Yazılar

MagSpoof ile elektromanyetik alan kullanarak kredi kartı kopyalamak

magspoof-ile-elektromanyetik-alan-kullanarak-kredi-karti-kopyalamakMagSpoof cihazı ile manyetik alana sahip herhangi bir kart veya kredi kartını uzaktan kopyalamak ve bu cihazı kredi kartı gibi kullanmak mümkün.

Parçalarının toplam değeri 10 dolar tutan bu cihaz değerine oranla oldukça kabiliyetli. Kablosuz olduğu gibi kablolu ödeme terminallerinde de kullanılabiliyor. MagSpoof bir micro-controller, motor-driver, kablo, resistor, switch, LED ve pilden oluşuyor.

Cihaz tüm kredi kartı bilgilerini kopyalayıp sakladığı gibi aynı zamanda bunları değiştirebiliyor. Örneğin aslında chip gerektiren bir kredi kartını chip gerektirmeden PIN ile kullanılabilmesi buna örnek gösterilebilir. Elbette kullanım alanı bununla sınırlı değil bina ofis giriş kartları, otel odası anahtarları, park biletleri gibi çok sayıda alanda manyetik kart kullanımı yaygın.

Cihazı geliştiren bilgi güvenliği araştırmacıları özellikle American Express ile ilgili de ilginç bir bilgiye ulaştılar. Çok sayıda Amex kart numarası inceleyip, bunları 20 başka Amex kart bilgisi ve yenilenmiş kartların numaralarıyla karşılaştırdılar. Sonuç olarak kullanılan algoritmaya dair önemli bulgulara ulaşan araştırmacılar American Express kredi kartlarının kredi kartı numarası algoritmasını çözdüler. Bunun anlamı eğer Amex kredi kartı çalınır veya kaybolursa ve kişi eski kartı numaranızı biliyorsa yeni kart numarasını eskisinden yola çıkarak elde edebiliyor.

MagSpoof cihazını böyle ilginç hale getiren bir diğer konu ise bu küçük cihazın NFC, RFID gibi bir kablosuz teknolojiyi kullanmadan kablosuz şekilde manyetik kart bilgilerini kopyalayabilmesi. Bunu yaparken sadece kart fiziksel olarak kullanıldığında ortaya çıkan elektromanyetik alan kullanılıyor. Kartlardaki Track 1 ve Track 2 bilgilerinin her ikisi de ele geçirilebiliyor.

Araştırmacılar cihazı yapmakla ilgili tüm kod ve şemaları yayınlasa da EMV chiple ilgili fonksiyonlar bilerek yayınlanmadı. Aynı zamanda American Express kredi kartlarıyla ilgili kredi kartı numarası tahmin özelliği de yine yayınlanmış değil.

Visa kartınız cebinizdeyken habersiz binlerce lira çekilebilir

visa-kartiniz-cebinizdeyken-habersiz-binlerce-lira-cekilebilirVisa kredi kartlarında keşfedilen güvenlik açığı sayesinde suçlular kredi kartınızı çalmadan ciddi miktarlarda para çekebilirler.

Firma kredi kartıyla ödeme işlemlerini hızlandırmak için 35 TL ve altı işlemler için PIN kullanmadan ödeme imkanı sağlayan bir kolaylık getirmişti. Bu süreçte ciddi bir güvenlik açığı bulundu. Bulunan açık sayesinde 20 USD (35 TL) olan işlem limiti 999.999 USD gibi ciddi rakamlara kadar yükseltilebiliyor.

Bu transfer kredi kartı kişinin çantasında, cüzdanında veya cebinde de olsa gerçekleştirilebiliyor. Tahsilat çevrimdışı gerçekleştiği, kredi kartı kendi kendine doğruladığı için ek doğrulama ve güvenlik önlemlerinin tümü atlatılabiliyor. Buradaki en büyük tehditlerden biri de işlemin sadece bir cep telefonu yardımıyla gerçekleştirilebilmesi.

Çipli EMV sisteminde Europay, MasterCard ve Visa temassız alışverişleri 20 USD ve dengi para birimlerine sabitlemiş durumdalar. Sadece bu rakamın üzerindeki alışverişler için kullanıcıdan PIN isteniyor. Temassız olarak para çeken bu cep telefonlarının ise ATM’ler dahil olmak üzere kredi kartının ve insanın dolaşımda olduğu çok sayıda yere yerleştirilebilmesi mümkün. İnsanlar yürürken veya anlık olarak kartına yaklaşıldığında bir saniyeden kısa sürede karttan para çekilebiliyor.