Два тижні тому про це розказав – і показав вживу – Дерек Мюллер (Derek Muller), австралійсько-канадський фізик, популяризатор науки та засновник Youtube-каналу Veritasium. Відео з демонстрацією набрало вже 5,7 мільйонів переглядів. Хороші люди з каналу PROMOBA якісно переклали це відео українською, за що красно дякую та закликаю усіх підтримати цей чудовий український канал (лінк на відео буде у коментарях).
Отже, у чому суть вразливості і як вберегтися.
Спочатку коротко скажу про суть – детальніше дивіться у відео, там все пояснено.
А суть у тому, шо існує спосіб як можна вкрасти усі ваші гроші через ваш телефон, навіть якщо він лежить у вас у кишені. І це не лише теорія – це переконливо продемонстровано на практиці та записано на відео - як у людини за раз списали 10 тисяч доларів.Але для цього шахрайства необхідно кілька умов: у користувача має бути iPhone, банківська картка VISA, а на айфоні увімкнений режим “Експрес-проїзний”.
Далі зловмиснику потрібно лише наблизитися до вашого айфону і буквально на одну секунду притулити до його “спини” свій хакерський девайс – там, де знаходиться NFC-модуль. Це легко зробити у метро чи іншому транспорті, особливо у годину-пік. А ще дехто любить носити смартфон у задній кишені. Чи у передній, на сорочці (бо ж вже тепленько надворі нарешті).
Та і в принципі, “зчитати” ваш айфон можна і через звичайну сумку без RFID-захисту – якщо видно обриси телефону.
Дерек Мюллер звернувся за роз’ясненнями і до Apple, і до VISA.
Перші сказали – це питання не до нас, а до Візи.
А Віза сказала приблизно таке: “ну да, є таке, але ця проблема – не проблема. Реалізувати на практиці це дуже складно, і випадків таких небагато. Але якщо у вас таким чином вкрали гроші – звертайтеся, ми повернемо”.
Не знаю як ви, а мені щось якось не віриться, що гроші повернуть.
Ну тобто по суті, обидві компанії просто відморозилиися, і виправляти вразливість жодна з них не поспішила. Що вкрай дивно.
Але менше з тим: краще захистити себе самому. Ну як завжди тобто.
Отже, якщо у вас айфон, картка Віза і ви користується функцією “Експрес-проїзний”, для початку вам слід зробити наступне:
Зайти у “Налаштування” – “Гаманець і Apple Pay” – “Експрес-проїзний” – поставити “Немає”. Краще витратичати зайву секунду на розблокування телефону обличчям чи кодом, ніж ризикувати усіма своїми грошима, вірно?
Робити це не обов’язково якщо: у вас не айфон, не віза і ви не користуєтесь постійно телефоном як засобом щоденної оплати у громадському транспорті.
Але це не означає, що згодом не виявлять інші вразливості.
Або чи існують вразливості, ще не виявлені дослідникам – але вже виявлені кіберзлочинцями.
Тому додатково я вже давно раджу для транспортних платежів та і взагалі для онлайн-покупок тримати “жертовну картку” – на якій відносно невелика сума. З якою буде не так боляче попрощатися у разі чого. Основні кошти слід тримати на тих рахунках (картках), які ніколи не “світилися” онлайн.
Плюс останніми роками держрегуляйтори в Україні наліво і направо застосовують “арешт рахунків” – тому у наші буремні часи досить ризиковано взагалі тримати більш-менш значущу суму на електронних банківських рахунках.
А ще рідна держава агресивно розширює свої права у електронних системах, знищує банківську таємницю та множить на нуль принципи захисту персональних даних громадян.
І якщо цей напрям руху продовжиться – доведеться повертатися до практик 90-х років: тільки кеш і тільки у вільно-конвертованій валюті. Це менш зручно і не так швидко – зате менше ризик, що державні чи недержавні шахраї заберуть усі твої гроші.
