NFC ja kaardi kloonimine: tegelikud riskid ja kuidas kontaktivabu makseid blokeerida

Lähedustehnoloogiad on meie elu mugavamaks muutnud, kuid need on avanud ka uusi uksi petturitele; seepärast on oluline mõista nende piiranguid ja Rakendage ohutusmeetmeid enne, kui kahju tegelikult tekib.

Sellest artiklist leiate ilma pikemalt rääkimata, kuidas NFC/RFID töötab, milliseid nippe kurjategijad üritustel ja rahvarohketes kohtades kasutavad, millised ohud on tekkinud mobiiltelefonides ja makseterminalides ning ennekõike... Kuidas blokeerida või leevendada kontaktivabu makseid teile sobival ajalAlustame täieliku juhendiga teemal: NFC ja kaardi kloonimine: tegelikud riskid ja kuidas kontaktivabu makseid blokeerida.

Mis on RFID ja mida NFC annab?

Perspektiivi mõttes: RFID on kõige alus. See on süsteem, mis kasutab raadiosagedust siltide või kaartide tuvastamiseks lühikeste vahemaade tagant ja see saab töötada kahel viisil. Passiivses variandis pole sildil akut ja See aktiveerub lugeja energia abil.See on tüüpiline transpordipasside, identifitseerimise või toodete märgistamise puhul. Aktiivses versioonis sisaldab silt akut ja ulatub suuremate vahemaade taha, mis on tavaline logistikas, turvalisuses ja autotööstuses.

Lihtsamalt öeldes on NFC edasiarendus, mis on loodud igapäevaseks kasutamiseks mobiiltelefonide ja kaartidega: see võimaldab kahesuunalist suhtlust, on optimeeritud väga lühikesteks vahemaadeks ning sellest on saanud kiirete maksete, juurdepääsu ja andmevahetuse standard. Selle suurim tugevus on otsekohesus.: tood selle lähedale ja ongi kõik, ilma kaarti pessa sisestamata.

Kontaktivaba kaardiga makstes edastab NFC/RFID-kiip vajaliku teabe kaupmehe makseterminali. Mobiiltelefoni või kellaga makstes oled aga hoopis teises liigas: seade toimib vahendajana ja lisab turvakihte (biomeetria, PIN-kood, tokeniseerimine), mis... See vähendab kaardi tegelike andmete nähtavust..

Kontaktivabad kaardid versus seadmetega maksmine

• Kontaktivabad füüsilised kaardid: Lihtsalt tooge need terminali lähedale; väikeste summade puhul ei pruugi PIN-koodi vaja minna, olenevalt panga või riigi kehtestatud limiitidest.
• Maksed mobiiltelefoni või kellaga: Nad kasutavad digitaalseid rahakotte (Apple Pay, Google Wallet, Samsung Pay), mis tavaliselt nõuavad sõrmejälge, näotuvastust või PIN-koodi ning asendavad tegeliku numbri ühekordselt kasutatava tokeniga. mis takistab kaupmehel teie autentset kaarti nägemast.

Asjaolu, et mõlemal meetodil on sama NFC-alus, ei tähenda, et need kujutavad endast samu riske. Erinevus seisneb keskkonnas (plastik versus seade) ja nutitelefoni lisatavates takistustes. eriti autentimine ja tokeniseerimine.

Kus ja kuidas kontaktivabad pettused toimuvad?

Kurjategijad kasutavad ära asjaolu, et NFC-lugemine toimub väga lühikese vahemaa tagant. Rahvarohketes kohtades – ühistranspordis, kontsertidel, spordiüritustel, laatadel – saab kaasaskantav lugeja kahtlust tekitamata ligi pääseda taskutele või kottidele ja teavet jäädvustada. See meetod, mida tuntakse kopeerimise nime all, võimaldab andmeid paljundada, mida seejärel kasutatakse ostude sooritamiseks või kloonimiseks. kuigi pettuse tõhusaks muutmiseks on sageli vaja täiendavaid samme.

Teine vektor on terminalide manipuleerimine. Pahatahtliku NFC-lugejaga modifitseeritud makseterminal saab andmeid märkamatult salvestada ning koos peidetud kaamerate või lihtsa visuaalse vaatlusega saavad ründajad hankida olulist teavet, näiteks numbreid ja aegumiskuupäevi. Hea mainega poodides on see haruldane, kuid ajutistes putkades suureneb risk..

