NFC a chlonio cardiau: risgiau go iawn a sut i rwystro taliadau digyswllt

Mae technolegau agosrwydd wedi gwneud ein bywydau'n fwy cyfleus, ond maent hefyd wedi agor drysau newydd i sgamwyr; dyna pam ei bod hi'n bwysig deall eu cyfyngiadau a Rhoi mesurau diogelwch ar waith cyn i'r difrod ddigwydd mewn gwirionedd.

Yn yr erthygl hon fe welwch, heb guro o gwmpas y llwyn, sut mae NFC/RFID yn gweithio, pa driciau y mae troseddwyr yn eu defnyddio mewn digwyddiadau ac mewn mannau gorlawn, pa fygythiadau sydd wedi dod i'r amlwg mewn ffonau symudol a therfynellau talu, ac yn anad dim, Sut i rwystro neu liniaru taliadau digyswllt pan fydd yn gyfleus i chiGadewch i ni ddechrau gyda chanllaw cyflawn ar: NFC a chlonio cardiau: risgiau go iawn a sut i rwystro taliadau digyswllt.

Beth yw RFID a beth mae NFC yn ei ychwanegu?

I roi pethau mewn persbectif: RFID yw sylfaen y cyfan. Mae'n system sy'n defnyddio amledd radio i adnabod tagiau neu gardiau ar bellteroedd byr, a gall weithio mewn dwy ffordd. Yn ei amrywiad goddefol, nid oes gan y tag fatri a Mae'n cael ei actifadu gan egni'r darllenydd.Mae'n nodweddiadol ar gyfer pasiau cludo, adnabod, neu labelu cynnyrch. Yn ei fersiwn weithredol, mae'r tag yn ymgorffori batri ac yn cyrraedd pellteroedd mwy, sy'n gyffredin mewn logisteg, diogelwch, a modurol.

I'w roi'n syml, mae NFC yn esblygiad a gynlluniwyd ar gyfer defnydd bob dydd gyda ffonau symudol a chardiau: mae'n caniatáu cyfathrebu deuffordd, wedi'i optimeiddio ar gyfer pellteroedd byr iawn, ac mae wedi dod yn safon ar gyfer taliadau cyflym, mynediad a chyfnewid data. Ei gryfder mwyaf yw uniongyrchedd.: rydych chi'n ei ddod yn agos a dyna ni, heb fewnosod y cerdyn yn y slot.

Pan fyddwch chi'n talu gyda cherdyn di-gyswllt, mae'r sglodion NFC/RFID yn trosglwyddo'r wybodaeth angenrheidiol i derfynell dalu'r masnachwr. Fodd bynnag, os ydych chi'n talu gyda'ch ffôn symudol neu oriawr, rydych chi mewn cynghrair wahanol: mae'r ddyfais yn gweithredu fel cyfryngwr ac yn ychwanegu haenau o ddiogelwch (biometreg, PIN, tocynnu), sydd... Mae'n lleihau amlygiad data gwirioneddol y cerdyn..

Cardiau digyswllt yn erbyn taliadau gyda dyfeisiau

• Cardiau corfforol digyswllt: Dewch â nhw’n agos at y derfynfa; ar gyfer symiau bach, efallai na fydd angen PIN, yn dibynnu ar y terfynau a osodwyd gan y banc neu’r wlad.
• Taliadau gyda ffôn symudol neu oriawr: Maen nhw'n defnyddio waledi digidol (Apple Pay, Google Wallet, Samsung Pay) sydd fel arfer yn gofyn am olion bysedd, wyneb neu PIN, ac yn disodli'r rhif go iawn gyda thocyn untro. sy'n atal y masnachwr rhag gweld eich cerdyn dilys.

Nid yw'r ffaith bod y ddau ddull yn rhannu'r un sylfaen NFC yn golygu eu bod yn peri'r un risgiau. Mae'r gwahaniaeth yn gorwedd yn y cyfrwng (plastig yn erbyn dyfais) ac yn y rhwystrau ychwanegol a ychwanegir gan y ffôn clyfar. yn enwedig dilysu a thocynnu.

Ble a sut mae twyll digyswllt yn digwydd?

