NFC ja korttien kloonaus: todelliset riskit ja kuinka estää lähimaksut

Läheisyysteknologiat ovat tehneet elämästämme kätevämpää, mutta ne ovat myös avanneet uusia ovia huijareille; siksi on tärkeää ymmärtää niiden rajoitukset ja Toteuta turvatoimenpiteet ennen kuin vahinko todella tapahtuu.

Tässä artikkelissa kerromme kiertelemättä, miten NFC/RFID toimii, mitä temppuja rikolliset käyttävät tapahtumissa ja ruuhkaisissa paikoissa, mitä uhkia on ilmennyt matkapuhelimissa ja maksupäätteissä ja ennen kaikkea, Kuinka estää tai rajoittaa lähimaksuja sinulle sopivana ajankohtanaAloitetaan kattavalla oppaalla aiheesta: NFC ja korttien kloonaus: todelliset riskit ja kuinka estää lähimaksut.

Mikä on RFID ja mitä NFC tuo tullessaan?

Perspektiivin vuoksi: RFID on kaiken perusta. Se on järjestelmä, joka käyttää radiotaajuutta tunnisteiden tai korttien tunnistamiseen lyhyillä etäisyyksillä, ja se voi toimia kahdella tavalla. Passiivisessa versiossaan tunnisteessa ei ole paristoa ja Se aktivoituu lukijan energiasta.Se on tyypillinen kuljetusluvissa, henkilöllisyystodistuksessa tai tuotemerkinnöissä. Aktiivisessa versiossaan tunnisteessa on akku ja se kantaa pidempiä matkoja, mikä on yleistä logistiikassa, turvallisuudessa ja autoteollisuudessa.

Yksinkertaisesti sanottuna NFC on matkapuhelimien ja korttien jokapäiväiseen käyttöön suunniteltu kehitysaskel: se mahdollistaa kaksisuuntaisen viestinnän, on optimoitu erittäin lyhyille etäisyyksille ja siitä on tullut standardi nopeille maksuille, yhteyksille ja tiedonvaihdolle. Sen suurin vahvuus on välittömyys.: tuot sen lähelle ja siinä kaikki, asettamatta korttia korttipaikkaan.

Kun maksat lähimaksukortilla, NFC/RFID-siru lähettää tarvittavat tiedot kauppiaan maksupäätteelle. Jos kuitenkin maksat matkapuhelimella tai kellolla, olet eri luokassa: laite toimii välittäjänä ja lisää turvallisuuskerroksia (biometrinen tunniste, PIN-koodi, tokenisointi), jotka Se vähentää kortin todellisten tietojen paljastumista..

Lähimaksukortit vs. laitteilla maksaminen

• Lähimaksuttomat fyysiset kortit: Tuo ne vain lähelle maksupäätettä; pienille summille PIN-koodia ei välttämättä tarvita pankin tai maan asettamista rajoituksista riippuen.
• Maksut matkapuhelimella tai kellolla: He käyttävät digitaalisia lompakoita (Apple Pay, Google Wallet, Samsung Pay), jotka yleensä vaativat sormenjäljen, kasvojentunnistuksen tai PIN-koodin ja korvaavat oikean numeron kertakäyttöisellä tunnuksella. mikä estää kauppiasta näkemästä aitoa korttiasi.

Se, että molemmilla menetelmillä on sama NFC-perusta, ei tarkoita, että ne aiheuttaisivat samat riskit. Ero on materiaalissa (muovi vs. laite) ja älypuhelimen lisäämissä lisäesteissä. erityisesti todennus ja tokenisointi.

Missä ja miten kontaktittomia petoksia tapahtuu?

