• Thứ Hai, 14/05/2007 11:06 (GMT+7)

    Thẻ tín dụng rò rỉ thông tin cá nhân

    Bất kỳ ai ở gần dùng máy quét RFID đều có thể đọc thông tin tài khoản trên thẻ không được mã hoá của bạn.

    Một số loại thẻ dùng chip RFID bị lộ tên tài khoản và số tài khoản.

    Có thể bạn đang mang bên mình loại thẻ tín dụng mới mà thẻ đó có thể chuyển thông tin của bạn đến người ở gần đang dùng máy quét.

    Năm qua, có hàng triệu loại thẻ mới sử dụng công nghệ RFID (Radio Frequency Identification) đã được phát hành. RFID cho phép máy quét dùng tín hiệu radio ở nhiều khoảng cách khác nhau đọc được thông tin chứa trên một chip máy tính.

    Theo một nghiên cứu của đại học Massachusetts và của các công ty bảo mật, nhiều loại thẻ như thế này sẽ chuyển tên, số tài khoản và thời gian hết hạn trên thẻ (nhưng không chuyển mã bảo mật 3 chữ số) không được mã hóa đến bất kỳ ai ở gần đang dùng máy quét RFID (xem thêm tại find.pcworld.com/56646).

    Tình hình thực tế

    RFID được sử dụng rộng rãi để theo dõi việc xuất/nhập và quản lý kho bãi. Trong thẻ tín dụng, nó cho phép khách hàng quét thẻ bằng đầu đọc như ở các cửa hàng ăn uống McDonald và hệ thống nhà thuốc CVS, giúp quá trình thanh toán nhanh chóng và tiện lợi. Visa cho biết công ty đã phát hành hơn 6 triệu thẻ “contactless” trên toàn cầu và theo nghiên cứu của trường đại học Mass dự đoán hiện có ít nhất 20 triệu thẻ tồn tại với tốc độ tăng trưởng rất nhanh.

     

    Để nhận ra thẻ Vista có gắn chip RFID, bạn tìm dấu hiệu hình sóng trên thẻ.

    Theo một người khảo sát, trong khoảng 20 card thu thập được, ông có thể quét được hầu hết các thẻ đó bằng đầu đọc RFID bán ngoài thị trường đã được chỉnh lại. Ông dò được các dữ liệu như tên người sở hữu thẻ, số CC và thời gian hết hạn của thẻ. Các loại thẻ mẫu này là của American Express, MasterCard, Visa và đã được vài ngân hàng lớn tung ra.

    Thẻ tín dụng sử dụng một mã bảo mật được mã hóa để chứng thực một giao dịch được bảo vệ chống lại những dạng lừa đảo nhưng không chống được những người muốn lấy tên và số tài khoản của thẻ và sử dụng thông tin đó để mua bán qua mạng. Để tăng độ bảo mật, Visa vừa yêu cầu các ngân hàng không tung ra thẻ chuyển được tên người sở hữu. Những thẻ nào đã được American Express phát hành sau tháng 2 vừa qua cũng đã được bít lỗ này. MasterCard không cho biết về thông tin này.

    Theo American Express, để tăng cường bảo mật, thẻ của công ty sẽ giao dịch bằng số tài khoản khác với số tài khoản hiển thị trên thẻ. Còn Visa cho biết loại thẻ chuẩn của công ty có tầm phủ ngắn hơn và có cách truyền nhận khác biệt so với cách RFID đơn giản thường dùng trong các mục đích như quản lý kho bãi.

    Bạn có thẻ RFID?

    Bạn nghĩ gì nếu trong mớ thẻ của bạn có một thẻ dùng chip RFID? Bạn dễ dàng nhận ra nguyên một con chip trên thẻ American Express (xem hình). Còn thẻ Visa có một kí hiệu: 4 dải sóng dọc ở mặt trước hoặc sau của thẻ. Nhưng để biết chắc, và cũng để biết liệu thẻ của bạn có rò rỉ thông tin hay không thì bạn nên gọi điện cho ngân hàng cấp thẻ. Bạn cũng nên yêu cầu đổi loại thẻ đã được “vá” nếu thẻ của bạn bị rỉ thông tin.

    Chip máy tính được nhúng vào thẻ cho phép đọc thông tin của thẻ tín dụng từ xa.

     

    Còn có một cách khác để chặn các tín hiệu RFID, đó là dùng chiếc hộp “Faraday cage” chắn sóng. Bạn có thể tìm thấy chiếc hộp này tại ThinkGeek.com (xem thêm tại find.pcworld.com/56780).

    Điều may mắn là cho dù đợt thẻ đầu tiên bị rò rỉ thông tin nhưng một số yếu tố cho thấy vấn đề này chưa thật sự nghiêm trọng.

    Đầu tiên, khi các nhà nghiên cứu sử dụng loại đầu đọc RFID thương mại thì họ đã chỉnh sửa nó, hơn nữa, để lấy được thông tin thì đầu đọc phải ở gần chip RFID: theo chi tiết kỹ thuật thì đầu đọc cách thẻ vài cm mới lấy được thông tin. Nhưng theo một chuyên gia, các tài liệu nghiên cứu đã nâng mức tối đa từ đầu đọc đến thẻ là khoảng 15cm.

    Quan trọng nhất là, các công cụ giả mạo, theo dõi bàn phím (keylogger) và các “đồ nghề” khác của dân cướp ID online trong lúc này vẫn chưa đi tới đâu để có thể gây ra hậu quả nghiêm trọng. Hiện nay, rủi ro này vẫn chưa lớn.

    Tuy nhiên, có rủi ro hay không thì thẻ tín dụng nên có bản cập nhật bảo mật mới nhất từ ngay lúc phát hành ra. Dù nguy cơ là lớn hay nhỏ thì đó cũng là một cơ hội cho kẻ trộm ID.

    PC World Mỹ 05/2007

    ID: A0705_20