NFC og kortkloning: reelle risici og hvordan man blokerer kontaktløse betalinger

Nærhedsteknologier har gjort vores liv mere bekvemt, men de har også åbnet nye døre for svindlere; derfor er det vigtigt at forstå deres begrænsninger og Implementer sikkerhedsforanstaltninger, før skaden rent faktisk opstår.

I denne artikel finder du, uden at vrøvle om busken, hvordan NFC/RFID fungerer, hvilke tricks kriminelle bruger ved arrangementer og på steder med mange mennesker, hvilke trusler der er opstået i mobiltelefoner og betalingsterminaler, og frem for alt, Sådan blokerer eller mindsker du kontaktløse betalinger, når det passer digLad os starte med en komplet guide til: NFC og kortkloning: reelle risici og hvordan man blokerer kontaktløse betalinger.

Hvad er RFID, og ​​hvad tilføjer NFC?

For at sætte tingene i perspektiv: RFID er fundamentet for det hele. Det er et system, der bruger radiofrekvens til at identificere tags eller kort på korte afstande, og det kan fungere på to måder. I sin passive variant har taggen intet batteri, og Den aktiveres af læserens energi.Det er typisk til transportkort, identifikation eller produktmærkning. I sin aktive version har taggen et batteri og rækker over større afstande, hvilket er almindeligt inden for logistik, sikkerhed og bilindustrien.

Kort sagt er NFC en evolution designet til daglig brug med mobiltelefoner og kort: det muliggør tovejskommunikation, er optimeret til meget korte afstande og er blevet standarden for hurtige betalinger, adgang og dataudveksling. Dens største styrke er umiddelbarhed.: du bringer den tæt på, og det er det, uden at sætte kortet i kortpladsen.

Når du betaler med et kontaktløst kort, sender NFC/RFID-chippen de nødvendige oplysninger til forhandlerens betalingsterminal. Men hvis du betaler med din mobiltelefon eller dit ur, er du i en anden liga: Enheden fungerer som mellemmand og tilføjer lag af sikkerhed (biometri, pinkode, tokenisering), hvilket... Det reducerer eksponeringen af ​​kortets faktiske data..

Kontaktløse kort versus betalinger med enheder

• Fysiske kontaktløse kort: Du skal blot bringe dem tæt på terminalen; for små beløb er en pinkode muligvis ikke påkrævet, afhængigt af de grænser, der er fastsat af banken eller landet.
• Betalinger med mobiltelefon eller ur: De bruger digitale tegnebøger (Apple Pay, Google Wallet, Samsung Pay), der normalt kræver fingeraftryk, ansigtskode eller pinkode, og erstatter det rigtige nummer med en engangstoken. hvilket forhindrer forhandleren i at se dit ægte kort.

Det faktum, at begge metoder deler det samme NFC-fundament, betyder ikke, at de udgør de samme risici. Forskellen ligger i mediet (plastik versus enhed) og i de yderligere barrierer, som smartphonen tilføjer. især autentificering og tokenisering.

Hvor og hvordan forekommer kontaktløs svindel?

Kriminelle udnytter, at NFC-læsning sker på meget kort afstand. På steder med mange mennesker – offentlig transport, koncerter, sportsbegivenheder, markeder – kan en bærbar læser komme ind i lommer eller tasker uden at vække mistanke og indsamle oplysninger. Denne metode, kendt som skimming, muliggør duplikering af data, som derefter bruges til køb eller kloning. selvom de ofte har brug for yderligere skridt for at gøre bedrageriet effektivt.

En anden vektor er manipulation af terminaler. En modificeret betalingsterminal med en ondsindet NFC-læser kan gemme data uden at du bemærker det, og hvis den kombineres med skjulte kameraer eller simpel visuel observation, kan angribere få adgang til vigtige oplysninger såsom cifre og udløbsdatoer. Det er sjældent i velrenommerede butikker, men risikoen øges ved improviserede boder..

