NFC en kaartkloning: werklike risiko's en hoe om kontaklose betalings te blokkeer

Nabyheidstegnologieë het ons lewens geriefliker gemaak, maar dit het ook nuwe deure vir swendelaars oopgemaak; daarom is dit belangrik om hul beperkings te verstaan ​​en Implementeer veiligheidsmaatreëls voordat die skade werklik plaasvind.

In hierdie artikel sal jy, sonder om om die bos te draai, vind hoe NFC/RFID werk, watter truuks misdadigers by geleenthede en in besige plekke gebruik, watter bedreigings in selfone en betaalterminale na vore gekom het, en bowenal, Hoe om kontaklose betalings te blokkeer of te verminder wanneer dit jou pasKom ons begin met 'n volledige gids oor: NFC en kaartkloning: werklike risiko's en hoe om kontaklose betalings te blokkeer.

Wat is RFID en wat voeg NFC by?

Om dinge in perspektief te plaas: RFID is die fondament van dit alles. Dis 'n stelsel wat radiofrekwensie gebruik om etikette of kaarte op kort afstande te identifiseer, en dit kan op twee maniere werk. In sy passiewe variant het die etiket geen battery nie en Dit word geaktiveer deur die leser se energie.Dit is tipies vir vervoerpasse, identifikasie of produketikettering. In sy aktiewe weergawe bevat die etiket 'n battery en bereik dit groter afstande, wat algemeen is in logistiek, sekuriteit en motorvoertuie.

Eenvoudig gestel, NFC is 'n evolusie wat ontwerp is vir daaglikse gebruik met selfone en kaarte: dit laat tweerigtingkommunikasie toe, is geoptimaliseer vir baie kort afstande en het die standaard geword vir vinnige betalings, toegang en data-uitruiling. Sy grootste sterkte is onmiddellikheid.: jy bring dit naby en dis dit, sonder om die kaart in die gleuf te plaas.

Wanneer jy met 'n kontaklose kaart betaal, stuur die NFC/RFID-skyfie die nodige inligting na die handelaar se betaalterminaal. As jy egter met jou selfoon of horlosie betaal, is jy in 'n ander liga: die toestel tree op as 'n tussenganger en voeg lae sekuriteit by (biometrie, PIN, tokenisering), wat Dit verminder die blootstelling van die kaart se werklike data..

Kontaklose kaarte teenoor betalings met toestelle

• Fisiese kontaklose kaarte: Bring hulle eenvoudig naby die terminaal; vir klein bedrae is 'n PIN dalk nie nodig nie, afhangende van die limiete wat deur die bank of land gestel is.
• Betalings met selfoon of horlosie: Hulle gebruik digitale beursies (Apple Pay, Google Wallet, Samsung Pay) wat gewoonlik vingerafdruk, gesig of PIN vereis, en die regte nommer met 'n eenmalige teken vervang, wat verhoed dat die handelaar jou outentieke kaart sien.

Die feit dat beide metodes dieselfde NFC-fondament deel, beteken nie dat hulle dieselfde risiko's inhou nie. Die verskil lê in die medium (plastiek teenoor toestel) en in die bykomende hindernisse wat deur die slimfoon bygevoeg word. veral verifikasie en tokenisering.

Waar en hoe vind kontaklose bedrog plaas?

Misdadigers buit die feit uit dat NFC-lesing op baie kort afstand plaasvind. In besige plekke – openbare vervoer, konserte, sportbyeenkomste, feeste – kan 'n draagbare leser sakke of tasse nader sonder om agterdog te wek en inligting vaslê. Hierdie metode, bekend as skimming, maak voorsiening vir die duplisering van data, wat dan vir aankope of kloning gebruik word. alhoewel hulle dikwels addisionele stappe benodig om die bedrog effektief te maak.

Nog 'n vektor is die manipulasie van terminale. 'n Gewysigde betaalterminaal met 'n kwaadwillige NFC-leser kan data stoor sonder dat jy dit agterkom, en indien dit gekombineer word met versteekte kameras of eenvoudige visuele waarneming, kan aanvallers belangrike inligting soos syfers en vervaldatums bekom. Dit is skaars in betroubare winkels, maar die risiko neem toe by tydelike stalletjies..