Samuti ei tohiks unustada identiteedivargust: piisavate andmete olemasolul saavad kurjategijad neid kasutada veebiostude või tehingute tegemiseks, mis ei vaja teist tegurit. Mõned üksused pakuvad paremat kaitset kui teised – kasutades tugevat krüptimist ja tokeniseerimist –, kuid nagu eksperdid hoiatavad, Kui kiip edastab, on tehinguks vajalikud andmed olemas..

Paralleelselt on tekkinud rünnakud, mille eesmärk ei ole tänaval teie kaardi lugemine, vaid pigem selle eemalt ühendamine kurjategija enda mobiilse rahakotiga. Siin tulevadki mängu ulatuslik andmepüük, võltsveebisaidid ja kinnisidee ühekordsete paroolide (OTP-de) hankimise järele. mis on toimingute autoriseerimise võti.

Kloonimine, veebis ostlemine ja miks see mõnikord toimib

Mõnikord sisaldavad jäädvustatud andmed täielikku seerianumbrit ja aegumiskuupäeva. Sellest võib piisata veebiostude puhul, kui kaupmees või pank ei nõua täiendavat kinnitust. Füüsilises maailmas on asjad EMV-kiipide ja pettusevastaste kontrollide tõttu keerulisemad, kuid mõned ründajad Nad proovivad õnne tehingutega leebemates terminalides või väikeste summadega.

Söödast makseni: varastatud kaartide sidumine mobiilsete rahakottidega

Üha enam kasutatakse taktikana petturlike veebisaitide võrgustike loomist (trahvid, saatmiskulud, arved, võltsitud poed), mis nõuavad "kinnitust" või sümboolset makset. Ohver sisestab oma kaardiandmed ja mõnikord ka ühekordse makse (OTP). Tegelikkuses ei võeta sel hetkel midagi: andmed saadetakse ründajale, kes seejärel üritab... linkige see kaart oma Apple Pay või Google Walletiga võimalikult kiiresti

Asjade kiirendamiseks genereerivad mõned rühmad digitaalse pildi, mis kopeerib kaardi ohvri andmetega, "pildistab" selle rahakotist ja viib linkimise lõpule, kui pank vajab ainult numbrit, aegumiskuupäeva, omanikku, CVV-koodi ja OTP-d. Kõik võib juhtuda ühe seansi jooksul..

Huvitaval kombel ei kuluta nad raha alati kohe. Nad koguvad telefoni kümneid lingitud kaarte ja müüvad need edasi tumeveebis. Nädalaid hiljem kasutab ostja seda seadet füüsilistes poodides kontaktivabalt maksmiseks või olematute toodete eest makse vastuvõtmiseks omaenda poes legaalsel platvormil. Paljudel juhtudel ei küsita müügikoha terminalis PIN-koodi ega ühekordset parooli..

On riike, kus NFC-toega sularahaautomaatidest saab mobiiltelefoniga sularaha välja võtta, mis lisab veel ühe monetiseerimismeetodi. Samal ajal ei pruugi ohver isegi mäletada sellel veebisaidil ebaõnnestunud maksekatset ega märka mingeid "kummalisi" tasusid enne, kui on liiga hilja. sest esimene petturlik kasutamine toimub palju hiljem.

Ghost Tap: edastus, mis petab kaardilugejat

Teine turvafoorumites arutletav tehnika on NFC-edastus, hüüdnimega Ghost Tap. See tugineb kahele mobiiltelefonile ja legitiimsetele testimisrakendustele nagu NFCGate: üks hoiab varastatud kaartidega rahakotti; teine, mis on ühendatud internetiga, toimib poes "käena". Esimese telefoni signaal edastatakse reaalajas ja muul toob teise telefoni kaardilugeja lähedale. mis ei tee originaal- ja korduseksaadetud signaali vahel kerget vahet.

See nipp võimaldab mitmel muulal peaaegu samaaegselt sama kaardiga maksta ning kui politsei muula telefoni kontrollib, näeb nad ainult legitiimset rakendust ilma kaardinumbriteta. Tundlikud andmed asuvad teises seadmes, võib-olla teises riigis. See skeem raskendab omistamist ja kiirendab rahapesu..

