Как подделать транспортную карту

Хак для бесплатного пополнения карты «Тройка»

Пользователь портала «Хабрахабр» сообщил об уязвимости в системе карты «Тройка», а также создал приложение, которое позволяет бесплатно пополнять баланс карты.

Как пишет в своем посте Игорь Шевцов, вся работа была проведена без использования специальных технических средств — ему понадобился только Android-смартфон с NFC-чипом. На поиск уязвимости у него ушло 15 дней. Для взлома системы Игорь Шевцов использовал мобильное приложение «Мой проездной», через которое он смог получить доступ к памяти карты и изучить структуру хранения данных.

Больше всего времени заняло изучение структуры данных в памяти карты. Это оказалось возможным из-за того, что данные хранятся в незашифрованном виде. В случае, если бы данные в памяти карты были зашифрованы, вероятнее всего, потребовалось бы физическое проникновение в системы работающие с картой, что делает атаку существенно сложнее.

Программист также создал приложение для Android под названием TroikaDumper, которое можно скачать с GitHub, и дал рекомендации, как избежать финансовой блокировки.

Не оперируйте суммами баланса более 100 рублей. Никогда не проходите в метро два раза с одинаковым временем последнего прохода. После записи дампа обновите текущее время на карте используя валидатор в наземном транспорте. То есть, перед каждым проходом в метро нужно выполнить списание через желтый валидатор в автобусе или трамвае.

Как заявил разработчик, для исправления недочетов системы «необходимо усовершенствование формата хранения данных в памяти карты и обновление программного обеспечения всех систем, работающих с картой».

Представитель Департамента транспорта и развития дорожно-транспортной инфраструктуры заявил, что об уязвимостях им ничего не известно.

Электронная карта «Тройка» заменяет бумажные билеты для проезда на общественном транспорте и жетоны метро.

Появилась она 2 апреля 2013 года и сегодня умеет гораздо больше, чем изначально: к примеру, «Тройкой» можно оплатить посещение Третьяковской галереи или катание на катке ВДНХ.

Как же устроена карта «Тройка» с аппаратной точки зрения и как она работает? Есть ли дыры в её системе безопасности и можно ли превратить карту «Тройка» в вечный бесплатный проездной?

Что внутри у карты «Тройка»?

В основе карты «Тройка» – чип NFC (Near Field Communication), который включает модуль флеш-памяти, радиомодуль и систему беспроводного питания.

Карта использует чип Mifare Plus производства компании NXP в режиме совместимости с устаревшим стандартом Mifare Classic (SL1). Купить такие чипы на AliBaba можно по цене от 2 рублей за штуку (при условии оптового заказа).

Размер самого чипа – около 2 мм (квадратик в правом верхнем углу метки), остальное – антенна из тонкой медной проволоки. Устройство обменивается с турникетом данными в цифровом формате с помощью радиоволн частотой 13,56 МГц. Волны также обеспечивают питание чипа.

Отметим, что бесконтактную технологию MasterCard PayPass карта «Тройка» не поддерживает. Поэтому записать или считать с неё информацию в терминалах с PayPass вы не сможете.

Такие терминалы работают с социальными банковскими картами «Банка Москвы» с банковским приложением «Тройка». Это карты с чипом, поддерживающие стандарт EMV и ввод PIN-кода.

Как работает карта «Тройка»?

На карту записывается информация о билетах на общественный транспорт Москвы. Сохранять в памяти можно и разовые билеты, и проездные. Если у вас на карте одновременно находится и то, и другое, то сначала срабатывает проездной билет.

Но есть нюансы. Например, если вы уложились в 90 минут, один раз пройдя через турникет метро и сколько угодно раз проехав на общественном транспорте (в любом порядке), с карты списывается 54 рубля.

Некоторые билеты, записанные на карту, начинают действовать с момента продажи, но есть и те, которые работают с момента первой валидации (распознавания турникетом).

Читайте также:  Как отключить внешнюю видеокарту

Система довольно запутанная, поэтому не будем напрягать вас цифрами и буквами – вот «коротенький FAQ» от разработчиков.

Как пополнять карту «Тройка»?