Vi bør heller ikke glemme identitetstyveri: Med tilstrækkelige data kan kriminelle bruge dem til onlinekøb eller transaktioner, der ikke kræver en ekstra faktor. Nogle enheder yder bedre beskyttelse end andre – ved hjælp af stærk kryptering og tokenisering – men som eksperter advarer, Når chippen sender, er de data, der er nødvendige for transaktionen, til stede..

Parallelt hermed er der opstået angreb, der ikke har til formål at aflæse dit kort på gaden, men snarere at forbinde det via fjernadgang til kriminelles egen mobile pung. Det er her, storstilet phishing, falske hjemmesider og besættelsen af ​​at få fat i engangsadgangskoder (OTP'er) kommer i spil. som er nøglen til at godkende operationer.

Kloning, online shopping og hvorfor det nogle gange virker

Nogle gange inkluderer de indsamlede data det fulde serienummer og udløbsdatoen. Det kan være nok til onlinekøb, hvis forhandleren eller banken ikke kræver yderligere verifikation. I den fysiske verden er tingene mere komplicerede på grund af EMV-chips og anti-svindelkontroller, men nogle angribere De prøver lykken med transaktioner på tilladte terminaler eller med små beløb.

Fra lokkemad til betaling: Forbindelse af stjålne kort med mobile tegnebøger

En voksende taktik involverer oprettelse af netværk af svindelwebsteder (bøder, forsendelse, fakturaer, falske butikker), der anmoder om "verifikation" eller en symbolsk betaling. Offeret indtaster sine kortoplysninger og nogle gange en OTP (engangsbetaling). I virkeligheden opkræves der ikke noget i det øjeblik: dataene sendes til angriberen, som derefter forsøger at... knyt kortet til din Apple Pay eller Google Wallet så hurtigt som muligt.

For at fremskynde processen genererer nogle grupper et digitalt billede, der replikerer kortet med offerets data, "fotograferer" det fra tegnebogen og fuldfører tilknytningen, hvis banken kun kræver nummeret, udløbsdatoen, indehaveren, CVV og OTP. Alt kan ske i en enkelt session..

Interessant nok bruger de ikke altid pengene med det samme. De samler snesevis af tilknyttede kort på en telefon og videresælger den på det mørke web. Uger senere bruger en køber enheden til at betale i fysiske butikker via kontaktløs betaling eller til at opkræve betaling for ikke-eksisterende produkter i deres egen butik på en legitim platform. I mange tilfælde bliver der ikke anmodet om en PIN-kode eller engangskode ved POS-terminalen..

Der er lande, hvor du endda kan hæve kontanter fra NFC-aktiverede hæveautomater ved hjælp af din mobiltelefon, og tilføje endnu en indtægtsgenereringsmetode. I mellemtiden kan offeret muligvis ikke engang huske det mislykkede betalingsforsøg på den pågældende hjemmeside og vil ikke bemærke nogen "mærkelige" gebyrer, før det er for sent. fordi den første svigagtige brug sker meget senere.

Ghost Tap: Transmissionen der narrer kortlæseren

En anden teknik, der diskuteres i sikkerhedsfora, er NFC-relæ, med øgenavnet Ghost Tap. Den er afhængig af to mobiltelefoner og legitime testapplikationer som NFCGate: den ene holder pungen med stjålne kort; den anden, der er forbundet til internettet, fungerer som "hånden" i butikken. Signalet fra den første telefon videresendes i realtid, og muldyret bringer den anden telefon tæt på kortlæseren. der ikke let kan skelne mellem et originalt og et retransmitteret signal.

Tricket gør det muligt for flere muldyr at betale næsten samtidigt med det samme kort, og hvis politiet tjekker muldyrets telefon, ser de kun en legitim app uden kortnumre. De følsomme data er på den anden enhed, måske i et andet land. Denne ordning komplicerer tilskrivning og fremskynder hvidvaskning af penge..