Mobiilne pahavara ja NGate'i juhtum: kui teie telefon varastab teie eest

Turvauurijad on dokumenteerinud kampaaniaid Ladina-Ameerikas – näiteks NGate'i pettuse Brasiilias –, kus võltsitud Androidi pangandusrakendus palub kasutajatel NFC-d aktiveerida ja oma kaarti telefoni lähedale tuua. Pahavara pealt kuulab suhtluse ja saadab andmed ründajale, kes seejärel jäljendab kaarti maksete või väljamaksete tegemiseks. Kasutajal on vaja vaid valet rakendust usaldada..

Risk ei ole ainuomane ühele riigile. Sellistel turgudel nagu Mehhiko ja ülejäänud piirkond, kus lähimaksete kasutamine kasvab ja paljud kasutajad installivad rakendusi kahtlaste linkide kaudu, on pinnas viljakas. Kuigi pangad tugevdavad oma kontrolli, Pahatahtlikud tegutsejad tegutsevad kiiresti ja kasutavad ära igasugust möödalaskmist..

Kuidas need pettused samm-sammult toimivad

1. Saabub lõksuhoiatus: sõnum või e-kiri, mis "nõuab" teilt panga rakenduse värskendamist lingi kaudu.
2. Kloonitud rakenduse installimine: See näeb välja ehtne, aga on pahatahtlik ja küsib NFC-lubasid.
3. See palub teil kaardi lähemale tuua: või aktiveerige NFC toimingu ajal ja jäädvustage seal andmed.
4. Ründaja jäljendab teie kaarti: ja teeb makseid või väljamakseid, mille avastate hiljem.

Lisaks ilmnes 2024. aasta lõpus veel üks keerdkäik: petturlikud rakendused, mis paluvad kasutajatel hoida oma kaarti telefoni lähedal ja sisestada PIN-koodi "selle kinnitamiseks". Seejärel edastab rakendus teabe kurjategijale, kes teeb oste või võtab raha välja NFC-sularahaautomaatidest. Kui pangad tuvastasid geograafilise asukoha anomaaliaid, ilmus 2025. aastal uus variant: Nad veenavad ohvrit oma raha väidetavalt turvalisele kontole kandma. Sularahaautomaadist, kui ründaja esitab relee kaudu oma kaardi, satub sissemakse petturi kätte ja pettusevastane süsteem käsitleb seda seadusliku tehinguna.

Lisariskid: kaardimakseterminalid, kaamerad ja identiteedivargus

Võltsitud terminalid mitte ainult ei jäädvusta vajalikku teavet NFC kaudu, vaid saavad salvestada ka tehingulogisid ja täiendada neid peidetud kaamerate piltidega. Kui nad saavad kätte seerianumbri ja aegumiskuupäeva, võivad teatud ebaausad veebimüüjad aktsepteerida oste ilma teise kinnitustegurita. Panga ja ettevõtte tugevus on määrav.

Paralleelselt on kirjeldatud stsenaariume, kus keegi pildistab diskreetselt kaarti või salvestab selle oma mobiiltelefoniga, kui te selle oma rahakotist välja võtate. Kuigi see võib tunduda elementaarne, võivad need visuaalsed lekked koos muude andmetega viia identiteedipettuste, volitamata teenustesse registreerumiste või ostude sooritamiseni. Sotsiaalne inseneritöö viib tehnilise töö lõpule.