Для пополнения карт есть платёжные терминалы и кассы «Аэроэкспресса». Вставляете карту, пополняете на нужное количество поездок либо покупаете проездной, и ездите, пока не закончатся деньги или время.

Также карту можно пополнить через SMS или онлайн – на сайте «Тройка», в приложении вашего банка, платёжных системах вроде «Портмоне».

На iPhone пополнять карту «Тройка» удобно с Apple Pay в приложении «Метро Москвы».

Только не забудьте активировать пополнение с помощью желтого валидатора в турникетах метро! Хоть Apple и использует NFC-чипы производства NXP, они конфликтуют с чипами из карты «Тройка».

Есть версия приложения «Метро Москвы» и для Android. Для проведения операции потребуется смартфон с NFC. Пополняете счёт в приложении, прикладываете карту к смартфону и пользуетесь – всё просто.

Аналогичным образом работает пополнение в приложении «Мой проездной».

Пополнять карту можно и из других систем вроде Qiwi и «Яндекс.Денег». Смартфон с NFC в любом случае используется только для активации пополнения – вместо желтого валидатора в терминале.

Но разработчики предупреждают, что не все NFC-чипы поддерживают Mifare Classic. Так что вероятность отказа в пополнении существует.

Можно ли взломать карту «Тройка»

Взломать можно даже систему кибербезопасности Пентагона ( нет, мы не пробовали, но… ). Инструкция по взлому «Тройки» появилась в июле 2016 года на «Хабрхабре».

Автор, Илья Шевцов (ник Ammonia), утверждал, что для безлимитных поездок потребуется смартфон под управлением Android 4.4 и выше с NFC чипом, поддерживающим карты Mifare. Важно, чтобы чип был производства NXP, как и в карте «Тройка».

Суть взлома сводится к клонированию карты на смартфоне и пополнению её баланса без реальных денег. Вы же помните, что билеты можно записать на карту из официальных приложений, передав данные с NFC-чипа смартфона?

Шевцов потратил две недели, чтобы изучить систему безопасности «Тройки» и приложения «Мой проездной». Оказалось, что данные в памяти карты хранятся в незашифрованном виде. Это позволило подделывать баланс.

Шевцов разработал приложение TroikaDumper, чтобы не выполнять все операции вручную. Разработчик также рассказал, что система может обнаружить подделку, если пополнять «Тройку» больше чем на 100 рублей за раз или если не обновить текущее время на карте с помощью валидатора в другом виде транспорта.

Пост о взломе с «Хабра», понятное дело, быстро удалили. А вот код приложения и инструкцию к нему с GitHub – нет.

Опасно ли это? Как минимум вы рискуете картой и балансом на ней – если взлом обнаруживается, карта блокируется. Кроме того, за воровство и нанесение ущерба транспортным службам в России предусмотрена уголовная ответственность.

А что ещё делают с этой картой?

Если вы считаете, что ещё одна пластиковая карта – это вовсе не стильно, модно, молодёжно, можете купить вместо неё силиконовый браслет вроде тех, что выдают в ночных клубах или аква-парках, или кольцо. Выпускаются также брелоки и другие аксессуары.

По сути любой из них – тот же NFC-чип, только в новой обёртке. Разницы в использовании нет, разве что в терминалах, которые требуют вставить карту в приёмник, браслет, брелок или кольцо пополнить не получится.

Инженер Влад Зайцев пошел дальше. Два года назад он вшил NFC-чип из карты себе под кожу. Это позволило не только оплатить проезд, не доставая карту из кармана, но и открывать тем же чипом дверь в офисе.

Чтобы вынуть NFC-чип, карту растворили в ацетоне. Затем чип залили биосовместимым силиконом и через небольшой надрез поместили под кожу на тыльной стороне кисти.

Кроме того, Зайцеву пришлось договориться с банком, чтобы он предоставил микросхему. В видео есть немного кровавых подробностей и пример работы:

Правда, вскоре выяснилось, что инженер неправильно рассчитал параметры антенны, из-за чего карта срабатывала не на всех станциях.

Читайте также:  Как нумеровать стр в ворде

Зайцев извлёк чип и позднее признался, что пользуется обычной картой «Тройка». А на место старого чипа он имплантировал новый – от банковской карты.