Mobil malware og NGate-sagen: Når din telefon stjæler for dig

Sikkerhedsforskere har dokumenteret kampagner i Latinamerika – såsom NGate-svindelnumret i Brasilien – hvor en falsk Android-bankapp beder brugerne om at aktivere NFC og "bringe deres kort tæt på" telefonen. Malwaren opfanger kommunikationen og sender dataene til angriberen, som derefter emulerer kortet for at foretage betalinger eller hævninger. Alt det kræver er, at brugeren stoler på den forkerte app..

Risikoen er ikke eksklusiv for ét land. På markeder som Mexico og resten af ​​regionen, hvor brugen af ​​nærhedsbetalinger er voksende, og mange brugere installerer apps fra tvivlsomme links, er jorden frugtbar. Selvom bankerne styrker deres kontrol, Ondsindede aktører itererer hurtigt og udnytter enhver forsømmelse..

Sådan fungerer disse svindelnumre trin for trin

1. En fældeadvarsel ankommer: en besked eller e-mail, der "kræver", at du opdaterer bankens app via et link.
2. Du installerer en klonet app: Det ser ægte ud, men det er ondsindet og anmoder om NFC-tilladelser.
3. Den beder dig om at bringe kortet tæt på: eller aktiver NFC under en operation og indfang dataene der.
4. Angriberen efterligner dit kort: og foretager betalinger eller hævninger, hvilket du vil opdage senere.

Derudover opstod der endnu et twist i slutningen af ​​2024: svindelapps, der beder brugerne om at holde deres kort i nærheden af ​​deres telefon og indtaste deres pinkode "for at bekræfte den". Appen sender derefter oplysningerne til den kriminelle, som foretager køb eller hævninger i NFC-hæveautomater. Da banker opdagede geolokationsafvigelser, dukkede en ny variant op i 2025: De overtaler offeret til at indsætte deres penge på en angiveligt sikker konto. Fra en hæveautomat, mens angriberen via relæ fremviser sit eget kort, ender indbetalingen i svindlerens hænder, og anti-svindelsystemet ser det som en legitim transaktion.

Yderligere risici: kortbetalingsterminaler, kameraer og identitetstyveri

De manipulerede terminaler registrerer ikke kun, hvad de har brug for, via NFC, men de kan også gemme transaktionslogge og supplere dem med billeder fra skjulte kameraer. Hvis de får fat i serienummeret og udløbsdatoen, kan visse skruppelløse onlineforhandlere acceptere køb uden en ekstra verifikationsfaktor. Bankens og virksomhedens styrke gør hele forskellen.

Parallelt er der beskrevet scenarier, hvor nogen diskret fotograferer et kort eller optager det med sin mobiltelefon, når man tager det ud af sin pung. Selvom det kan lyde banalt, kan disse visuelle lækager, kombineret med andre data, føre til identitetssvindel, uautoriserede tilmeldinger til tjenester eller køb. Social engineering fuldender det tekniske arbejde.