Mae troseddwyr yn manteisio ar y ffaith bod darllen NFC yn digwydd o bellter byr iawn. Mewn mannau prysur—trafnidiaeth gyhoeddus, cyngherddau, digwyddiadau chwaraeon, ffeiriau—gall darllenydd cludadwy fynd at bocedi neu fagiau heb godi amheuaeth a chasglu gwybodaeth. Mae'r dull hwn, a elwir yn sgimio, yn caniatáu dyblygu data, a ddefnyddir wedyn ar gyfer pryniannau neu glonio. er bod angen camau ychwanegol arnynt yn aml i wneud y twyll yn effeithiol.

Fector arall yw trin terfynellau. Gall terfynell dalu wedi'i haddasu gyda darllenydd NFC maleisus storio data heb i chi sylwi, ac os caiff ei gyfuno â chamerâu cudd neu arsylwi gweledol syml, gall ymosodwyr gael gwybodaeth allweddol fel digidau a dyddiadau dod i ben. Mae'n brin mewn siopau ag enw da, ond mae'r risg yn cynyddu mewn stondinau dros dro..

Ni ddylem anghofio dwyn hunaniaeth chwaith: gyda digon o ddata, gall troseddwyr ei ddefnyddio ar gyfer pryniannau neu drafodion ar-lein nad oes angen ail ffactor arnynt. Mae rhai endidau'n darparu gwell amddiffyniad nag eraill—gan ddefnyddio amgryptio cryf a thocynnu—ond, fel y mae arbenigwyr yn rhybuddio, Pan fydd y sglodion yn trosglwyddo, mae'r data sy'n angenrheidiol ar gyfer y trafodiad yn bresennol..

Ochr yn ochr â hyn, mae ymosodiadau wedi dod i'r amlwg nad ydyn nhw'n ceisio darllen eich cerdyn ar y stryd, ond yn hytrach i'w gysylltu o bell â waled symudol y troseddwr ei hun. Dyma lle mae gwe-rwydo ar raddfa fawr, gwefannau ffug, a'r obsesiwn â chael cyfrineiriau untro (OTPs) yn dod i rym. sy'n allweddol i awdurdodi gweithrediadau.

Clonio, siopa ar-lein, a pham mae'n gweithio weithiau

Weithiau, mae'r data a gipiwyd yn cynnwys y rhif cyfresol llawn a'r dyddiad dod i ben. Gall hynny fod yn ddigon ar gyfer pryniannau ar-lein os nad oes angen gwirio pellach ar y masnachwr neu'r banc. Yn y byd ffisegol, mae pethau'n fwy cymhleth oherwydd sglodion EMV a rheolaethau gwrth-dwyll, ond mae rhai ymosodwyr Maen nhw'n rhoi cynnig ar eu lwc gyda thrafodion mewn terfynellau caniataol neu gyda symiau bach.

O abwyd i daliad: cysylltu cardiau wedi'u dwyn â waledi symudol

Mae tacteg gynyddol yn cynnwys sefydlu rhwydweithiau o wefannau twyllodrus (dirwyon, cludo, anfonebau, siopau ffug) sy'n gofyn am "ddilysu" neu daliad tocyn. Mae'r dioddefwr yn nodi manylion eu cerdyn ac, weithiau, OTP (Taliad Untro). Mewn gwirionedd, ni chodir dim ar y foment honno: anfonir y data at yr ymosodwr, sydd wedyn yn ceisio... cysylltwch y cerdyn hwnnw â'ch Apple Pay neu Google Wallet cyn gynted â phosibl

I gyflymu pethau, mae rhai grwpiau'n cynhyrchu delwedd ddigidol sy'n atgynhyrchu'r cerdyn gyda data'r dioddefwr, yn ei "ffotograffu" o'r waled, ac yn cwblhau'r cysylltu os mai dim ond y rhif, y dyddiad dod i ben, y deiliad, y CVV, a'r OTP sydd eu hangen ar y banc. Gall popeth ddigwydd mewn un sesiwn..

Yn ddiddorol, nid ydyn nhw bob amser yn gwario ar unwaith. Maen nhw'n cronni dwsinau o gardiau cysylltiedig ar ffôn ac yn ei ailwerthu ar y we dywyll. Wythnosau'n ddiweddarach, bydd prynwr yn defnyddio'r ddyfais honno i dalu mewn siopau ffisegol trwy ddolen ddi-gyswllt neu i gasglu taliad am gynhyrchion nad ydynt yn bodoli yn eu siop eu hunain o fewn platfform cyfreithlon. Mewn llawer o achosion, ni ofynnir am PIN nac OTP wrth y derfynfa POS..