Ons moet ook nie identiteitsdiefstal vergeet nie: met genoeg data kan misdadigers dit gebruik vir aanlyn aankope of transaksies wat nie 'n tweede faktor benodig nie. Sommige entiteite bied beter beskerming as ander – deur sterk enkripsie en tokenisering te gebruik – maar, soos kenners waarsku, Wanneer die skyfie oordra, is die data wat vir die transaksie nodig is, teenwoordig..

Parallel het aanvalle ontstaan ​​wat nie daarop gemik is om jou kaart op straat te lees nie, maar eerder om dit op afstand aan die misdadiger se eie mobiele beursie te koppel. Dit is waar grootskaalse phishing, vals webwerwe en die obsessie met die verkryging van eenmalige wagwoorde (OTP's) ter sprake kom. wat die sleutel is tot die magtiging van bedrywighede.

Kloning, aanlyn inkopies, en hoekom dit soms werk

Soms sluit die vasgelegde data die volledige reeksnommer en vervaldatum in. Dit mag dalk genoeg wees vir aanlyn aankope as die handelaar of bank nie verdere verifikasie vereis nie. In die fisiese wêreld is dinge meer ingewikkeld as gevolg van EMV-skyfies en anti-bedrogbeheer, maar sommige aanvallers Hulle probeer hul geluk met transaksies by permissiewe terminale of met klein bedrae.

Van lokaas tot betaling: die koppeling van gesteelde kaarte aan mobiele beursies

'n Groeiende taktiek behels die opstel van netwerke van bedrieglike webwerwe (boetes, versending, fakture, vals winkels) wat "verifikasie" of 'n tekenbetaling aanvra. Die slagoffer voer hul kaartbesonderhede in en soms 'n OTP (Eenmalige Betaling). In werklikheid word niks op daardie oomblik gehef nie: die data word na die aanvaller gestuur, wat dan probeer om... koppel daardie kaart aan jou Apple Pay of Google Wallet so gou as moontlik.

Om dinge te bespoedig, genereer sommige groepe 'n digitale beeld wat die kaart met die slagoffer se data herhaal, "fotografeer" dit uit die beursie, en voltooi die koppeling as die bank slegs die nommer, vervaldatum, houer, CVV en OTP benodig. Alles kan in 'n enkele sessie gebeur..

Interessant genoeg spandeer hulle nie altyd dadelik nie. Hulle versamel dosyne gekoppelde kaarte op 'n foon en verkoop dit weer op die donker web. Weke later sal 'n koper daardie toestel gebruik om in fisiese winkels via kontakloos te betaal of om betaling vir nie-bestaande produkte in hul eie winkel binne 'n wettige platform te ontvang. In baie gevalle word geen PIN of OTP by die POS-terminaal aangevra nie..

Daar is lande waar jy selfs kontant by NFC-geaktiveerde OTM'e kan onttrek deur jou selfoon te gebruik, en nog 'n monetiseringsmetode by te voeg. Intussen onthou die slagoffer dalk nie eers die mislukte betaalpoging op daardie webwerf nie en sal geen "vreemde" koste opmerk totdat dit te laat is nie. omdat die eerste bedrieglike gebruik baie later plaasvind.

Ghost Tap: die oordrag wat die kaartleser flous

Nog 'n tegniek wat in sekuriteitsforums bespreek word, is NFC-aflos, met die bynaam Ghost Tap. Dit maak staat op twee selfone en wettige toetstoepassings soos NFCGate: een hou die beursie met gesteelde kaarte; die ander, gekoppel aan die internet, tree op as die "hand" in die winkel. Die sein van die eerste foon word intyds oorgedra, en die muil bring die tweede foon naby die kaartleser. wat nie maklik onderskei tussen 'n oorspronklike en 'n heruitgestuurde sein nie.

Die truuk laat verskeie muile toe om amper gelyktydig met dieselfde kaart te betaal, en as die polisie die muil se foon nagaan, sien hulle slegs 'n wettige toepassing sonder enige kaartnommers. Die sensitiewe data is op die ander toestel, miskien in 'n ander land. Hierdie skema bemoeilik toeskrywing en versnel geldwassery..

