NFC ug card cloning: tinuod nga mga risgo ug unsaon pag-block sa contactless nga pagbayad

Ang mga teknolohiya sa kaduol naghimo sa atong kinabuhi nga mas kombenyente, apan nagbukas usab sila og bag-ong mga pultahan alang sa mga scammers; mao nga importante nga masabtan ang ilang mga limitasyon ug Ipatuman ang mga lakang sa kaluwasan sa dili pa mahitabo ang kadaot.

Sa kini nga artikulo imong makit-an, nga wala’y pagbunal sa palibot sa sapinit, kung giunsa ang pagtrabaho sa NFC / RFID, kung unsang mga limbong ang gigamit sa mga kriminal sa mga panghitabo ug sa mga lugar nga daghang tawo, kung unsang mga hulga ang mitumaw sa mga mobile phone ug mga terminal sa pagbayad, ug labaw sa tanan, Giunsa pagbabag o pagminus ang mga bayad nga wala’y kontak kung kini angay kanimoMagsugod kita sa usa ka kompleto nga giya sa: NFC ug card cloning: tinuod nga mga risgo ug unsaon pag-block sa contactless nga pagbayad.

Unsa ang RFID ug unsa ang gidugang sa NFC?

Aron ibutang ang mga butang sa panglantaw: Ang RFID mao ang pundasyon niining tanan. Kini usa ka sistema nga naggamit sa frequency sa radyo aron mahibal-an ang mga tag o mga kard sa mubo nga distansya, ug mahimo kini nga molihok sa duha ka paagi. Sa pasibo nga variant niini, ang tag walay baterya ug Gipalihok kini sa kusog sa magbabasa.Kasagaran kini alang sa mga pass sa transportasyon, pag-ila, o pag-label sa produkto. Sa aktibo nga bersyon niini, ang tag naglakip sa usa ka baterya ug nakaabot sa mas daghang distansya, nga kasagaran sa logistics, seguridad, ug automotive.

Sa yanong pagkasulti, ang NFC usa ka ebolusyon nga gidisenyo alang sa adlaw-adlaw nga paggamit sa mga mobile phone ug mga kard: kini nagtugot sa bidirectional nga komunikasyon, gi-optimize alang sa mubo nga mga distansya, ug nahimong sumbanan alang sa paspas nga pagbayad, pag-access, ug pagbayloay sa datos. Ang pinakadako nga kusog niini mao ang pagkadali.: imong dad-on kini duol ug mao kana, nga walay pagsal-ot sa card ngadto sa slot.

Kung mobayad ka gamit ang contactless card, ang NFC/RFID chip mopadala sa gikinahanglang impormasyon ngadto sa terminal sa pagbayad sa negosyante. Bisan pa, kung magbayad ka gamit ang imong mobile phone o relo, lahi ka sa liga: ang aparato molihok ingon usa ka tigpataliwala ug nagdugang mga layer sa seguridad (biometrics, PIN, tokenization), nga Gipamenos niini ang pagkaladlad sa aktuwal nga datos sa kard..

Mga kard nga wala’y kontak batok sa mga pagbayad gamit ang mga aparato

• Walay kontak nga pisikal nga mga kard: Ipaduol lang sila sa terminal; alang sa gagmay nga kantidad, ang usa ka PIN mahimong dili kinahanglan, depende sa mga limitasyon nga gitakda sa bangko o nasud.
• Pagbayad gamit ang cellphone o relo: Gigamit nila ang mga digital nga pitaka (Apple Pay, Google Wallet, Samsung Pay) nga kasagaran nagkinahanglan og fingerprint, nawong o PIN, ug ilisan ang tinuod nga numero sa usa ka higayon nga gamiton nga token. nga nagpugong sa negosyante nga makita ang imong tinuod nga kard.

Ang kamatuoran nga ang duha ka mga pamaagi adunay parehas nga pundasyon sa NFC wala magpasabut nga parehas sila nga peligro. Ang kalainan anaa sa medium (plastic versus device) ug sa dugang nga mga babag nga gidugang sa smartphone. ilabi na ang authentication ug tokenization.

Asa ug sa unsang paagi mahitabo ang walay kontak nga pagpanglimbong?