Mae gwledydd lle gallwch chi hyd yn oed dynnu arian parod o beiriannau ATM sy'n galluogi NFC gan ddefnyddio'ch ffôn symudol, gan ychwanegu dull monetization arall. Yn y cyfamser, efallai na fydd y dioddefwr hyd yn oed yn cofio'r ymgais talu aflwyddiannus ar y wefan honno ac ni fydd yn sylwi ar unrhyw daliadau "rhyfedd" nes ei bod hi'n rhy hwyr. oherwydd bod y defnydd twyllodrus cyntaf yn digwydd llawer yn ddiweddarach.

Ghost Tap: y trosglwyddiad sy'n twyllo'r darllenydd cardiau

Techneg arall a drafodir mewn fforymau diogelwch yw trosglwyddiad NFC, a elwir yn Ghost Tap. Mae'n dibynnu ar ddau ffôn symudol a chymwysiadau prawf cyfreithlon fel NFCGate: mae un yn dal y waled gyda'r cardiau wedi'u dwyn; mae'r llall, wedi'i gysylltu â'r rhyngrwyd, yn gweithredu fel y "llaw" yn y siop. Caiff y signal o'r ffôn cyntaf ei drosglwyddo mewn amser real, ac mae'r mul yn dod â'r ail ffôn yn agos at y darllenydd cardiau. nad yw'n gwahaniaethu'n hawdd rhwng signal gwreiddiol a signal a ail-drosglwyddwyd.

Mae'r tric yn caniatáu i sawl mul dalu bron ar yr un pryd gyda'r un cerdyn, ac os yw'r heddlu'n gwirio ffôn y mul, dim ond ap cyfreithlon heb unrhyw rifau cerdyn y maen nhw'n ei weld. Mae'r data sensitif ar y ddyfais arall, efallai mewn gwlad arall. Mae'r cynllun hwn yn cymhlethu priodoli ac yn cyflymu gwyngalchu arian..

Meddalwedd symudol ac achos NGate: pan fydd eich ffôn yn dwyn i chi

Mae ymchwilwyr diogelwch wedi dogfennu ymgyrchoedd yn America Ladin—fel sgam NGate ym Mrasil—lle mae ap bancio Android ffug yn annog defnyddwyr i actifadu NFC a "dod â'u cerdyn yn agos" at y ffôn. Mae'r meddalwedd faleisus yn rhyng-gipio'r cyfathrebu ac yn anfon y data at yr ymosodwr, sydd wedyn yn efelychu'r cerdyn i wneud taliadau neu dynnu arian yn ôl. Y cyfan sydd ei angen yw i'r defnyddiwr ymddiried yn yr ap anghywir..

Nid yw'r risg yn gyfyngedig i un wlad. Mewn marchnadoedd fel Mecsico a gweddill y rhanbarth, lle mae'r defnydd o daliadau agosrwydd yn tyfu a llawer o ddefnyddwyr yn gosod apiau o ddolenni amheus, mae'r tir yn ffrwythlon. Er bod banciau'n cryfhau eu rheolaethau, Mae actorion maleisus yn ailadrodd yn gyflym ac yn manteisio ar unrhyw esgeulustod..

Sut mae'r sgamiau hyn yn gweithredu gam wrth gam

1. Mae rhybudd trap yn cyrraedd: neges neu e-bost sy'n "gofyn" i chi ddiweddaru ap y banc drwy ddolen.
2. Rydych chi'n gosod ap wedi'i glonio: Mae'n edrych yn real, ond mae'n faleisus ac yn gofyn am ganiatâd NFC.
3. Mae'n gofyn i chi ddod â'r cerdyn yn agos: neu actifadu NFC yn ystod llawdriniaeth, a chipio'r data yno.
4. Mae'r ymosodwr yn efelychu eich cerdyn: ac yn gwneud taliadau neu'n tynnu arian yn ôl, a fyddwch chi'n darganfod hynny yn ddiweddarach.

