Форензика NFC и RFID: как бесконтактные карты и метки выдают твои маршруты

Введение: ты носишь радиомаяк в кармане

Каждый раз, когда ты прикладываешь карту к турникету метро, открываешь офис пропуском или платишь бесконтактно в кафе – ты оставляешь цифровой след. Не где-нибудь, а в нескольких независимых системах одновременно. И если кто-то захочет восстановить хронологию твоих перемещений за последние полгода, ему даже не нужно взламывать смартфон. Достаточно получить доступ к данным двух-трёх инфраструктур, с которыми ты добровольно взаимодействуешь каждый день. Добро пожаловать в форензику NFC и RFID.

Физика вопроса: что такое NFC и RFID

Low vs High Frequency RFID 

Прежде чем копать, надо понять, с чем работаем. RFID (Radio Frequency Identification) – это технология идентификации по радиочастоте. NFC (Near Field Communication) – её подвид для ближнего поля, работающий на частоте 13,56 МГц и расстоянии до ~20 см. Карты старого поколения на 125 кГц (Prox, EM4100) – это «дедушки» технологии, у них почти нет защиты.

Ключевые стандарты, которые встретишь в полевой работе:

• MIFARE Classic – самый распространённый стандарт в транспортных системах (метро, автобусы). Использует устаревшее крипто CRYPTO1, которое взламывается за секунды
• MIFARE DESFire – более современный, с AES-шифрованием, но и его уязвимости находят регулярно
• NTAG213/215/216 – пассивные NFC-метки, используются в маркетинге, умных домах, логистике
• ISO/IEC 14443 A/B – базовый протокол для платёжных карт (Visa payWave, Mastercard PayPass)
• ISO/IEC 15693 – для меток дальнего чтения, склады и библиотеки

Как карта строит карту твоих перемещений

И вот здесь начинается самое интересное с форензической точки зрения. Бесконтактная карта – это не просто «ключ». Это активный участник распределённой системы логирования.

Транспортные системы

Каждый проход через турникет порождает транзакцию, которая содержит:

• Уникальный идентификатор карты (UID)
• Временну́ю метку с точностью до секунды
• Идентификатор конкретного турникета и станции
• Остаток баланса до и после списания

Эти данные хранятся в нескольких местах одновременно: на сервере транспортного оператора, в журналах терминала, и – внимание – в памяти самой карты. MIFARE Classic хранит последние транзакции прямо в секторах памяти чипа. То есть физическая карта в твоём кармане является носителем части твоей истории перемещений. Форензик-аналитик, получивший карту на изучение, может без подключения к каким-либо серверам прочитать последние поездки.

Платёжные карты

Банковские карты с RFID/NFC хранят на чипе:

• Усечённый номер карты (PAN)
• Историю последних 5–15 транзакций (сумма, дата, идентификатор терминала)
• Геолокационные данные торговой точки (через идентификатор мерчанта)

Пройтись NFC-ридером по карте и вытащить эти данные можно без ПИН-кода и авторизации – они хранятся в открытых файлах приложения. Специалисты Trend Micro показали, что для этого достаточно смартфона с NFC и соответствующего приложения. По цепочке транзакций восстанавливается не просто «что покупал», но и где физически находился в конкретное время.

Корпоративные пропускные системы

СКУД (системы контроля и управления доступом) – настоящий золотой рудник для корпоративного форензика. Каждый факт прохода через дверь логируется с точностью до миллисекунды. Совокупность этих логов восстанавливает:

• Маршрут сотрудника внутри здания в течение дня
• Время прихода и ухода
• Факты нахождения в «нежелательных» зонах
• Аномалии поведения (вход в серверную в 3 ночи – привет, инсайдерское расследование)

Инструментарий форензика: чем копают

Это не просто теория – вот что реально используется в полевых условиях:

Железо

• Proxmark3 – швейцарский нож RFID-форензики. Читает, эмулирует, атакует карты всех форматов, работает как анализатор трафика между картой и считывателем
• ACR122U / ACR1252U – легальные NFC-ридеры, используются для чтения транспортных и банковских карт
• Flipper Zero – компактный мультитул, поддерживает 125 кГц и 13,56 МГц, популярен среди пентестеров
• HackRF One + ChameleonMini – для перехвата и анализа радиообмена в пассивном режиме

