Atakujący w 10 sposób jest w stanie sczytać wszystkie dane potrzebne do przeprowadzenia internetowej transakcji. Imię, nazwisko i dane teleadresowe znajdują się na kopercie, natomiast przy pomocy czytnika NFC pobierane są dane takie jak numer karty płatniczej oraz data wygaśnięcia. Przy pomocy tych danych możemy płacić w wielu internetowych sklepach, gdzie nie jest wymagany kod zabezpieczający CVC / CVV / CVV2 itp. Przykładem takiego sklepu jest Amazon, który oferuje szybkie zakupy, a zminimalizowanie ilości potrzebnych kroków zwiększa sprzedaż. Naturalnie sklep akceptuje związane z tym ryzyko większej ilości reklamacji chargeback.
Chargeback (z ang. obciążenie zwrotne) – rodzaj zwrotu środków za transakcję dokonaną kartą płatniczą realizowany przez wystawcę karty i inicjowany przez klienta w sytuacji, gdy [...] transakcja nosi znamiona oszustwa. Wikipedia
Co więcej ofiara nie będzie nawet świadoma możliwości, iż ktoś mógł uzyskać w 10 sposób dostęp do jej finansów. Oczywiście atakujący nie wykona ataku przed aktywacją karty, ale wystarczy iż odczeka parę tygodni, a wtedy karta będzie już aktywna. Kartę może sczytać w 10 sposób każdy – listonosz bądź też inna osoba, ponieważ wsunięcie telefonu do skrzynki, bądź też tylko anteny, nie stanowi większego problemu, tak samo jak i zapoznanie się z danymi adresata.
Problem dotyczy oczywiście kart zbliżeniowych (NFC), czyli de facto wszystkich... wyłączenie opcji zbliżeniowej płatności nie dezaktywuje tego wektora ataku, ponieważ karta w dalszym ciągu będzie możliwa do sczytania nawet po zablokowaniu takiej możliwości po stronie banku. Związane jest to z faktem, że bank blokuje tylko taką możliwość w parametrach usługi, a nie dokonuje fizycznej modyfikacji samej karty, która ciągle fizycznie oferuje możliwość płacenia bezprzewodowego.
Nie zalecamy sczytywania swoich kart płatniczych, karta wykorzystana w tej prezentacji nigdy nie była i nie będzie aktywowana – została zastrzeżona przez bank. Sczytywanie kart wiąże się zawsze z ryzykiem, iż dane te mogą być wykorzystane przez osoby niepowołane (np. wysyłane do twórcy aplikacji).
