NFC en kaartklonen: echte risiko's en hoe't jo kontaktleaze betellingen blokkearje kinne

Proximity-technologyen hawwe ús libben makliker makke, mar se hawwe ek nije doarren iepene foar oplichters; dêrom is it wichtich om har beheiningen te begripen en Fier feilichheidsmaatregels yn foardat de skea eins ûntstiet.

Yn dit artikel fine jo, sûnder om it hek hinne te draaien, hoe't NFC/RFID wurket, hokker trúkjes kriminelen brûke by eveneminten en op drokke plakken, hokker bedrigingen ûntstien binne yn mobile tillefoans en betelterminals, en boppe alles, Hoe kinne jo kontaktleaze betellingen blokkearje of ferminderje as it jo útkomtLitte wy begjinne mei in folsleine hantlieding oer: NFC en kaartklonen: echte risiko's en hoe kontaktleaze betellingen te blokkearjen.

Wat is RFID en wat foeget NFC ta?

Om dingen yn perspektyf te pleatsen: RFID is de basis fan alles. It is in systeem dat radiofrekwinsje brûkt om tags of kaarten op koarte ôfstannen te identifisearjen, en it kin op twa manieren wurkje. Yn syn passive fariant hat de tag gjin batterij en It wurdt aktivearre troch de enerzjy fan 'e lêzer.It is typysk foar transportpassen, identifikaasje of produktlabeling. Yn syn aktive ferzje befettet de tag in batterij en berikt gruttere ôfstannen, wat gewoan is yn logistyk, feiligens en auto's.

Om it simpel te sizzen, NFC is in evolúsje ûntworpen foar deistich gebrûk mei mobile tillefoans en kaarten: it makket bidireksjonele kommunikaasje mooglik, is optimalisearre foar heul koarte ôfstannen, en is de standert wurden foar rappe betellingen, tagong en gegevensútwikseling. Syn grutste krêft is direkteheid.: jo bringe it tichtby en dat is it, sûnder de kaart yn 'e slot te stekken.

As jo ​​mei in kontaktleaze kaart betelje, stjoert de NFC/RFID-chip de nedige ynformaasje nei de betellingsterminal fan 'e keapman. As jo ​​lykwols mei jo mobile tillefoan of horloazje betelje, sitte jo yn in oare klasse: it apparaat fungearret as tuskenpersoan en foeget lagen fan feiligens ta (biometrysk, PIN, tokenisaasje), wat... It ferminderet de bleatstelling fan 'e werklike gegevens fan' e kaart..

Kontaktleaze kaarten versus betellingen mei apparaten

• Tarjetas físicas sin contacto: Bring se gewoan ticht by de terminal; foar lytse bedraggen is in PIN miskien net fereaske, ôfhinklik fan 'e limiten dy't troch de bank of it lân ynsteld binne.
• Betellingen mei mobile tillefoan of horloazje: Se brûke digitale wallets (Apple Pay, Google Wallet, Samsung Pay) dy't meastentiids in fingerprint, gesichtskoade of PIN fereaskje, en it echte nûmer ferfange troch in ienmalige token. wat foarkomt dat de keapman jo autentike kaart sjocht.

It feit dat beide metoaden deselde NFC-basis diele, betsjut net dat se deselde risiko's foarmje. It ferskil leit yn it medium (plestik versus apparaat) en yn 'e ekstra barriêres dy't de smartphone tafoeget. benammen autentikaasje en tokenisaasje.

Wêr en hoe komme kontaktleaze fraude foar?

Kriminelen meitsje gebrûk fan it feit dat NFC-lêzen op tige koarte ôfstân plakfynt. Yn drokke plakken - iepenbier ferfier, konserten, sporteveneminten, beurzen - kin in draachbere lêzer sûnder fermoedens by bûsen of tassen komme en ynformaasje fêstlizze. Dizze metoade, bekend as skimming, makket it mooglik om gegevens te duplisearjen, dy't dan brûkt wurde foar oankeapen of klonen. hoewol se faak ekstra stappen nedich hawwe om de fraude effektyf te meitsjen.

In oare vektor is de manipulaasje fan terminals. In oanpaste betelterminal mei in kweade NFC-lêzer kin gegevens opslaan sûnder dat jo it fernimme, en as se kombinearre wurde mei ferburgen kamera's of ienfâldige fisuele observaasje, kinne oanfallers wichtige ynformaasje krije lykas sifers en ferfaldatums. It is seldsum yn betroubere winkels, mar it risiko nimt ta by tydlike kraampjes..