Сколько стоят поездки по «Тройке»?

Сама карта стоит 50 рублей. Но формально это залоговая сумма – вы можете сдать карту в кассу и вернуть свой «полтинник». Деньги со счёта, к слову, тоже можно вернуть. Но только с баланса, а не с проездных билетов.

Пополнить карту можно на сумму до 3 000 рублей и кататься на эти деньги хоть пять лет.

Цены на проезд такие:

  • 35 рублей: поездка на метро, монорельсе, МЦК или наземном транспорте
  • 54 рубля: один раз проехать в метро и несколько – общественным транспортом (с пересадками)

Также можно записывать на карту проездные билеты.

А какие еще есть тарифы?

Одна или две поездки по тарифу «Единый» на метро или общественном транспорте стоят 55 рублей каждая, и если брать билет на 60 поездок, то будете тратить на это всего 28,3 рубля (проездной в этом случае стоит 1700 рублей).

Можно записать и проездной на определённое количество дней. Цена – от 210 рублей на сутки до 18 200 на год. Можно кататься хоть круглосуточно и ни в чём себе не отказывать.

Проездной «ТАТ» – на трамвай, автобус и троллейбус. 60 поездок обойдутся в 1150 рублей, то есть по 19,2 рубля за поездку.

Безлимитный проездной на месяц – 1040 рублей.

Наконец, проездной «90 минут» – одно списание денег за один проезд на метро и сколько угодно пересадок на наземном транспорте за 90 минут. 60 поездок обойдутся в 2650 рублей, или 22,4 рубля за поездку на метро + столько же за все поездки на общественном транспорте в течение полутора часов.

Проездные на десятки поездок выгодны, так как действуют 90 дней. Но если вы делаете больше двух путешествий из точки А в точку Б без учёта пересадок каждый день, имеет смысл записать на карту проездной на месяц или на год.

А если приехали в столицу в гости или по делам, то ваш вариант – проездной «Единый» на 3 или 7 суток, цена – 400 или 800 рублей соответственно.

Теперь вы гуру «тройки». Осталось рассказать небольшой лайфхак, как платить за метро по «Тройке» с айфона, невзирая на то, что девайс не поддерживает эту функцию.

Но об этом расскажет Никита в следующий раз.

(4.60 из 5, оценили: 5)

​В Останкинском районном суде Москвы 24 августа прошло итоговое судебное заседание по делу о создании организованной группой вредоносного софта для мошенничества с картой «Тройка» и другими транспортными картами Москвы и Московской области. На скамье подсудимых — Денис Казьмин, Юрий Путин и Павел Андрюшин, которым инкриминируют причинение имущественного ущерба (ст. 165 УК РФ) ГУП «Мосгортранс» и Центральной пригородной пассажирской компании (ЦППК). Их суммарные потери, согласно обвинительному заключению, составили более 2 млн руб. Казьмина и Путина обвиняют также в неправомерном доступе к компьютерной информации (ст. 272 УК РФ) и создании и использовании вредоносных компьютерных программ (ст. 273 УК РФ).

Обвиняемые свою вину не признали, приговор будет вынесен 31 августа.

Представитель «Мосгортранса» Дмитрий Глухов сообщил РБК, что в 2016–2017 годах было возбуждено три уголовных дела о мошенничестве с транспортными картами, одно из которых в настоящее время и рассматривается в суде. «Контролеры ГУП «Мосгортранс» регулярно проводят проверку правильности оплаты проезда в наземном городском транспорте Москвы. При выявлении случаев использования нелегитимной билетной продукции полученные сведения направляются в правоохранительные органы для принятия процессуального решения», — говорит Глухов.

Представитель ЦППК от комментариев отказался.

Согласно материалам обвинения, хакеры осуществили доступ к локальной сети ЦППК с помощью заранее созданной и внедренной вредоносной программы. Она предназначалась для несанкционированного копирования информации ЦППК, нейтрализации средства защиты данных, находящихся в памяти плат турникетов на станции «Москва-3». Так обвиняемые получили доступ к охраняемой законом информации, в том числе ключам шифрования, и произвели ее копирование, сообщил государственный обвинитель в ходе заседания. Для несанкционированного доступа использовался бэкдор (программа, с помощью которой злоумышленник может получить скрытый доступ к устройству), который якобы был заранее загружен на плату турникета.