Gipahimuslan sa mga kriminal ang kamatuoran nga ang pagbasa sa NFC mahitabo sa mubo ra kaayo. Sa mga lugar nga daghang tawo-publiko nga transportasyon, mga konsyerto, mga kalihokan sa dula, mga perya-usa ka madaladala nga magbabasa mahimong moduol sa mga bulsa o mga bag nga dili magduda ug makakuha og kasayuran. Kini nga pamaagi, nailhan nga skimming, nagtugot sa pagdoble sa datos, nga gigamit dayon alang sa pagpalit o pag-clone. bisan tuod sila sa kasagaran nagkinahanglan og dugang nga mga lakang aron mahimong epektibo ang pagpanglimbong.

Ang laing vector mao ang pagmaniobra sa mga terminal. Ang usa ka giusab nga terminal sa pagbayad nga adunay malisyoso nga NFC reader mahimong magtipig og data nga wala nimo mamatikdi, ug kung iuban sa mga tinago nga mga camera o yano nga pagtan-aw sa panan-aw, ang mga tig-atake makakuha og hinungdanon nga kasayuran sama sa mga numero ug mga petsa sa pag-expire. Talagsa ra kini sa inila nga mga tindahan, apan ang risgo nagdugang sa mga makeshift stalls..

Dili usab nato kalimtan ang pagpangawat sa pagkatawo: nga adunay igo nga datos, magamit kini sa mga kriminal alang sa mga pagpalit sa online o mga transaksyon nga wala magkinahanglan usa ka ikaduha nga hinungdan. Ang ubang mga entidad naghatag og mas maayong proteksyon kay sa uban—gamit ang lig-on nga encryption ug tokenization—apan, sama sa gipasidan-an sa mga eksperto, Kung ang chip nagpadala, ang datos nga gikinahanglan alang sa transaksyon anaa..

Sa susama, mitumaw ang mga pag-atake nga wala magtinguha sa pagbasa sa imong kard sa dalan, apan sa layo nga pag-link niini sa kaugalingon nga pitaka nga mobile sa kriminal. Dinhi nagsugod ang dinagkong phishing, peke nga mga website, ug ang obsession sa pagkuha sa usa ka higayon nga mga password (OTPs). nga mao ang yawe sa pagtugot sa mga operasyon.

Pag-clone, pagpamalit sa online, ug kung ngano nga kini usahay molihok

Usahay, ang nakuha nga datos naglakip sa bug-os nga serial number ug expiration date. Mahimong igo kana alang sa mga pagpalit sa online kung ang negosyante o bangko wala magkinahanglan dugang nga pag-verify. Sa pisikal nga kalibutan, ang mga butang mas komplikado tungod sa EMV chips ug mga kontrol sa anti-fraud, apan pipila ka mga tig-atake Gisulayan nila ang ilang suwerte sa mga transaksyon sa permissive nga mga terminal o sa gamay nga kantidad.

Gikan sa paon hangtod sa pagbayad: pag-link sa mga kinawat nga kard sa mga mobile wallet

Ang usa ka nagkadako nga taktika naglakip sa pag-set up sa mga network sa mga malimbungon nga website (multa, pagpadala, mga invoice, peke nga mga tindahan) nga nangayo og "pagpamatuod" o usa ka token nga pagbayad. Gisulod sa biktima ang mga detalye sa ilang card ug, usahay, usa ka OTP (One-Time Payment). Sa tinuud, wala’y gisingil sa kana nga higayon: ang datos gipadala sa tig-atake, nga misulay sa ... i-link kana nga kard sa imong Apple Pay o Google Wallet sa labing dali

Aron mapadali ang mga butang, ang pipila ka mga grupo makamugna og digital nga imahe nga nag-replicate sa card nga adunay data sa biktima, "litratohan" kini gikan sa pitaka, ug kompletoha ang pag-link kung gikinahanglan lamang sa bangko ang numero, expiration date, holder, CVV, ug OTP. Ang tanan mahimong mahitabo sa usa ka sesyon..

Makapainteres, dili sila kanunay nga mogasto dayon. Nagtigum sila daghang mga na-link nga kard sa usa ka telepono ug gibaligya kini pag-usab sa ngitngit nga web. Paglabay sa mga semana, gamiton sa usa ka pumapalit kana nga aparato aron magbayad sa pisikal nga mga tindahan pinaagi sa contactless o aron mangolekta og bayad alang sa wala’y mga produkto sa ilang kaugalingon nga tindahan sa sulod sa usa ka lehitimong plataporma. Sa daghang mga kaso, walay PIN o OTP nga gihangyo sa POS terminal..