Wy moatte identiteitsdiefte ek net ferjitte: mei genôch gegevens kinne kriminelen it brûke foar online oankeapen of transaksjes dy't gjin twadde faktor fereaskje. Guon entiteiten biede bettere beskerming as oaren - mei sterke fersifering en tokenisaasje - mar, lykas saakkundigen warskôgje, As de chip oerdraacht, binne de gegevens dy't nedich binne foar de transaksje oanwêzich..

Parallel binne der oanfallen ûntstien dy't net bedoeld binne om jo pas op strjitte te lêzen, mar leaver om it op ôfstân te keppeljen oan de mobile wallet fan 'e krimineel. Hjir komme grutskalige phishing, falske websiden en de obsesje mei it krijen fan ienmalige wachtwurden (OTP's) yn it spul. dy't de kaai binne foar it autorisearjen fan operaasjes.

Klonen, online winkeljen, en wêrom't it soms wurket

Soms befetsje de fêstleine gegevens it folsleine serienûmer en de ferfaldatum. Dat kin genôch wêze foar online oankeapen as de keapman of bank gjin fierdere ferifikaasje fereasket. Yn 'e fysike wrâld binne dingen yngewikkelder fanwegen EMV-chips en anty-fraudekontrôles, mar guon oanfallers Se besykje har gelok mei transaksjes by tastiene terminals of mei lytse bedraggen.

Fan lokmiddel oant betelling: stellen kaarten keppele oan mobile wallets

In tanimmende taktyk giet oer it opsetten fan netwurken fan frauduleuze websiden (boetes, ferstjoerkosten, fakturen, falske winkels) dy't freegje om "ferifikaasje" of in tokenbetelling. It slachtoffer fiert syn kaartgegevens yn en, soms, in OTP (Ienmalige Betelling). Yn werklikheid wurdt der op dat stuit neat yn rekken brocht: de gegevens wurde nei de oanfaller stjoerd, dy't dan besiket... keppelje dy kaart oan jo Apple Pay of Google Wallet lo antes posible.

Om de saken te fersnellen, generearje guon groepen in digitale ôfbylding dy't de kaart replikearret mei de gegevens fan it slachtoffer, "fotografearret" it út 'e slûf, en foltôget de keppeling as de bank allinich it nûmer, de ferfaldatum, de hâlder, CVV en OTP nedich hat. Alles kin barre yn ien sesje..

Nijsgjirrich is dat se net altyd daliks jild útjaan. Se sammelje tsientallen keppele kaarten op in tillefoan en ferkeapje dy troch op it tsjustere web. Weken letter sil in keaper dat apparaat brûke om kontaktloos te beteljen yn fysike winkels of om betelling te ynnen foar net-besteande produkten yn har eigen winkel binnen in legitiem platfoarm. Yn in protte gefallen wurdt der gjin PIN of OTP frege by de POS-terminal..

Der binne lannen dêr't jo sels jild opnimme kinne fan NFC-ynskeakele pinautomaten mei jo mobile tillefoan, en in oare monetarisaasjemetoade tafoegje. Underwilens kin it slachtoffer him de mislearre betellingspoging op dy webside net iens ûnthâlde en gjin "frjemde" kosten fernimme oant it te let is. om't it earste frauduleuze gebrûk folle letter plakfynt.

Ghost Tap: de oerdracht dy't de kaartlêzer foar de gek hâldt

In oare technyk dy't besprutsen wurdt yn feiligensforums is NFC-relay, mei de bynamme Ghost Tap. It fertrout op twa mobile tillefoans en legitime testapplikaasjes lykas NFCGate: ien hâldt de wallet mei stellen kaarten fêst; de oare, ferbûn mei it ynternet, fungearret as de "hân" yn 'e winkel. It sinjaal fan 'e earste tillefoan wurdt yn realtime trochjûn, en de mûle bringt de twadde tillefoan tichtby de kaartlêzer. dat net maklik ûnderskied makket tusken in orizjineel en in opnij útstjoerd sinjaal.

De trúk makket it mooglik foar ferskate mûlezels om hast tagelyk mei deselde kaart te beteljen, en as de plysje de tillefoan fan 'e mûlezel kontrolearret, sjogge se allinich in legitime app sûnder kaartnûmers. De gefoelige gegevens steane op it oare apparaat, miskien yn in oar lân. Dizze regeling komplisearret taskriuwing en fersnelt jildwaskjen..