Читайте также:  Как очистить все с компьютера кроме windows

В дальнейшем, утверждает обвинение, используя полученные данные, обвиняемые самостоятельно пополняли проездные билеты (в ходе следствия было изъято более 200 бесконтактных смарт-карт), которые затем продавали, а также использовали сами. В частности, значительная часть билетов была сделана для проезда по Горьковскому и Ярославскому направлениям, где живут двое из обвиняемых.

«Кроме того, доказательством наличия у обвиняемых прямого умысла на совершение указанных преступлений является информация по проведению оперативно-разыскного мероприятия по прослушиванию телефонных переговоров, где зафиксированы неоднократные факты обсуждения абонента Казьмина с абонентами Путиным и Андрюшиным и неустановленными следствием лицами технических особенностей создания вредоносных программ, получения несанкционированного доступа к охраняемой законом информации, фактов реализации бесконтактных карт и распределения полученных преступным путем денежных средств», — заявил государственный обвинитель.

При этом один из адвокатов подсудимых указал, что в материалах уголовного дела отсутствует судебное решение о прослушивании телефонных переговоров.

Много не заработать

Эксперты отмечают, что мошенничество с транспортными картами — редкость, так как много на нем не заработать. «Принцип работы транспортных карт отличается от банковских, плюс к тому на них не хранятся значительные денежные средства. Пытаться похищать деньги с «Тройки» или других подобных карт технически сложно и дорого, и все это приводит к тому, что злоумышленникам выгоднее работать с банковскими картами. Что касается подделок числа поездок и абонементов, то их защита — это прерогатива и ответственность производителей карт. Обычно в них как минимум используется шифрование — так что, учитывая затраты на взлом защиты и производство, это тоже не самый выгодный криминальный бизнес», — говорит ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

Согласно данным на сайте «Тройки», к настоящему времени карту приобрели 12,8 млн пассажиров.

Представитель НИИ молекулярной электроники Алексей Дианов говорит, что стандартный способ программно-аппаратной защиты информации, применяемый в транспортных приложениях, — использование уникального ключа, то есть генерируемой случайной последовательности чисел. «Ключ, определяющий права доступа к информации на чипе, хранится у оператора сервиса и применяется в оборудовании для авторизации доступа. Для изменения информации на чипе, например для увеличения количества поездок, необходимо каким-либо способом получить этот ключ — непосредственно от оператора или из самой системы», — говорит Дианов. Он отмечает, что в картах «Тройка» используется чип Mifare. «Старые алгоритмы шифрования, которые до сих пор применяются иностранным производителем, были скомпрометированы еще в 2008 году», — сообщил Дианов. Тогда исследовательской группой голландского университета Radboud были опубликованы три статьи, касающиеся взлома карт Mifare Classic.

«Манипуляции с транспортными картами не слишком доходны: средств на них хранится немного, злоумышленников выявляют быстро. Кроме того, шифрование данных на транспортных картах и применение защищенных каналов передачи данных все-таки затрудняют для мошенников доступ. В общем, мошеннические операции с картами делятся на два типа: атака на клиентскую часть, то есть саму транспортную карту, или на серверную часть предприятия», — говорит аналитик центра мониторинга угроз информационной безопасности Solar JSOC Алексей Павлов.

Заместитель мэра Москвы по вопросам транспорта и развития дорожно-транспортной инфраструктуры города Максим Ликсутов ранее сообщал РБК, что в конце 2018-го — начале 2019 года появится персонализированная карта «Тройка», когда будет обновлена IT-инфраструктура. «Мы очень хотим это сделать. Но у нас есть, к сожалению, проблема, что наша IT-платформа для всей билетной инфраструктуры очень старая. Мы тестировали неоднократно возможности дополнительных обращений в эту систему запросов, связанных с персонализацией. И пока понимаем, что нам надо сначала обновить и подготовить билетную IT-инфраструктуру», — пояснял Ликсутов.

Adblock
detector