.или банковское приложение.
Заявляют, что в России за полгода всего 40М экспроприировали, но это пока

PS а ведь сейчас полно андроид-терминалов и касс, причем их возят из китая все кому не лень и лепят свои названия под видом отечественного производства… их теоретически можно сломать, а могут и недобросовестные «импортеры» завестись

BY CardReview