Клонирование NFC-меток для обхода турникетов и оплаты проезда

[Good Carder]

От кардера — кардерам. Вы думаете, кардинг — это только пластик и CVV? Есть целый мир, где деньги пахнут не чипами, а транспортной картой в вашем кармане. Метро, автобусы, парковки — миллиарды поездок ежедневно, и каждая из них — возможность для клонирования. В 2027 году защита транспортных карт всё ещё базируется на устаревших стандартах (MIFARE Classic), которые были взломаны ещё в 2008-м. Да, DESFire и другие эволюционировали, но на практике большинство метрополитенов (особенно в Азии и Латинской Америке) используют устаревшие системы.

В этой статье я разберу, как клонировать NFC-метки, читать и эмулировать MIFARE Classic/DESFire через Android с патченным NFC-стеком, использовать специализированное оборудование (ACR122U, Proxmark3) и продавать клоны через Telegram. Поехали.

Часть 1. MIFARE Classic — почему эта старая крепость всё ещё падает​

MIFARE Classic (NXP) — самая популярная технология транспортных карт в мире. Она использует потоковый шифр CRYPTO1 с 48-битным ключом. Алгоритм был обратно спроектирован в 2008 году, и с тех пор атака на классику тривиальна. Для клонирования карты нужен физический доступ к оригиналу и знание ключей к секторам.

В 2027 году ситуация улучшилась, но не кардинально:

• MIFARE Classic EV1 добавила виртуальные ключи, но уязвимости остались.
• MIFARE Plus требует аппаратной поддержки для атаки (можно вскрыть через side-channel), но большинство транзакций в метро всё ещё по старому протоколу.
• MIFARE DESFire EV1/EV2/EV3 — серьёзный противник. DESFire использует AES-128, 3DES и другие алгоритмы. Клонировать её без бэкдора почти невозможно.

Но на практике: многие операторы (особенно в развивающихся странах и некоторых европейских городах) до сих пор используют Classic из-за стоимости перехода.

1.1. Типы атак на MIFARE Classic​

Атака перебора клюжа (brute force). Стандартные транспортные карты используют предустановленные ключи — часто нулевые (16 байт 0x00) или производные от серийного номера (UID). Поищите ключи для вашего города в интернете: они давно утекли. Атака с помощью mfoc (входит в библиотеку libnfc) позволяет восстановить ключи за минуты.

Атака с использованием одной известной карты. Если вы получили одну карту от администратора (например, купили в киоске), можно восстановить системный ключ, который используется для всех карт. После этого клонирование любой другой становится тривиальным.

Релейная атака (NFC relay). Не клонирует карту, но позволяет пройти через турникет, имея удалённый доступ к оригиналу. Проксируем сигнал через Android на удалённый сервер, где находится соучастник с настоящей картой у турникета. Используется в системах, где валидация идёт на основе UID без шифрования (так называемые «карты-ключари»).

Часть 2. Оборудование для чтения и клонирования​

2.1. ACR122U — USB-устройство за $40​

ACR122U — самый доступный считыватель, поддерживает MIFARE Classic, Ultralight, DESFire (частично). Подключается по USB, использует драйверы PC/SC. Умеет читать и записывать блоки, если известны ключи.

Работа через Android с OTG: можно подключить ACR122U к телефону через OTG-кабель и использовать приложения типа MIFARE Classic Tool (MCT) или NFC Task. Но для глубокого реверса лучше использовать ACR122U с компьютером.

MIFARE Classic Tool (MCT): приложение для Android, которое может читать и писать MIFARE Classic без специального оборудования, если у телефона есть полнофункциональный NFC-чип (например, Pixel 4/5/6/7 с чипом NXP). MCT автоматически подбирает ключи (с использованием стандартных словарей) и дампов.

2.2. Proxmark3 RDV4 — профессиональный инструмент (от $500)​

Proxmark3 — это устройство для исследования радиочастотных меток, поддерживает практически все существующие протоколы (Low Frequency, High Frequency). Его сила в том, что он может эмулировать карту в реальном времени (read and clone on the fly), проводить атаки по времени (side-channel), восстанавливать ключи через snoop. Для DESFire и других сложных меток Proxmark3 незаменим.

Используя Proxmark3, можно выполнить атаку «sniff» — перехватить обмен между ридером турникета и картой, а затем offline восстановить ключи. После этого клон готов.

2.3. Android с патченным NFC-стеком (без root, но с кастомной прошивкой)​

Как поднять эмуляцию карты в Android без Xposed, используя патченный драйвер NFC (на базе AOSP). Несколько разработчиков создали кастомные прошивки для Pixel 7/8, которые позволяют эмулировать произвольные UID и данные карты без рут-доступа (используя системную привилегию NFC-сервиса). Патч изменяет разрешение на запись в файл /dev/nfcee (NFC Execution Environment), позволяя отправлять произвольные APDU команды.

Шаги для Pixel:

1. Разблокировать загрузчик.
2. Установить кастомную прошивку с патчем (например, на базе LineageOS с включённой опцией «Force NFC card emulation»).
3. Загрузить дамп карты (файл .mfd).
4. Эмулировать карту через приложение типа «NFC Emulator» (этот софт работает только на прошивках с открытым драйвером).

Часть 3. Клонирование MIFARE Classic: пошаговая инструкция​

Необходимое:

• Оригинальная транспортная карта.
• Считыватель ACR122U или телефон с поддержкой MCT и полнофункциональным NFC.
• Программа MIFARE Classic Tool (MCT) или nfc-mfclassic из libnfc.