Sådan beskytter du dig selv: Praktiske foranstaltninger, der rent faktisk virker

• Angiv grænser for kontaktløs betaling: Det sænker de maksimale beløb, så effekten er mindre, hvis der sker misbrug.
• Aktivér biometri eller pinkode på din mobiltelefon eller dit ur: På denne måde kan ingen betale fra din enhed uden din tilladelse.
• Brug tokeniserede tegnebøger: De erstatter det faktiske nummer med en token, hvilket undgår at eksponere dit kort for forhandleren.
• Deaktiver kontaktløs betaling, hvis du ikke bruger det: Mange enheder giver dig mulighed for midlertidigt at deaktivere den funktion på kortet.
• Sluk din telefons NFC, når du ikke har brug for den: Det reducerer angrebsfladen mod ondsindede apps eller uønskede læsninger.
• Beskyt din enhed: Lås den med en stærk adgangskode, et sikkert mønster eller biometri, og lad den ikke stå ulåst på nogen disk.
• Hold alt opdateret: system, apps og firmware; mange opdateringer retter fejl, der udnytter disse angreb.
• Aktivér transaktionsalarmer: Tryk og SMS for at registrere bevægelser i realtid og reagere øjeblikkeligt.
• Tjek dine udtalelser regelmæssigt: Dediker et ugentligt øjeblik til at kontrollere opkrævninger og lokalisere mistænkelige små beløb.
• Bekræft altid beløbet på POS-terminalen: Se på skærmen, før du tager kortet i nærheden, og gem kvitteringen.
• Definer maksimale beløb uden pinkode: Dette kræver yderligere godkendelse ved køb af et vist beløb.
• Brug RFID/NFC-blokerende ærmer eller kort: De er ikke ufejlbarlige, men de øger angriberens indsats.
• Foretræk virtuelle kort til onlinekøb: Fyld din saldo op lige inden du betaler, og deaktiver offlinebetalinger, hvis din bank tilbyder det.
• Forny dit virtuelle kort ofte: Hvis den skiftes mindst én gang om året, reduceres eksponeringen, hvis den lækker.
• Knyt et andet kort til din wallet end det, du bruger online: adskiller risici mellem fysiske og online betalinger.
• Undgå at bruge NFC-aktiverede telefoner i hæveautomater: Brug venligst det fysiske kort til udbetalinger eller indbetalinger.
• Installer en velrenommeret sikkerhedspakke: Kig efter betalingsbeskyttelse og phishing-blokering på mobil og pc.
• Download kun apps fra officielle butikker: og bekræft udvikleren; vær forsigtig med links via SMS eller beskeder.
• I overfyldte rum: Opbevar dine kort i en inderlomme eller pung med beskyttelse, og undgå at blotlægge dem.
• For virksomheder: IT-afdelingen beder IT om at gennemgå virksomhedens mobiltelefoner, anvende enhedsstyring og blokere ukendte installationer.

Anbefalinger fra organisationer og bedste praksis

• Tjek beløbet før betaling: Tag ikke kortet i nærheden, før du har bekræftet beløbet på terminalen.
• Gem kvitteringer: De hjælper dig med at sammenligne anklager og indgive krav med beviser, hvis der er uoverensstemmelser.
• Aktivér notifikationer fra bankappen: De er dit første advarselstegn på en ukendt opkrævning.
• Tjek dine udtalelser regelmæssigt: Tidlig opdagelse reducerer skader og fremskynder bankens reaktion.

Hvis du har mistanke om, at dit kort er blevet klonet, eller at din konto er blevet tilknyttet

Det første er at blokere klonet kreditkort Anmod om et nyt nummer fra appen eller ved at ringe til banken. Bed udstederen om at fjerne tilknytningen til eventuelle tilknyttede mobile tegnebøger, du ikke genkender, og om at aktivere forbedret overvågning. udover at ændre adgangskoder og kontrollere dine enheder.

Afinstaller apps, du ikke kan huske at have installeret, på din mobilenhed, kør en scanning med din sikkerhedsløsning, og hvis tegn på infektion fortsætter, gendan til fabriksindstillingerne efter at have lavet en sikkerhedskopi. Undgå geninstallation fra uofficielle kilder.

Indsend en rapport, hvis det er nødvendigt, og saml beviser (beskeder, skærmbilleder, kvitteringer). Jo før du rapporterer det, jo før kan din bank iværksætte refusioner og blokere betalinger. Hastighed er nøglen til at stoppe dominoeffekten.

Ulempen ved kontaktløs bekvemmelighed er, at angribere også opererer i umiddelbar nærhed. Forståelse af, hvordan de fungerer – fra crowd skimming til at forbinde kort til mobile tegnebøger, Ghost Tap-relaying eller malware, der opfanger NFC – giver mulighed for at træffe informerede beslutninger: stramme restriktioner, kræve stærk autentificering, bruge tokenisering, slukke funktioner, når de ikke er i brug, overvåge bevægelser og forbedre digital hygiejne. Med et par solide barrierer på plads, Det er fuldt ud muligt at benytte sig af kontaktløse betalinger, samtidig med at risikoen minimeres.