Mobiele wanware en die NGate-saak: wanneer jou foon vir jou steel

Sekuriteitsnavorsers het veldtogte in Latyns-Amerika gedokumenteer – soos die NGate-bedrogspul in Brasilië – waar 'n vals Android-banktoepassing gebruikers aanspoor om NFC te aktiveer en hul kaart "nader te bring" aan die foon. Die wanware onderskep die kommunikasie en stuur die data na die aanvaller, wat dan die kaart naboots om betalings of onttrekkings te maak. Al wat nodig is, is dat die gebruiker die verkeerde toepassing vertrou..

Die risiko is nie uniek aan een land nie. In markte soos Mexiko en die res van die streek, waar die gebruik van nabyheidsbetalings toeneem en baie gebruikers toepassings vanaf twyfelagtige skakels installeer, is die grond vrugbaar. Alhoewel banke hul beheermaatreëls versterk, Kwaadwillige akteurs itereer vinnig en buit enige toesig uit..

Hoe hierdie swendelary stap vir stap werk

1. 'n Lokvalwaarskuwing arriveer: 'n boodskap of e-pos wat "vereis" dat jy die bank se app via 'n skakel opdateer.
2. Jy installeer 'n gekloonde toepassing: Dit lyk eg, maar dit is kwaadwillig en versoek NFC-toestemmings.
3. Dit vra jou om die kaart naby te bring: of aktiveer NFC tydens 'n operasie, en lê die data daar vas.
4. Die aanvaller boots jou kaart na: en maak betalings of onttrekkings, wat jy later sal ontdek.

Verder het nog 'n kinkel aan die einde van 2024 ontstaan: bedrieglike toepassings wat gebruikers vra om hul kaart naby hul foon te hou en hul PIN in te voer "om dit te verifieer." Die toepassing stuur dan die inligting aan die misdadiger, wat aankope of onttrekkings by NFC-OTM'e doen. Toe banke geolokasie-anomalieë bespeur het, het 'n nuwe variant in 2025 verskyn: Hulle oortuig die slagoffer om hul geld in 'n sogenaamd veilige rekening te deponeer. Vanuit 'n OTM, terwyl die aanvaller, via 'n aflostransaksie, hul eie kaart aanbied; beland die deposito in die hande van die bedrieër en die anti-bedrogstelsel beskou dit as 'n wettige transaksie.

Bykomende risiko's: kaartbetalingsterminale, kameras en identiteitsdiefstal

Die gepeuterde terminale vang nie net vas wat hulle benodig via NFC nie, maar hulle kan ook transaksielogboeke stoor en dit aanvul met beelde van versteekte kameras. As hulle die reeksnommer en vervaldatum bekom, kan sekere gewetenlose aanlynkleinhandelaars aankope aanvaar sonder 'n tweede verifikasiefaktor. Die sterkte van die bank en die besigheid maak al die verskil.

Parallel is scenario's beskryf waar iemand diskreet 'n kaart afneem of dit met hul selfoon opneem terwyl jy dit uit jou beursie haal. Alhoewel dit dalk eenvoudig klink, kan hierdie visuele lekkasies, gekombineer met ander data, lei tot identiteitsbedrog, ongemagtigde diensaanmeldings of aankope. Sosiale ingenieurswese voltooi die tegniese werk.