Rikolliset hyödyntävät sitä tosiasiaa, että NFC-luku tapahtuu hyvin lyhyellä etäisyydellä. Ruuhkaisissa paikoissa – julkisessa liikenteessä, konserteissa, urheilutapahtumissa ja messuilla – kannettava lukija voi lähestyä taskuja tai laukkuja herättämättä epäilyksiä ja tallentaa tietoja. Tämä menetelmä, joka tunnetaan nimellä skimming, mahdollistaa tietojen kopioinnin, jota sitten käytetään ostosten tekemiseen tai kloonaamiseen. vaikka ne usein tarvitsevat lisätoimenpiteitä petoksen tehostamiseksi.

Toinen vektori on maksupäätteiden manipulointi. Muokattu maksupääte, jossa on haitallinen NFC-lukija, voi tallentaa tietoja huomaamattasi, ja yhdistettynä piilokameroihin tai yksinkertaiseen visuaaliseen havainnointiin hyökkääjät voivat saada haltuunsa tärkeitä tietoja, kuten numeroita ja voimassaolopäiviä. Se on harvinaista hyvämaineisissa kaupoissa, mutta riski kasvaa väliaikaisissa kojuissa..

Eikä pidä unohtaa identiteettivarkauksia: jos rikollisilla on riittävästi dataa, he voivat käyttää sitä verkko-ostoksiin tai tapahtumiin, jotka eivät vaadi toista suojaustekijää. Jotkut tahot tarjoavat parempaa suojaa kuin toiset – käyttämällä vahvaa salausta ja tokenisaatiota – mutta kuten asiantuntijat varoittavat, Kun siru lähettää, tapahtumaan tarvittavat tiedot ovat läsnä..

Samaan aikaan on ilmaantunut hyökkäyksiä, joiden tarkoituksena ei ole lukea korttiasi kadulla, vaan pikemminkin yhdistää se etänä rikollisen omaan mobiililompakkoon. Tässä kohtaa laajamittainen tietojenkalastelu, väärennetyt verkkosivustot ja pakkomielle kertakäyttöisten salasanojen (OTP) hankkimiseen astuvat kuvaan. jotka ovat avainasemassa toimintojen valtuuttamisessa.

Kloonaus, verkkokauppa ja miksi se joskus toimii

Joskus tallennettuihin tietoihin sisältyy koko sarjanumero ja voimassaolopäivämäärä. Tämä voi riittää verkko-ostoksiin, jos kauppias tai pankki ei vaadi lisävahvistusta. Fyysisessä maailmassa asiat ovat monimutkaisempia EMV-sirujen ja petostentorjuntajärjestelmien vuoksi, mutta jotkut hyökkääjät He kokeilevat onneaan maksuilla sallivissa päätteissä tai pienillä summilla.

Syötteestä maksuun: varastettujen korttien yhdistäminen mobiililompakkoihin

Yhä useamman taktiikan joukossa on vilpillisten verkkosivustojen (sakot, toimituskulut, laskut, väärennetyt kaupat) verkostojen perustaminen, jotka pyytävät "vahvistusta" tai nimellistä maksua. Uhri syöttää korttitietonsa ja joskus OTP:n (kertamaksu). Todellisuudessa tililtä ei veloiteta mitään sillä hetkellä: tiedot lähetetään hyökkääjälle, joka sitten yrittää... linkitä kortti Apple Payhin tai Google Walletiin niin pian kuin mahdollista

Nopeuttaakseen asioita jotkut ryhmät luovat digitaalisen kuvan, joka kopioi kortin uhrin tiedoilla, "valokuvaavat" sen lompakosta ja viimeistelevät linkityksen, jos pankki tarvitsee vain numeron, voimassaolopäivän, haltijan, CVV:n ja kertakäyttöisen salasanan. Kaikki voi tapahtua yhdessä istunnossa..

Mielenkiintoista kyllä, he eivät aina kuluta rahaa heti. He keräävät kymmeniä linkitettyjä kortteja puhelimeen ja myyvät sen edelleen dark webissä. Viikkoja myöhemmin ostaja käyttää kyseistä laitetta maksaakseen fyysisissä myymälöissä lähimaksulla tai kerätäkseen maksun olemattomista tuotteista omassa myymälässään laillisen alustan kautta. Monissa tapauksissa kassapäätteellä ei pyydetä PIN-koodia tai kertakäyttöistä salasanaa..