Adunay mga nasud diin mahimo nimong i-withdraw ang cash gikan sa mga ATM nga gipagana sa NFC gamit ang imong mobile phone, pagdugang usa ka paagi sa pag-monetize. Sa kasamtangan, ang biktima mahimong dili gani makahinumdom sa napakyas nga pagsulay sa pagbayad sa maong website ug dili makamatikod sa bisan unsa nga "katingad-an" nga mga singil hangtud nga ulahi na kaayo. tungod kay ang una nga pagpanglimbong nga paggamit mahitabo sa ulahi.

Ghost Tap: ang transmission nga naglimbong sa card reader

Ang laing teknik nga gihisgutan sa mga forum sa seguridad mao ang NFC relay, gianggaan Ghost Tap. Nagsalig kini sa duha ka mga mobile phone ug mga lehitimong aplikasyon sa pagsulay sama sa NFCGate: ang usa nagkupot sa pitaka nga adunay mga kinawat nga kard; ang lain, konektado sa internet, naglihok isip "kamot" sa tindahan. Ang signal gikan sa unang telepono gi-relay sa tinuod nga panahon, ug ang mula nagdala sa ikaduhang telepono duol sa card reader. nga dili dali makaila tali sa usa ka orihinal ug usa ka gipasa nga signal.

Ang lansis nagtugot sa daghang mga mula nga mobayad hapit dungan sa parehas nga kard, ug kung susihon sa pulisya ang telepono sa mula, makita ra nila ang usa ka lehitimong app nga wala’y mga numero sa kard. Ang sensitibo nga datos anaa sa laing device, tingali sa laing nasud. Kini nga laraw nagpakomplikado sa pag-ila ug nagpadali sa pagpanglaba sa salapi..

Mobile malware ug ang NGate nga kaso: kung ang imong telepono mangawat alang kanimo

Ang mga tigdukiduki sa seguridad nagdokumento sa mga kampanya sa Latin America-sama sa NGate scam sa Brazil-diin ang usa ka peke nga Android banking app nag-aghat sa mga tiggamit sa pagpaaktibo sa NFC ug "pagdala sa ilang card duol" sa telepono. Gibabagan sa malware ang komunikasyon ug gipadala ang datos sa tig-atake, nga dayon gisundog ang kard aron makabayad o mag-withdraw. Ang gikinahanglan mao ang pagsalig sa user sa sayop nga app..

Ang risgo dili eksklusibo sa usa ka nasud. Sa mga merkado sama sa Mexico ug sa ubang bahin sa rehiyon, diin ang paggamit sa mga pagbayad sa duol nagkadako ug daghang mga tiggamit ang nag-install sa mga app gikan sa mga kadudahang link, ang yuta tabunok. Bisan kung gipalig-on sa mga bangko ang ilang mga kontrol, Ang mga malisyosong aktor dali nga nagbalikbalik ug nagpahimulos sa bisan unsang pagkadili-malapason..

Giunsa kini nga mga pagpangilad molihok sa lakang

1. Miabot ang pasidaan sa lit-ag: usa ka mensahe o email nga "nagkinahanglan" kanimo sa pag-update sa app sa bangko pinaagi sa usa ka link.
2. Nag-instalar ka og cloned app: Kini tan-awon tinuod, apan kini makadaot ug nangayo og NFC permiso.
3. Kini naghangyo kanimo sa pagduol sa kard: o i-activate ang NFC atol sa operasyon, ug kuhaa ang datos didto.
4. Gisundog sa tig-atake ang imong kard: ug naghimo sa mga pagbayad o pag-withdraw, nga imong madiskobrehan sa ulahi.