Hoe om jouself te beskerm: praktiese maatreëls wat werklik werk

• Stel kontaklose betalingslimiete: Dit verlaag die maksimum bedrae sodat, indien daar misbruik is, die impak minder is.
• Aktiveer biometrie of PIN op jou selfoon of horlosie: Op hierdie manier kan niemand sonder jou toestemming vanaf jou toestel betaal nie.
• Gebruik getokeniseerde beursies: Hulle vervang die werklike nommer met 'n teken, wat verhoed dat jou kaart aan die handelaar blootgestel word.
• Deaktiveer kontaklose betaling as jy dit nie gebruik nie: Baie entiteite laat jou toe om daardie funksie tydelik op die kaart te deaktiveer.
• Skakel jou foon se NFC af wanneer jy dit nie nodig het nie: Dit verminder die aanvalsoppervlak teen kwaadwillige programme of ongewenste lesings.
• Beskerm jou toestel: Sluit dit met 'n sterk wagwoord, veilige patroon of biometrie, en moenie dit ontsluit op enige toonbank los nie.
• Hou alles op datum: stelsel, toepassings en firmware; baie opdaterings maak foute reg wat hierdie aanvalle uitbuit.
• Aktiveer transaksiewaarskuwings: Druk en SMS om bewegings intyds op te spoor en onmiddellik te reageer.
• Gaan jou state gereeld na: wy 'n weeklikse oomblik daaraan om heffings na te gaan en verdagte klein bedrae op te spoor.
• Verifieer altyd die bedrag op die POS-terminaal: Kyk na die skerm voordat jy die kaart naby bring en hou die kwitansie.
• Definieer maksimum bedrae sonder PIN: Dit dwing addisionele verifikasie af op aankope van 'n sekere bedrag.
• Gebruik RFID/NFC-blokkerende omslae of kaarte: Hulle is nie onfeilbaar nie, maar hulle verhoog die aanvaller se poging.
• Verkies virtuele kaarte vir aanlyn aankope: Vul jou saldo aan net voor jy betaal en deaktiveer vanlynbetalings as jou bank dit aanbied.
• Hernu jou virtuele kaart gereeld: As dit ten minste een keer per jaar vervang word, verminder dit blootstelling as dit lek.
• Koppel 'n ander kaart aan jou beursie as die een wat jy aanlyn gebruik: skei risiko's tussen fisiese en aanlyn betalings.
• Vermy die gebruik van NFC-geaktiveerde fone by OTM'e: Vir onttrekkings of deposito's, gebruik asseblief die fisiese kaart.
• Installeer 'n betroubare sekuriteitspakket: Soek vir betalingsbeskerming en phishing-blokkeringsfunksies op selfone en rekenaars.
• Laai slegs programme van amptelike winkels af: en bevestig die ontwikkelaar; wees versigtig vir skakels via SMS of boodskappe.
• In oorvol ruimtes: Hou jou kaarte in 'n binnesak of beursie met beskerming en vermy om hulle bloot te stel.
• Vir besighede: IT vra IT om korporatiewe selfone te hersien, toestelbestuur toe te pas en onbekende installasies te blokkeer.

Aanbevelings van organisasies en beste praktyke

• Kontroleer die bedrag voordat u betaal: Moenie die kaart naby bring voordat jy die bedrag op die terminaal geverifieer het nie.
• Hou kwitansies: Hulle help jou om aanklagte te vergelyk en eise met bewyse in te dien indien daar teenstrydighede is.
• Aktiveer kennisgewings vanaf die bankapp: Hulle is jou eerste waarskuwingsteken van 'n onherkende aanklag.
• Gaan jou state gereeld na: Vroeë opsporing verminder skade en versnel die bank se reaksie.

As jy vermoed dat jou kaart gekloon is of jou rekening gekoppel is

Die eerste ding is om te blokkeer gekloonde kredietkaart Versoek 'n nuwe nommer vanaf die toepassing of deur die bank te skakel. Vra die uitreiker om enige geassosieerde mobiele beursies wat jy nie herken nie, te ontkoppel en verbeterde monitering te aktiveer. benewens die verandering van wagwoorde en die nagaan van jou toestelle.

Deïnstalleer programme wat jy nie onthou dat jy geïnstalleer het nie op jou mobiele toestel, voer 'n skandering met jou sekuriteitsoplossing uit, en as tekens van infeksie voortduur, herstel na fabrieksinstellings nadat jy 'n rugsteun gemaak het. Vermy herinstallasie vanaf nie-amptelike bronne.

Dien 'n verslag in indien nodig en versamel bewyse (boodskappe, skermkiekies, kwitansies). Hoe gouer jy dit rapporteer, hoe gouer kan jou bank terugbetalings inisieer en betalings blokkeer. Spoed is die sleutel om die domino-effek te stop.

Die nadeel van kontaklose gerief is dat aanvallers ook in noue nabyheid opereer. Om te verstaan ​​hoe hulle werk – van skare-afskepping tot die koppeling van kaarte aan mobiele beursies, Ghost Tap-herleiding, of wanware wat NFC onderskep – maak dit moontlik om ingeligte besluite te neem: strenger beperkings, die vereiste van sterk verifikasie, die gebruik van tokenisering, die afskakel van funksies wanneer dit nie gebruik word nie, die monitering van bewegings en die verbetering van digitale higiëne. Met 'n paar soliede hindernisse in plek, Dit is heeltemal moontlik om kontaklose betalings te geniet terwyl risiko verminder word.