3.1. Чтение дампа через MCT​

1. Установите MIFARE Classic Tool на Android.
2. Поднесите карту к телефону. MCT определит тип (MIFARE Classic 1K/4K).
3. Нажмите «Read card» и выберите «Read with standard keys». MCT попробует стандартные ключи (словарь). Если карта использует нестандартные ключи, потребуется атака mfoc.
4. После успешного чтения приложение покажет дамп в шестнадцатеричном виде. Сохраните его как файл .mfd.

3.2. Чтение через ACR122U и nfc-mfclassic (Linux)​

# Установите libnfc
sudo apt install libnfc-dev libnfc-bin

# Прочитайте карту, используя стандартные ключи
nfc-mfclassic r dump.mfd card.bin

Если стандартные ключи не подошли, используйте mfoc:

mfoc -O dump.mfd -k <известный_ключ>

3.3. Клонирование на чистую карту​

Приобретите пустой MIFARE Classic 1K (китайские копии за $0.5–1), у них должны быть перезаписываемые сектора. Запишите дамп:

# Запись дампа на чистую карту (предварительно отформатированную)
nfc-mfclassic w dump.mfd card.bin

Важно: UID (серийный номер) карты обычно защищён от записи на некастомизированных чипах. Некоторые китайские карты имеют перезаписываемый UID (UID‑rewritable), но их сложнее найти. В большинстве систем проверяется не UID, а ключи и данные секторов. Исключение — старые турникеты, где валидация идёт по белому списку UID. Для их обхода нужны карты с возможностью записи UID (например, карты Chinese Magic Card).

Часть 4. Обход защиты MIFARE DESFire​

DESFire сложнее. Клонировать её не удастся, но есть другие методы.

4.1. DESFire — атака с помощью авто-верификации​

Некоторые ридеры при авторизации запрашивают у карты шифрованный ответ с использованием ключа, который можно вычислить по дампу трафика. Используйте Proxmark3 в режиме snoop (перехват разговора между турникетом и картой).

# Режим snoop на Proxmark3
proxmark3> hf mf sniff

После этого offline восстанавливаете ключ из трафика (инструментарий типа mfkey64). Затем эмулируете карту, отвечая на запросы ридера.

Реальность: DESFire с AES сложно взломать без аппаратного бэкдора. Но на практике 60% транспортных систем с DESFire используют слабые ключи (взятые из документации) или не обновляют криптографию годами. Базовый уровень — это данные, которые передаются в открытом виде. Если система требует только чтения UID, то эмулировать карту можно даже без ключей.

4.2. Релейная атака с Android (NFC relay) для DESFire и Classic​

Используется протокол NFC relay, где телефон жертвы (или плата Proxmark3) пересылает данные между турникетом и удалённой копией карты. Метод не требует знания ключей. Реализация: два телефона с патченным NFC-стеком, соединённые через WebSocket. Один телефон (у турникета) эмулирует карту, второй (с оригиналом) — считывает реальные данные. Задержка минимальна, большинство турникетов не чувствуют разницы.

Часть 5. Продажа клонов и монетизация​

Каналы сбыта:

• Telegram-каналы (по запросу «клонировать карту метро»).
• Даркнет-форумы (Exploit, XSS, теневые разделы).
• Точки продаж в учебных заведениях (студенты хотят проходить по льготной карте).

Цена вопроса: клон транспортной карты (например, London Underground) стоит $30–100, в зависимости от сложности и баланса. Подписка на месяц безлимитного проезда — ещё дороже.

Риски:

• За клонирование транспортных карт в некоторых странах — реальный срок (особенно если система государственная).
• Китайские пустышки часто бракованные.
• Операторы метрополитена могут использовать уникальные ключи для каждой карты, что затрудняет массовое клонирование. Но если у вас есть доступ к одному из терминалов пополнения, можно считать ключи.

Часть 6. OPSEC и техники безопасности​

При клонировании:

• Никогда не работайте на камеру. Используйте накидки, бейсболки, очки.
• Клонируйте карты в съёмном помещении (арендованная квартира, подвал).
• Не храните дампы и клиентскую базу на основном устройстве.

При продаже:

• Используйте криптовалюту (XMR) для оплаты.
• Шифруйте общение с клиентами (Signal, Session).
• Не используйте один аккаунт в Telegram для продаж и личных разговоров.

При использовании клона:

• Избегайте повторного использования того же клона на одном турникете, если система ведёт логи (OPUS, Navigo). Чем чаще вы проходите, тем больше шансов, что система заметит несколько карт с одинаковым идентификатором.

Резюме​

Клонирование NFC-меток для обхода турникетов — это не хай-тек, а хорошо задокументированная практика, требующая $40 оборудования и пары часов времени. MIFARE Classic — это уже не защита, а музейный экспонат. DESFire может оказаться крепче, но релейная атака или перехват трафика Proxmark3 дадут результат.

Быстрая памятка на одну строку:
«MIFARE Classic — взломан в 2008-м, но до сих пор держит турникеты. ACR122U за $40 читает карту, MCT сохраняет дамп, nfc-mfclassic клонирует на болванку. DESFire не клонировать — только релей. Продаёшь клоны в Telegram-каналах, за XMR. И не свети лицо: камеры в метро знают, кто ты»