Dugang pa, lain nga twist ang mitumaw sa katapusan sa 2024: mga malimbungon nga apps nga naghangyo sa mga tiggamit nga huptan ang ilang kard duol sa ilang telepono ug isulod ang ilang PIN "aron mapamatud-an kini." Gipadala dayon sa app ang kasayuran sa kriminal, nga nagpamalit o nag-withdraw sa mga NFC ATM. Kung nakit-an sa mga bangko ang mga anomaliya sa geolocation, usa ka bag-ong variant ang nagpakita kaniadtong 2025: Ilang gikumbinser ang biktima nga i-deposito ang ilang kuwarta ngadto sa giingong secure account. Gikan sa ATM, samtang ang tig-atake, pinaagi sa relay, nagpakita sa ilang kaugalingong kard; ang deposito matapos sa mga kamot sa mangingilad ug ang anti-fraud system nakakita niini nga usa ka lehitimong transaksyon.

Gidugang nga mga risgo: mga terminal sa pagbayad sa card, mga camera, ug pagpangawat sa pagkatawo

Ang mga tampered nga mga terminal dili lamang makakuha sa ilang gikinahanglan pinaagi sa NFC, apan mahimo usab nila nga tipigan ang mga log sa transaksyon ug dugangan kini sa mga hulagway gikan sa mga tinago nga mga kamera. Kung makuha nila ang serial number ug expiration date, ang pipila ka walay prinsipyo nga online retailer mahimong modawat sa mga gipamalit nga walay ikaduhang verification factor. Ang kalig-on sa bangko ug sa negosyo naghimo sa tanan nga kalainan.

Sa parehas nga paagi, gihulagway ang mga senaryo kung diin adunay usa ka tawo nga hilom nga nagkuha sa usa ka kard o nagrekord niini gamit ang ilang mobile phone samtang imong gikuha kini sa imong pitaka. Bisan kung kini ingon sukaranan, kini nga mga pagtan-aw sa pagtan-aw, inubanan sa ubang mga datos, mahimong mosangput sa pagpangilad sa pagkatawo, dili awtorisado nga pag-sign-up sa serbisyo, o pagpalit. Ang social engineering nagkompleto sa teknikal nga trabaho.

Giunsa pagpanalipod ang imong kaugalingon: praktikal nga mga lakang nga aktuwal nga molihok

• Itakda ang mga limitasyon sa pagbayad nga walay kontak: Gipaubos niini ang labing taas nga kantidad aron, kung adunay sayup nga paggamit, gamay ra ang epekto.
• I-aktibo ang biometrics o PIN sa imong mobile phone o relo: Niining paagiha, walay makabayad gikan sa imong device nga wala ang imong pagtugot.
• Gamita ang tokenized nga mga pitaka: Gipulihan nila ang aktuwal nga numero sa usa ka token, paglikay nga ibutyag ang imong kard sa negosyante.
• I-deactivate ang walay kontak nga pagbayad kon dili nimo kini gamiton: Daghang mga entidad ang nagtugot kanimo sa temporaryo nga pag-disable sa kana nga function sa kard.
• I-off ang NFC sa imong telepono kung dili nimo kinahanglan: Gipamenos niini ang nawong sa pag-atake batok sa mga malisyosong apps o dili gusto nga mga pagbasa.
• Panalipdi ang imong device: I-lock kini gamit ang lig-on nga password, luwas nga pattern, o biometrics, ug ayaw kini ibilin nga naka-lock sa bisan unsang counter.
• Ipadayon ang tanan nga labing bag-o: sistema, apps ug firmware; daghang mga update ang nag-ayo sa mga bug nga nagpahimulos niini nga mga pag-atake.
• I-aktibo ang mga alerto sa transaksyon: Pagduso ug SMS aron mahibal-an ang mga paglihok sa tinuud nga oras ug molihok dayon.
• Susiha kanunay ang imong mga pahayag: paggahin og usa ka sinemana nga gutlo sa pagsusi sa mga singil ug pagpangita sa kadudahang gagmay nga kantidad.
• Kanunay pamatud-i ang kantidad sa POS terminal: Tan-awa ang screen sa dili pa ipaduol ang kard ug tipigi ang resibo.
• Ipasabut ang labing kadaghan nga kantidad nga wala’y PIN: Gipugos niini ang dugang nga panghimatuud sa mga pagpalit sa usa ka piho nga kantidad.
• Gamita ang RFID/NFC blocking sleeves o card: Dili sila dili masayop, apan kini nagdugang sa paningkamot sa tig-atake.
• Mas gusto ang mga virtual nga kard para sa online nga pagpalit: I-top up ang imong balanse sa dili pa mobayad ug i-disable ang mga bayad sa offline kung gitanyag kini sa imong bangko.
• I-renew kanunay ang imong virtual card: Ang pagbag-o niini labing menos kausa sa usa ka tuig makapamenos sa pagkaladlad kung kini motulo.
• I-link ang laing card sa imong pitaka kay sa imong gigamit online: nagbulag sa mga risgo tali sa pisikal ug online nga pagbayad.
• Likayi ang paggamit sa NFC-enabled nga mga telepono sa mga ATM: Para sa mga withdrawal o deposito, palihog gamita ang physical card.
• Pag-instalar og usa ka inila nga security suite: Pangitaa ang proteksyon sa pagbayad ug mga bahin sa pag-block sa phishing sa mobile ug PC.
• Pag-download lamang sa mga app gikan sa opisyal nga mga tindahan: ug kumpirmahi ang developer; pagbantay sa mga link pinaagi sa SMS o pagmemensahe.
• Sa mga lugar nga daghang tawo: Ibutang ang imong mga kard sa sulod nga bulsa o pitaka nga adunay proteksyon ug likayi nga ibutyag kini.
• Alang sa mga negosyo: Gihangyo sa IT ang IT nga repasohon ang mga mobile nga kompanya, i-apply ang pagdumala sa aparato, ug i-block ang wala mailhi nga mga instalasyon.