Kuidas ennast kaitsta: praktilised meetmed, mis tegelikult toimivad

• Kontaktivabade maksete limiitide määramine: See vähendab maksimaalseid koguseid, nii et väärkasutuse korral on mõju väiksem.
• Aktiveeri biomeetria või PIN-kood oma mobiiltelefonis või kellas: Nii ei saa keegi teie seadmest ilma teie loata maksta.
• Kasutage tokeniseeritud rahakotte: Nad asendavad tegeliku numbri tokeniga, vältides sellega teie kaardi kokkupuudet kaupmehega.
• Deaktiveerige kontaktivaba makse, kui te seda ei kasuta: Paljud üksused lubavad teil selle funktsiooni kaardil ajutiselt keelata.
• Lülitage telefoni NFC välja, kui te seda ei vaja: See vähendab rünnakupinda pahatahtlike rakenduste või soovimatute lugemiste vastu.
• Kaitske oma seadet: Lukusta see tugeva parooli, turvalise mustri või biomeetria abil ja ära jäta seda lukustamata ühelegi letile.
• Hoidke kõik ajakohasena: süsteem, rakendused ja püsivara; paljud värskendused parandavad vigu, mis neid rünnakuid ära kasutavad.
• Aktiveeri tehinguteated: Lükake ja saatke SMS-e, et liikumist reaalajas tuvastada ja koheselt reageerida.
• Kontrollige oma avaldusi regulaarselt: pühendage igal nädalal hetk tasude kontrollimisele ja kahtlaste väikeste summade leidmisele.
• Kontrollige alati summat POS-terminalil: Enne kaardi lähedale toomist vaadake ekraani ja hoidke kviitung alles.
• Määrake PIN-koodita maksimaalsed summad: See sunnib teatud summa ületavate ostude puhul täiendavat autentimist.
• Kasutage RFID/NFC blokeerivaid ümbriseid või kaarte: Need ei ole eksimatud, aga suurendavad ründaja pingutust.
• Eelista veebiostude puhul virtuaalseid kaarte: Laadi kontole vahetult enne maksmist ja keela võrguühenduseta maksed, kui su pank seda pakub.
• Uuenda oma virtuaalkaarti sageli: Selle vahetamine vähemalt kord aastas vähendab lekkeohtu.
• Ühenda oma rahakotiga teine ​​kaart kui see, mida sa internetis kasutad: eristab füüsiliste ja internetimaksete vahelisi riske.
• Vältige NFC-toega telefonide kasutamist sularahaautomaatides: Väljamaksete või sissemaksete puhul palun kasutage füüsilist kaarti.
• Paigaldage usaldusväärne turvapakett: Otsi mobiilis ja arvutis maksete kaitse ja andmepüügi blokeerimise funktsioone.
• Laadige rakendusi alla ainult ametlikest poodidest: ja kinnitage arendaja; olge ettevaatlik SMS-i või sõnumite teel saadetud linkide suhtes.
• Rahvarohketes kohtades: Hoidke oma kaarte kaitstult sisetaskus või rahakotis ja ärge laske neil nähtavale tulla.
• Ettevõtetele: IT-osakond palub IT-l üle vaadata ettevõtte mobiiltelefonid, rakendada seadmehaldust ja blokeerida tundmatud installid.

Organisatsioonide soovitused ja parimad tavad

• Enne maksmist kontrollige summat: Ära too kaarti terminali lähedale enne, kui oled summa terminalis kontrollinud.
• Hoidke kviitungid alles: Nad aitavad teil süüdistusi võrrelda ja esitada tõendeid sisaldavaid nõudeid, kui esineb lahknevusi.
• Pangarakenduse märguannete aktiveerimine: Need on teie esimene hoiatusmärk tundmatu tasu kohta.
• Kontrollige oma avaldusi regulaarselt: Varajane avastamine vähendab kahju ja kiirendab panga reageerimist.

Kui kahtlustate, et teie kaart on kloonitud või teie konto on lingitud

Esimene asi on blokeerida kloonitud krediitkaart Rakenduse kaudu või panka helistades saate taotleda uut numbrit. Paluge kaardi väljastajal lahti ühendada kõik seotud mobiilsed rahakotid, mida te ei tunne, ja aktiveerida täiustatud jälgimine. lisaks paroolide vahetamisele ja seadmete kontrollimisele.

Desinstallige oma mobiilseadmes rakendused, mille installimist te ei mäleta, käivitage oma turvalahendusega skannimine ja kui nakkuse tunnused püsivad, taastage pärast varukoopia tegemist tehaseseaded. Vältige mitteametlikest allikatest uuesti installimist.

Vajadusel esitage aruanne ja koguge tõendeid (sõnumid, ekraanipildid, kviitungid). Mida varem te sellest teatate, seda kiiremini saab teie pank tagasimakseid algatada ja makseid blokeerida. Kiirus on doominoefekti peatamise võti.

Kontaktivaba mugavuse miinuseks on see, et ründajad tegutsevad ka lähestikku. Nende toimimisviisi mõistmine – alates rahvahulga kopeerimisest kuni kaartide ühendamiseni mobiilirahakottidega, Ghost Tap edastamise või NFC-d pealtkuulava pahavarani – võimaldab teha teadlikke otsuseid: piirangute karmistamine, tugeva autentimise nõudmine, tokeniseerimise kasutamine, funktsioonide väljalülitamine mittekasutamise ajal, liikumise jälgimine ja digitaalse hügieeni parandamine. Mõne kindla tõkke olemasolul... Kontaktivabade maksete nautimine on täiesti võimalik, minimeerides samal ajal riski.