Mobiele malware en de NGate-saak: as jo tillefoan foar jo stielt

Feiligensûndersikers hawwe kampanjes yn Latynsk-Amearika dokumintearre - lykas de NGate-oplichterij yn Brazylje - wêrby't in falske Android-bankapp brûkers freget om NFC te aktivearjen en "harren kaart ticht by de tillefoan te bringen". De malware ûnderskept de kommunikaasje en stjoert de gegevens nei de oanfaller, dy't dan de kaart emulearret om betellingen of opnames te dwaan. Alles wat it kostet is dat de brûker de ferkearde app fertrout..

It risiko is net eksklusyf foar ien lân. Yn merken lykas Meksiko en de rest fan 'e regio, dêr't it gebrûk fan tichtbybetellingen groeit en in protte brûkers apps ynstallearje fanút twifele keppelings, is de grûn fruchtber. Hoewol banken har kontrôles fersterkje, Kweade akteurs iterearje fluch en eksploitearje elk tafersjoch..

Hoe dizze oplichting stap foar stap wurket

1. In warskôging foar in fal komt oan: in berjocht of e-post dy't "fereasket" dat jo de app fan 'e bank bywurkje fia in keppeling.
2. Jo ynstallearje in kloonde app: It sjocht der echt út, mar it is kwea-aardich en freget om NFC-tastimming.
3. It freget jo om de kaart tichtby te bringen: of NFC aktivearje tidens in operaasje, en de gegevens dêr fêstlizze.
4. De oanfaller emulearret jo kaart: en docht betellingen of opnames, dy't jo letter sille ûntdekke.

Fierder ûntstie der oan 'e ein fan 2024 in oare twist: frauduleuze apps dy't brûkers freegje om har kaart by har tillefoan te hâlden en har PIN yn te fieren "om it te ferifiearjen". De app stjoert de ynformaasje dan troch nei de krimineel, dy't oankeapen of opnames docht by NFC-pinautomaten. Doe't banken geolokaasje-anomalieën ûntdutsen, ferskynde der yn 2025 in nije fariant: Se oertsjûgje it slachtoffer om har jild te storten op in nei alle gedachten feilige rekken. Fan in pinautomaat, wylst de oanfaller, fia relay, syn eigen kaart presintearret; komt de boarchsom yn 'e hannen fan 'e fraudeur telâne en it anty-fraudesysteem sjocht it as in legitime transaksje.

Tafoege risiko's: kaartbetellingsterminals, kamera's en identiteitsdiefstal

De manipulearre terminals fange net allinich wat se nedich binne fia NFC, mar se kinne ek transaksjelogs opslaan en oanfolje mei ôfbyldings fan ferburgen kamera's. As se it serienûmer en de ferfaldatum krije, kinne bepaalde gewetenleaze online winkels oankeapen akseptearje sûnder in twadde ferifikaasjefaktor. De sterkte fan 'e bank en it bedriuw makket al it ferskil.

Parallel binne senario's beskreaun wêrby't immen diskreet in kaart fotografearret of it mei syn of har mobile tillefoan opnimt as jo it út jo slûf helje. Hoewol it miskien ienfâldich klinkt, kinne dizze fisuele lekken, kombineare mei oare gegevens, liede ta identiteitsfraude, unautorisearre oanmeldingen foar tsjinsten of oankeapen. Sosjale technyk foltôget it technyske wurk.