On maita, joissa voit jopa nostaa käteistä NFC-yhteensopivista pankkiautomaateista matkapuhelimellasi, mikä lisää uuden ansaintatavan. Samaan aikaan uhri ei välttämättä edes muista epäonnistunutta maksuyritystä kyseisellä verkkosivustolla eikä huomaa "outoja" veloituksia ennen kuin on liian myöhäistä. koska ensimmäinen petollinen käyttö tapahtuu paljon myöhemmin.

Ghost Tap: tiedonsiirto, joka huijaa kortinlukijaa

Toinen turvallisuusfoorumeilla keskusteltu tekniikka on NFC-välitys, lempinimeltään Ghost Tap. Se perustuu kahteen matkapuhelimeen ja laillisiin testisovelluksiin, kuten NFCGateen: toisessa on varastettujen korttien sisältävä lompakko; toinen, joka on yhdistetty internetiin, toimii "kätenä" kaupassa. Ensimmäisen puhelimen signaali välitetään reaaliajassa, ja muuli tuo toisen puhelimen kortinlukijan lähelle. joka ei erota helposti alkuperäistä ja uudelleenlähetettyä signaalia.

Tämän tempun avulla useat muulit voivat maksaa lähes samanaikaisesti samalla kortilla, ja jos poliisi tarkistaa muulin puhelimen, he näkevät vain laillisen sovelluksen ilman korttinumeroita. Arkaluontoiset tiedot ovat toisella laitteella, ehkä toisessa maassa. Tämä järjestelmä vaikeuttaa tekijänoikeuksien selvittämistä ja nopeuttaa rahanpesua..

Mobiilihaittaohjelmat ja NGate-tapaus: kun puhelimesi varastaa puolestasi

Tietoturvatutkijat ovat dokumentoineet kampanjoita Latinalaisessa Amerikassa – kuten NGate-huijauksen Brasiliassa – jossa väärennetty Android-pankkisovellus kehottaa käyttäjiä aktivoimaan NFC:n ja "tuomaan korttinsa lähelle" puhelinta. Haittaohjelma sieppaa tiedonsiirron ja lähettää tiedot hyökkääjälle, joka sitten jäljittelee korttia maksujen tai nostojen tekemiseksi. Käyttäjän tarvitsee vain luottaa väärään sovellukseen..

Riski ei rajoitu vain yhteen maahan. Markkinoilla, kuten Meksikossa ja muualla alueella, joilla lähimaksujen käyttö kasvaa ja monet käyttäjät asentavat sovelluksia epäilyttävistä linkeistä, maaperä on hedelmällinen. Vaikka pankit tiukennetaan valvontaansa, Haitalliset toimijat iteroivat nopeasti ja hyödyntävät mitä tahansa valvontaa..

Näin nämä huijaukset toimivat askel askeleelta

1. Ansavaroitus saapuu: viesti tai sähköposti, joka "vaatii" sinua päivittämään pankin sovelluksen linkin kautta.
2. Asennat kloonatun sovelluksen: Se näyttää aidolta, mutta on haitallinen ja pyytää NFC-käyttöoikeuksia.
3. Se pyytää sinua tuomaan kortin lähelle: tai aktivoi NFC toiminnon aikana ja tallenna tiedot sinne.
4. Hyökkääjä jäljittelee korttiasi: ja tekee maksuja tai nostoja, jotka saat selville myöhemmin.

