Actualmente estoy trabajando en una aplicación basada en tarjetas inteligentes, nos preocupa que los usuarios detecten la comunicación entre la tarjeta y el lector insertando un dispositivo de tipo skimming en nuestro hardware y una tarjeta real en este dispositivo (ya que ser colocado en un lugar público). ¿Alguien puede pensar en una forma rentable de eliminar este tipo de ataque? (es decir, hacer que algo como el enlace de abajo sea más difícil)
1) Encripta el tráfico.
Esto es realmente un problema, ya que necesita autenticar la tarjeta y el lector entre sí o usar una clave precompartida que vigila con mucho cuidado.
Lo mejor es comprar una solución aquí; Las tarjetas SIM parecen haber sido muy exitosas, y las tarjetas de pago sin contacto MIFARE que conozco ofrecen un sistema seguro basado en DES.
2) Observe el punto de inserción.
Los cajeros automáticos son clásicamente vulnerables a esto y están adquiriendo más cámaras de seguridad para vigilar a los skimmers y otros ataques en o cerca del cajero automático.
Es muy probable que intentar detectar un skimmer pasivo por sus propiedades eléctricas no funcione, ya que la variación eléctrica debida a los contactos sucios es mucho mayor que la de un skimmer bien diseñado.
El ataque que has mostrado se basa en que la tarjeta no es del todo inteligente. Las tarjetas inteligentes correctamente diseñadas todavía pueden ser desmanteladas por sus llaves, es mucho más difícil y costoso: enlace
Como han dicho los demás: Supongamos que se hojeará y encripta los datos.
Lo siguiente sería almacenar lo menos posible en la propia tarjeta. Tal vez todo lo que se almacena es un número de serie más un "último número de transacción". Esto no le ayudaría a evitar el deslizamiento, pero le ayudaría a identificar cualquier tarjeta clonada. Cuando se realiza una transacción, el lector comparará el "último número de transacción" con lo que ha almacenado en su base de datos. Si no coincide, entonces algo raro está sucediendo. Alguien que falsifique una tarjeta podría salirse con la suya con un uso fraudulento, pero no con dos.
Este método debe usarse además del cifrado, no en lugar de este.
Si es lo suficientemente importante como para preocuparse, simplemente asuma que los datos serán pirateados y cifrados.
Lea otras preguntas en las etiquetas smart-card intercept