Ar ben hynny, daeth tro arall i'r amlwg ddiwedd 2024: apiau twyllodrus sy'n gofyn i ddefnyddwyr ddal eu cerdyn yn agos at eu ffôn a nodi eu PIN "i'w wirio." Yna mae'r ap yn trosglwyddo'r wybodaeth i'r troseddwr, sy'n gwneud pryniannau neu'n tynnu arian allan mewn peiriannau ATM NFC. Pan ganfu banciau anomaleddau geoleoliad, ymddangosodd amrywiad newydd yn 2025: Maen nhw'n perswadio'r dioddefwr i adneuo eu harian i gyfrif sydd i fod yn ddiogel. O beiriant ATM, tra bod yr ymosodwr, trwy gyfnewidydd, yn cyflwyno ei gerdyn ei hun; mae'r blaendal yn mynd i ddwylo'r twyllwr ac mae'r system gwrth-dwyll yn ei weld fel trafodiad cyfreithlon.

Risgiau ychwanegol: terfynellau talu cardiau, camerâu, a lladrad hunaniaeth

Nid yn unig y mae'r terfynellau sydd wedi'u tamperi yn dal yr hyn sydd ei angen arnynt trwy NFC, ond gallant hefyd storio logiau trafodion a'u hategu â delweddau o gamerâu cudd. Os ydynt yn cael y rhif cyfresol a'r dyddiad dod i ben, gallai rhai manwerthwyr ar-lein diegwyddor dderbyn pryniannau heb ail ffactor dilysu. Cryfder y banc a'r busnes sy'n gwneud yr holl wahaniaeth.

Ochr yn ochr â hyn, disgrifiwyd senarios lle mae rhywun yn tynnu llun o gerdyn yn ddisylw neu'n ei recordio gyda'u ffôn symudol wrth i chi ei dynnu allan o'ch waled. Er y gall swnio'n sylfaenol, gall y gollyngiadau gweledol hyn, ynghyd â data arall, arwain at dwyll hunaniaeth, cofrestru ar gyfer gwasanaethau heb awdurdod, neu bryniannau. Mae peirianneg gymdeithasol yn cwblhau'r gwaith technegol.

Sut i amddiffyn eich hun: mesurau ymarferol sy'n gweithio mewn gwirionedd

• Gosod terfynau talu digyswllt: Mae'n gostwng y symiau uchaf fel, os bydd camddefnydd, bod yr effaith yn llai.
• Galluogi biometreg neu PIN ar eich ffôn symudol neu oriawr: Fel hyn, ni all neb dalu o'ch dyfais heb eich awdurdodiad.
• Defnyddiwch waledi tocedig: Maen nhw'n disodli'r rhif gwirioneddol gyda thocyn, gan osgoi datgelu eich cerdyn i'r masnachwr.
• Dadactifadu taliad digyswllt os nad ydych chi'n ei ddefnyddio: Mae llawer o endidau yn caniatáu ichi analluogi'r swyddogaeth honno dros dro ar y cerdyn.
• Diffoddwch NFC eich ffôn pan nad oes ei angen arnoch: Mae'n lleihau'r arwyneb ymosod yn erbyn apiau maleisus neu ddarlleniadau diangen.
• Amddiffyn eich dyfais: Clowch ef gyda chyfrinair cryf, patrwm diogel, neu fiometreg, a pheidiwch â'i adael heb ei gloi ar unrhyw gownter.
• Cadwch bopeth yn gyfredol: system, apiau a firmware; mae llawer o ddiweddariadau'n trwsio bygiau sy'n manteisio ar yr ymosodiadau hyn.
• Galluogi rhybuddion trafodion: Gwthio ac anfon neges destun i ganfod symudiadau mewn amser real ac ymateb ar unwaith.
• Gwiriwch eich datganiadau’n rheolaidd: neilltuo eiliad wythnosol i wirio taliadau a lleoli symiau bach amheus.
• Gwiriwch y swm ar y derfynell POS bob amser: Edrychwch ar y sgrin cyn dod â'r cerdyn yn agos a chadwch y dderbynneb.
• Diffinio symiau uchaf heb PIN: Mae hyn yn gorfodi dilysu ychwanegol ar bryniannau o swm penodol.
• Defnyddiwch lewys neu gardiau sy'n blocio RFID/NFC: Nid ydynt yn anffaeledig, ond maent yn cynyddu ymdrech yr ymosodwr.
• Yn well ganddoch chi gardiau rhithwir ar gyfer pryniannau ar-lein: Ychwanegwch at eich balans ychydig cyn talu ac analluogwch daliadau all-lein os yw'ch banc yn ei gynnig.
• Adnewyddwch eich cerdyn rhithwir yn aml: Mae ei newid o leiaf unwaith y flwyddyn yn lleihau amlygiad os yw'n gollwng.
• Cysylltwch gerdyn gwahanol i'ch waled i'r un rydych chi'n ei ddefnyddio ar-lein: yn gwahanu risgiau rhwng taliadau corfforol ac ar-lein.
• Osgowch ddefnyddio ffonau sy'n galluogi NFC mewn peiriannau ATM: Ar gyfer tynnu arian yn ôl neu adneuo, defnyddiwch y cerdyn corfforol.
• Gosodwch gyfres ddiogelwch ag enw da: Chwiliwch am nodweddion amddiffyn rhag taliadau a rhwystro gwe-rwydo ar ffôn symudol a chyfrifiadur personol.
• Lawrlwythwch apiau o siopau swyddogol yn unig: a chadarnhau'r datblygwr; byddwch yn ofalus o ddolenni trwy SMS neu negeseuon.
• Mewn mannau gorlawn: Cadwch eich cardiau mewn poced fewnol neu waled gyda diogelwch ac osgoi eu datgelu.
• Ar gyfer busnesau: Mae TG yn gofyn i TG adolygu ffonau symudol corfforaethol, rhoi rheolaeth dyfeisiau ar waith, a rhwystro gosodiadau anhysbys.