Hoe jo josels beskermje kinne: praktyske maatregels dy't eins wurkje

• Stel limiten foar kontaktleaze betellingen yn: It ferleget de maksimale bedraggen, sadat, as der misbrûk is, de ynfloed minder is.
• Aktivearje biometryske gegevens of PIN op jo mobile tillefoan of horloazje: Op dizze manier kin nimmen fan jo apparaat betelje sûnder jo autorisaasje.
• Brûk tokenisearre wallets: Se ferfange it werklike nûmer mei in token, sadat jo kaart net oan de keapman bleatsteld wurdt.
• Deaktivearje kontaktleaze betelling as jo it net brûke: In protte entiteiten tastean jo ta om dy funksje tydlik út te skeakeljen op 'e kaart.
• Skeakelje de NFC fan jo tillefoan út as jo it net nedich binne: It ferminderet it oanfalsflak tsjin kweade apps of net winske lêzingen.
• Beskermje jo apparaat: Beskoattelje it mei in sterk wachtwurd, feilich patroan of biometryske gegevens, en lit it net ûntskoattele op hokker baly dan ek.
• Hâld alles op 'e hichte: systeem, apps en firmware; in protte updates reparearje bugs dy't dizze oanfallen eksploitearje.
• Transaksjealarms aktivearje: Druk en SMS om bewegingen yn realtime te detektearjen en direkt te reagearjen.
• Kontrolearje jo ferklearrings regelmjittich: wije in wyklik momint oan it kontrolearjen fan kosten en it lokalisearjen fan fertochte lytse bedraggen.
• Kontrolearje altyd it bedrach op 'e POS-terminal: Sjoch nei it skerm foardat jo de kaart tichtby bringe en bewarje de kwitânsje.
• Definiearje maksimale bedraggen sûnder PIN: Dit twingt ekstra autentikaasje ôf by oankeapen fan in bepaald bedrach.
• Brûk RFID/NFC-blokkearjende mouwen of kaarten: Se binne net ûnfeilber, mar se fergrutsje de ynspanning fan 'e oanfaller.
• Foarkar foar firtuele kaarten foar online oankeapen: Folje jo saldo krekt foar it beteljen oan en skeakelje offline betellingen út as jo bank it oanbiedt.
• Fernije jo firtuele kaart faak: It teminsten ien kear yn 't jier feroarje ferminderet bleatstelling as it lekt.
• Ferbine in oare kaart mei jo wallet as de kaart dy't jo online brûke: skiedt risiko's tusken fysike en online betellingen.
• Foarkom it brûken fan NFC-ynskeakele tillefoans by pinautomaten: Brûk asjebleaft de fysike kaart foar opnames of stortingen.
• Ynstallearje in betroubere befeiligingssuite: Sykje nei betellingsbeskerming en phishing-blokkearjende funksjes op mobyl en PC.
• Download allinich apps fan offisjele winkels: en befêstigje de ûntwikkelder; wês foarsichtich mei keppelings fia SMS of berjochten.
• Yn drokke romten: Bewarje jo kaarten yn in binnenbûse of portemonnee mei beskerming en foarkom dat se bleatlein wurde.
• Para empresas: IT freget IT om bedriuwsmobyltsjes te kontrolearjen, apparaatbehear ta te passen en ûnbekende ynstallaasjes te blokkearjen.

Oanbefellings fan organisaasjes en bêste praktiken

• Kontrolearje it bedrach foardat jo betelje: Bring de kaart net tichtby oant jo it bedrach op 'e terminal ferifiearre hawwe.
• Bewarje ûntfangsten: Se helpe jo mei it fergelykjen fan oanklachten en it yntsjinjen fan oanspraken mei bewiis as der ferskillen binne.
• Notifikaasjes fan 'e bankapp aktivearje: Se binne jo earste warskôgingsteken fan in net-erkende lading.
• Kontrolearje jo ferklearrings regelmjittich: Iere deteksje ferminderet skea en fersnelt de reaksje fan 'e bank.

As jo ​​fermoedzje dat jo kaart kloond is of dat jo akkount keppele is

It earste ding is om te blokkearjen cloned credit card Freegje in nij nûmer oan fanút de app of troch de bank te beljen. Freegje de útjouwer om alle assosjearre mobile wallets dy't jo net werkenne te ûntkoppelen en ferbettere monitoring te aktivearjen. neist it feroarjen fan wachtwurden en it kontrolearjen fan jo apparaten.

Deynstallearje op jo mobyl apparaat apps dy't jo net ûnthâlde dat jo ynstalleare hawwe, fier in scan út mei jo befeiligingsoplossing, en as tekens fan ynfeksje oanhâlde, weromsette nei fabryksynstellingen nei it meitsjen fan in reservekopy. Foarkom it opnij ynstallearjen fan net-offisjele boarnen.

Dien in rapport yn as it nedich is en sammelje bewiis (berjochten, skermôfbyldings, kwitânsjes). Hoe earder jo it melde, hoe earder jo bank weromjeften kin begjinne en betellingen blokkearje kin. Snelheid is de kaai om it domino-effekt te stopjen.

It neidiel fan kontaktloos gemak is dat oanfallers ek yn tichteby operearje. Begrip fan hoe't se wurkje - fan crowdskimming oant it keppeljen fan kaarten oan mobile wallets, Ghost Tap-relaying, of malware dy't NFC ûnderskept - makket ynformearre besluten mooglik: it oanskerpjen fan beheiningen, it fereaskjen fan sterke autentikaasje, it brûken fan tokenisaasje, it útskeakeljen fan funksjes as se net yn gebrûk binne, it kontrolearjen fan bewegingen en it ferbetterjen fan digitale hygiëne. Mei in pear solide barriêres op it plak, It is perfekt mooglik om kontaktloos te beteljen wylst it risiko minimalisearre wurdt.