Mga rekomendasyon gikan sa mga organisasyon ug labing maayong gawi

• Susiha ang kantidad sa dili pa mobayad: Ayaw dad-a ang kard hangtod nga imong mapamatud-an ang kantidad sa terminal.
• Itago ang mga resibo: Gitabangan ka nila nga itandi ang mga sumbong ug pag-file sa mga pag-angkon nga adunay ebidensya kung adunay mga kalainan.
• I-aktibo ang mga pahibalo gikan sa banking app: Sila ang imong una nga pasidaan nga timaan sa usa ka wala mailhi nga bayad.
• Susiha kanunay ang imong mga pahayag: Ang sayo nga pag-ila makapamenos sa kadaot ug makapadali sa tubag sa bangko.

Kung nagduda ka nga ang imong kard na-clone o ang imong account na-link

Ang una nga butang mao ang pag-block sa gi-clone nga credit card Gikan sa app o pinaagi sa pagtawag sa bangko, paghangyo og bag-ong numero. Hangyoa ang nag-isyu sa pag-unlink sa bisan unsang kalambigit nga mga mobile wallet nga wala nimo mailhi ug aron ma-aktibo ang gipauswag nga pag-monitor. dugang sa pagbag-o sa mga password ug pagsusi sa imong mga aparato.

Sa imong mobile device, i-uninstall ang mga app nga wala nimo mahinumduman nga gi-install, pagdagan ug scan gamit ang imong solusyon sa seguridad, ug kung magpadayon ang mga timailhan sa impeksyon, ibalik sa mga setting sa pabrika pagkahuman sa paghimo og backup. Likayi ang pag-instalar gikan sa dili opisyal nga mga tinubdan.

Pag-file og report kung gikinahanglan ug pagtigom og ebidensya (mensahe, screenshot, resibo). Sa dali nimo nga i-report kini, labi ka dali nga mahimo sa imong bangko ang pag-refund ug pag-block sa mga pagbayad. Ang katulin mao ang yawi sa pagpahunong sa epekto sa domino.

Ang downside sa contactless kasayon ​​mao nga ang mga tig-atake naglihok usab sa duol. Ang pagsabot kon giunsa nila pagtrabaho—gikan sa crowd skimming ngadto sa pag-link sa mga card ngadto sa mga mobile wallet, Ghost Tap relaying, o malware nga nag-intercept sa NFC—nagtugot alang sa maalamong mga desisyon: pagpahugot sa mga pagdili, nagkinahanglan og lig-on nga pag-authenticate, paggamit sa tokenization, pagpalong sa mga feature kon dili gamiton, pag-monitor sa mga lihok, ug pagpalambo sa digital hygiene. Uban sa pipila ka lig-on nga mga babag sa lugar, Hingpit nga posible nga matagamtam ang mga bayad nga wala’y kontak samtang gipamubu ang peligro.