Argymhellion gan sefydliadau ac arferion gorau

• Gwiriwch y swm cyn talu: Peidiwch â dod â'r cerdyn yn agos nes i chi wirio'r swm ar y derfynell.
• Cadwch dderbynebau: Maen nhw'n eich helpu i gymharu cyhuddiadau a chyflwyno hawliadau gyda thystiolaeth os oes anghysondebau.
• Galluogi hysbysiadau o'r ap bancio: Nhw yw eich arwydd rhybuddio cyntaf o dâl anhysbys.
• Gwiriwch eich datganiadau’n rheolaidd: Mae canfod cynnar yn lleihau difrod ac yn cyflymu ymateb y banc.

Os ydych chi'n amau ​​bod eich cerdyn wedi'i glonio neu fod eich cyfrif wedi'i gysylltu

Y peth cyntaf yw rhwystro'r cerdyn credyd wedi'i glonio O'r ap neu drwy ffonio'r banc, gofynnwch am rif newydd. Gofynnwch i'r cyhoeddwr ddatgysylltu unrhyw waledi symudol cysylltiedig nad ydych chi'n eu hadnabod ac i actifadu monitro gwell. yn ogystal â newid cyfrineiriau a gwirio eich dyfeisiau.

Ar eich dyfais symudol, dadosodwch apiau nad ydych chi'n cofio eu gosod, rhedeg sgan gyda'ch datrysiad diogelwch, ac os yw arwyddion o haint yn parhau, adferwch i osodiadau ffatri ar ôl gwneud copi wrth gefn. Osgowch ailosod o ffynonellau answyddogol.

Cyflwynwch adroddiad os oes angen a chasglwch dystiolaeth (negeseuon, sgrinluniau, derbynebau). Gorau po gyntaf y byddwch yn ei adrodd, gorau po gyntaf y gall eich banc gychwyn ad-daliadau a rhwystro taliadau. Cyflymder yw'r allwedd i atal yr effaith domino.

Anfantais cyfleustra di-gyswllt yw bod ymosodwyr hefyd yn gweithredu'n agos at ei gilydd. Mae deall sut maen nhw'n gweithio—o sgimio torfeydd i gysylltu cardiau â waledi symudol, trosglwyddo Ghost Tap, neu ddrwgwedd sy'n rhyng-gipio NFC—yn caniatáu penderfyniadau gwybodus: tynhau cyfyngiadau, mynnu dilysiad cryf, defnyddio tocynnau, diffodd nodweddion pan nad ydynt yn cael eu defnyddio, monitro symudiadau, a gwella hylendid digidol. Gyda rhai rhwystrau cadarn ar waith, Mae'n berffaith bosibl mwynhau taliadau digyswllt wrth leihau'r risg.