Lisäksi vuoden 2024 lopussa ilmaantui uusi käänne: huijaussovellukset, jotka pyytävät käyttäjiä pitämään korttiaan puhelimen lähellä ja syöttämään PIN-koodinsa "vahvistaakseen sen". Sovellus lähettää sitten tiedot rikolliselle, joka tekee ostoksia tai nostoja NFC-käteisautomaateilla. Kun pankit havaitsivat geolokaatiopoikkeavuuksia, vuonna 2025 ilmestyi uusi variantti: He suostuttelevat uhrin tallettamaan rahansa oletettavasti turvalliselle tilille. Pankkiautomaatista hyökkääjä esittää oman korttinsa releen kautta; talletus päätyy huijarin käsiin ja petostentorjuntajärjestelmä näkee sen laillisena tapahtumana.

Lisäriskit: korttimaksupäätteet, kamerat ja identiteettivarkaudet

Peukaloidut päätteet eivät ainoastaan ​​tallenna tarvitsemiaan tietoja NFC:n kautta, vaan ne voivat myös tallentaa tapahtumalokeja ja täydentää niitä piilokameroiden kuvilla. Jos ne saavat sarjanumeron ja viimeisen käyttöpäivämäärän haltuunsa, tietyt häikäilemättömät verkkokauppiaat voivat hyväksyä ostoksia ilman toista vahvistuskerrointa. Pankin ja yrityksen vahvuus ratkaisee kaiken.

Samanaikaisesti on kuvattu tilanteita, joissa joku huomaamattomasti valokuvaa kortin tai tallentaa sen matkapuhelimellaan, kun otat sen lompakostasi. Vaikka se saattaa kuulostaa yksinkertaiselta, nämä visuaaliset vuodot yhdessä muiden tietojen kanssa voivat johtaa identiteettipetoksiin, luvattomiin palveluiden rekisteröitymisiin tai ostoksiin. Sosiaalinen manipulointi viimeistelee teknisen työn.

Näin suojelet itseäsi: käytännön toimenpiteet, jotka todella toimivat

• Aseta lähimaksurajoitukset: Se alentaa enimmäismääriä, jotta väärinkäytön sattuessa vaikutus on pienempi.
• Aktivoi biometria tai PIN-koodi matkapuhelimessasi tai kellossasi: Tällä tavoin kukaan ei voi maksaa laitteellasi ilman valtuutustasi.
• Käytä tokenisoituja lompakoita: Ne korvaavat varsinaisen numeron tunnuksella, mikä estää korttiasi joutumasta kauppiaan käsiin.
• Poista lähimaksu käytöstä, jos et käytä sitä: Monet tahot sallivat kyseisen toiminnon tilapäisen poistamisen käytöstä kortilla.
• Poista puhelimesi NFC käytöstä, kun et tarvitse sitä: Se vähentää hyökkäyspintaa haitallisia sovelluksia tai ei-toivottuja lukuja vastaan.
• Suojaa laitteesi: Lukitse se vahvalla salasanalla, suojatulla kuviolla tai biometrisellä tunnisteella äläkä jätä sitä lukitsematta millekään tiskille.
• Pidä kaikki ajan tasalla: järjestelmä, sovellukset ja laiteohjelmistot; monet päivitykset korjaavat näitä hyökkäyksiä hyödyntäviä virheitä.
• Aktivoi tapahtumahälytykset: Paina ja lähetä tekstiviesti havaitaksesi liikkeitä reaaliajassa ja reagoidaksesi välittömästi.
• Tarkista tiliotteesi säännöllisesti: Käytä viikoittainen hetki maksujen tarkistamiseen ja epäilyttävien pienten summien löytämiseen.
• Tarkista aina summa maksupäätteeltä: Katso näyttöä ennen kuin tuot kortin lähelle ja säilytä kuitti.
• Määritä enimmäismäärät ilman PIN-koodia: Tämä pakottaa lisätunnistuksen tietyn summan ostoksille.
• Käytä RFID/NFC-suojaustaskuja tai -kortteja: Ne eivät ole erehtymättömiä, mutta ne lisäävät hyökkääjän ponnisteluja.
• Suosi virtuaalikortteja verkko-ostoksiin: Täytä saldosi juuri ennen maksamista ja poista offline-maksut käytöstä, jos pankkisi tarjoaa sitä.
• Uudista virtuaalikorttisi usein: Vaihtamalla sen vähintään kerran vuodessa vähennetään altistumista mahdollisille vuodoille.
• Liitä lompakkoosi eri kortti kuin se, jota käytät verkossa: erottaa fyysisten ja verkkomaksujen riskit.
• Vältä NFC-yhteensopivien puhelimien käyttöä pankkiautomaateilla: Nostoihin tai talletuksiin, käytä fyysistä korttia.
• Asenna hyvämaineinen tietoturvaohjelmisto: Etsi maksusuojausta ja tietojenkalastelunestotoimintoja mobiililaitteilla ja tietokoneilla.
• Lataa sovelluksia vain virallisista kaupoista: ja vahvista kehittäjä; ole varovainen tekstiviestitse tai viesteissä lähetettyjen linkkien kanssa.
• Vilkkaissa tiloissa: Pidä korttisi suojatussa sisätaskussa tai lompakossa ja vältä niiden paljastamista.
• Yrityksille: IT-osasto pyytää IT-osastoa tarkistamaan yrityksen matkapuhelimet, ottamaan käyttöön laitehallinnan ja estämään tuntemattomat asennukset.