Программный стек

• LibNFC – открытая библиотека для работы с NFC-устройствами, основа большинства инструментов
• MFCUK / MFOC – утилиты для атаки на MIFARE Classic через nested-атаку и darkside-атаку
• NFCGate – фреймворк для перехвата и анализа APDU-команд в реальном времени, превращает Android-смартфон в полноценный анализатор
• Mifare Classic Tool (MCT) – Android-приложение для чтения и записи MIFARE-карт
• RFIDler – open-source программируемый RFID-ридер/эмулятор

APDU-команды: язык, на котором говорят карты

Когда карта «разговаривает» с терминалом, она использует APDU (Application Protocol Data Unit) – строго структурированные пакеты команд по стандарту ISO 7816. Это и есть тот «тайный язык», который форензик учится читать.

Структура команды APDU:

CLA | INS | P1 | P2 | Lc | Data | Le

Перехватив эти пакеты с помощью NFCGate или Proxmark3, аналитик видит:

• Какое приложение на карте вызывается (AID – Application Identifier)
• Какие файлы читаются (и их содержимое, если нет шифрования)
• Динамические данные аутентификации (для анализа уязвимостей)
• Счётчики транзакций, которые сложно подделать

Атаки и форензические сценарии

Сценарий 1: Установление алиби / опровержение алиби

В ходе расследования инцидента сотрудник утверждает, что «весь день был в офисе». Данные СКУД показывают: в 14:37 он вышел через боковой выход (турникет №7), а вернулся в 17:12 через главный вход. История транзакций на транспортной карте подтверждает две поездки на метро. Банковская карта зафиксировала оплату в кафе на другом конце города в 15:20. Алиби рассыпалось без единого взломанного устройства.

Сценарий 2: Реконструкция маршрута подозреваемого

Транспортная карта, найденная на месте происшествия или изъятая при задержании, позволяет восстановить все перемещения за период хранения данных в памяти чипа. В сочетании с данными оператора (которые хранятся значительно дольше) это даёт полную хронологию.

Сценарий 3: Корпоративный шпионаж

Клонирование пропуска сотрудника с доступом в серверную – классика. Proxmark3 в кармане злоумышленника, 5 секунд рядом с жертвой в лифте – и копия готова. Форензика потом восстанавливает этот факт через аномальный паттерн использования (один и тот же UID одновременно на двух турникетах – физически невозможно).

Сценарий 4: Скимминг данных

Кустарный RFID-ридер в сумке или папке, поднесённый к жертве в транспорте, считывает открытые данные банковской карты. Никакого физического контакта, никаких следов. Форензика здесь работает по другую сторону: восстановление факта скимминга по логам транзакций и временны́м аномалиям.

Следы, которые остаются в инфраструктуре

Даже если сама карта уничтожена, форензик работает с цифровыми следами:

Защита: как минимизировать след

Раз уж ты теперь знаешь, что оставляешь – несколько практических советов:

• RFID-блокирующий кошелёк – защищает от пассивного скимминга в общественных местах, но не от данных, уже записанных в системах оператора
• Разделение карт – не используй одну карту для транспорта, работы и платежей: это связывает все три потока данных в единый профиль
• Виртуальные карты в смартфоне (Apple Pay / Google Pay) – токенизация скрывает реальный PAN, каждая транзакция использует уникальный динамический код
• Регулярная замена транспортных карт – обрывает цепочку идентификации по UID
• Осознанность при использовании корпоративных пропусков – каждый проход логируется, это не паранойя, это факт

Правовой контекст

Форензика NFC/RFID в России регулируется несколькими нормами. Несанкционированный доступ к данным карт – ст. 272 УК РФ (неправомерный доступ к компьютерной информации). Скимминг квалифицируется как мошенничество по ст. 159.3 УК РФ. При этом сами транспортные операторы и работодатели законно хранят и используют данные транзакций и СКУД в рамках своих политик – и могут передавать их по запросу правоохранительных органов.

Бесконтактная карта в твоём кармане – это не просто удобный способ платить. Это персональный цифровой хронометр, который фиксирует твои перемещения в десятках независимых систем. Форензика NFC/RFID – это искусство читать эти записи. И поверь: когда нужно, их читают очень внимательно.

Proxmark3 – законный инструмент для тестирования безопасности собственных систем. Использование его против чужих карт без разрешения – уголовное дело. Я серьёзно.