Organisaatioiden suositukset ja parhaat käytännöt

• Tarkista summa ennen maksamista: Älä tuo korttia lähelle ennen kuin olet tarkistanut maksun summan päätteeltä.
• Säilytä kuitit: He auttavat sinua vertailemaan syytteitä ja esittämään todisteita vaatimuksista, jos niissä on ristiriitaisuuksia.
• Aktivoi ilmoitukset pankkisovelluksesta: Ne ovat ensimmäinen varoitusmerkki tunnistamattomasta veloituksesta.
• Tarkista tiliotteesi säännöllisesti: Varhainen havaitseminen vähentää vahinkoja ja nopeuttaa pankin reagointia.

Jos epäilet, että korttisi on kloonattu tai tilisi on linkitetty

Ensimmäinen asia on estää kloonattu luottokortti Pyydä uusi numero sovelluksesta tai soittamalla pankkiin. Pyydä kortin myöntäjää poistamaan kaikki tunnistamattomat liitetyt mobiililompakot ja aktivoimaan tehostettu valvonta. salasanojen vaihtamisen ja laitteiden tarkistamisen lisäksi.

Poista mobiililaitteestasi sovellukset, joita et muista asentaneen, suorita tarkistus tietoturvaratkaisullasi ja jos tartunnan merkkejä ilmenee, palauta tehdasasetukset varmuuskopion tekemisen jälkeen. Vältä uudelleenasentamista epävirallisista lähteistä.

Tee tarvittaessa ilmoitus ja kerää todisteita (viestejä, kuvakaappauksia, kuitteja). Mitä nopeammin ilmoitat siitä, sitä nopeammin pankkisi voi aloittaa hyvitykset ja estää maksut. Nopeus on avain dominoefektin pysäyttämiseen.

Lähimaksujen haittapuolena on, että hyökkääjät toimivat myös lähietäisyydellä. Ymmärtämällä, miten ne toimivat – joukkolaskusta korttien linkittämiseen mobiililompakkoihin, Ghost Tap -välitykseen tai NFC:tä sieppaavaan haittaohjelmaan – voidaan tehdä tietoon perustuvia päätöksiä: rajoitusten tiukentamista, vahvan todennuksen vaatimista, tokenisaation käyttöä, ominaisuuksien poistamista käytöstä, kun niitä ei käytetä, liikkeiden seurantaa ja digitaalisen hygienian parantamista. Muutaman vankan esteen avulla... On täysin mahdollista nauttia kontaktittomista maksuista ja minimoida riski.