NFC dan kloning kartu: risiko nyata dan cara memblokir pembayaran nirsentuh

Teknologi proximity telah membuat hidup kita lebih mudah, namun juga membuka pintu baru bagi para penipu; oleh karena itu penting untuk memahami keterbatasannya dan Terapkan langkah-langkah keamanan sebelum kerusakan benar-benar terjadi.

Dalam artikel ini Anda akan menemukan, tanpa bertele-tele, bagaimana NFC/RFID bekerja, trik apa yang digunakan penjahat di acara-acara dan di tempat-tempat ramai, ancaman apa yang muncul di ponsel dan terminal pembayaran, dan yang terpenting, Cara memblokir atau mengurangi pembayaran nirsentuh saat Anda menginginkannyaMari kita mulai dengan panduan lengkap tentang: NFC dan kloning kartu: risiko nyata dan cara memblokir pembayaran nirsentuh.

Apa itu RFID dan apa saja manfaat NFC?

Sebagai perbandingan: RFID adalah fondasinya. Sistem ini menggunakan frekuensi radio untuk mengidentifikasi tag atau kartu dari jarak dekat, dan dapat bekerja dengan dua cara. Dalam varian pasifnya, tag tidak memiliki baterai dan Ia diaktifkan oleh energi pembaca.Label ini umum digunakan untuk kartu transportasi, identifikasi, atau pelabelan produk. Dalam versi aktifnya, label ini dilengkapi baterai dan dapat menjangkau jarak yang lebih jauh, hal yang umum dalam bidang logistik, keamanan, dan otomotif.

Sederhananya, NFC merupakan evolusi yang dirancang untuk penggunaan sehari-hari dengan ponsel dan kartu: memungkinkan komunikasi dua arah, dioptimalkan untuk jarak yang sangat pendek, dan telah menjadi standar untuk pembayaran cepat, akses, dan pertukaran data. Kekuatan terbesarnya adalah kedekatannya.: Anda mendekatkannya dan selesai, tanpa memasukkan kartu ke dalam slot.

Saat Anda membayar dengan kartu nirsentuh, chip NFC/RFID mengirimkan informasi yang diperlukan ke terminal pembayaran pedagang. Namun, jika Anda membayar dengan ponsel atau jam tangan, Anda berada di level yang berbeda: perangkat tersebut bertindak sebagai perantara dan menambahkan lapisan keamanan (biometrik, PIN, tokenisasi), yang Ini mengurangi paparan data aktual kartu..

Kartu nirsentuh versus pembayaran dengan perangkat

• Kartu fisik nirsentuh: Cukup dekatkan ke terminal; untuk jumlah kecil, PIN mungkin tidak diperlukan, tergantung pada batasan yang ditetapkan oleh bank atau negara.
• Pembayaran dengan ponsel atau jam tangan: Mereka menggunakan dompet digital (Apple Pay, Google Wallet, Samsung Pay) yang biasanya memerlukan sidik jari, wajah atau PIN, dan mengganti nomor asli dengan token sekali pakai. yang mencegah pedagang melihat kartu asli Anda.

Fakta bahwa kedua metode ini memiliki fondasi NFC yang sama tidak berarti keduanya memiliki risiko yang sama. Perbedaannya terletak pada medianya (plastik versus perangkat) dan penghalang tambahan yang ditambahkan oleh ponsel pintar. terutama otentikasi dan tokenisasi.

Di mana dan bagaimana penipuan nirsentuh terjadi?

Penjahat memanfaatkan fakta bahwa pembacaan NFC terjadi dalam jarak yang sangat dekat. Di tempat ramai—transportasi umum, konser, acara olahraga, pameran—pembaca portabel dapat mendekati saku atau tas tanpa menimbulkan kecurigaan dan mencuri informasi. Metode ini, yang dikenal sebagai skimming, memungkinkan duplikasi data, yang kemudian digunakan untuk pembelian atau kloning. meskipun mereka sering kali memerlukan langkah-langkah tambahan untuk membuat penipuan tersebut efektif.

Vektor lainnya adalah manipulasi terminal. Terminal pembayaran yang dimodifikasi dengan pembaca NFC berbahaya dapat menyimpan data tanpa sepengetahuan Anda, dan jika dikombinasikan dengan kamera tersembunyi atau pengamatan visual sederhana, penyerang dapat memperoleh informasi penting seperti digit dan tanggal kedaluwarsa. Hal ini jarang terjadi di toko-toko terkemuka, tetapi risikonya meningkat di kios-kios dadakan..

Kita juga tidak boleh melupakan pencurian identitas: dengan data yang cukup, penjahat dapat menggunakannya untuk pembelian atau transaksi daring yang tidak memerlukan faktor kedua. Beberapa entitas menyediakan perlindungan yang lebih baik daripada yang lain—menggunakan enkripsi dan tokenisasi yang kuat—tetapi, seperti yang diperingatkan para ahli, Saat chip mentransmisikan, data yang diperlukan untuk transaksi tersedia..

Bersamaan dengan itu, muncul serangan yang tidak bertujuan untuk membaca kartu Anda di jalan, melainkan untuk menghubungkannya dari jarak jauh ke dompet seluler milik pelaku kejahatan. Di sinilah phishing skala besar, situs web palsu, dan obsesi untuk mendapatkan kata sandi sekali pakai (OTP) berperan. yang merupakan kunci untuk mengotorisasi operasi.

Kloning, belanja online, dan mengapa terkadang berhasil

Terkadang, data yang ditangkap mencakup nomor seri lengkap dan tanggal kedaluwarsa. Data tersebut mungkin cukup untuk pembelian online jika penjual atau bank tidak memerlukan verifikasi lebih lanjut. Di dunia nyata, segala sesuatunya lebih rumit karena adanya chip EMV dan kontrol anti-penipuan, tetapi beberapa penyerang Mereka mencoba peruntungan dengan bertransaksi di terminal yang permisif atau dengan jumlah kecil.

Dari umpan ke pembayaran: menghubungkan kartu curian ke dompet seluler

Taktik yang semakin berkembang melibatkan pembuatan jaringan situs web palsu (denda, pengiriman, faktur, toko palsu) yang meminta "verifikasi" atau pembayaran token. Korban memasukkan detail kartu mereka dan, terkadang, OTP (Pembayaran Sekali Pakai). Kenyataannya, tidak ada tagihan yang dibebankan saat itu: data dikirim ke penyerang, yang kemudian mencoba... hubungkan kartu tersebut ke Apple Pay atau Google Wallet Anda sesegera mungkin

Untuk mempercepat proses, beberapa kelompok membuat gambar digital yang mereplikasi kartu dengan data korban, "memotretnya" dari dompet, dan menyelesaikan penautan jika bank hanya meminta nomor, tanggal kedaluwarsa, pemegang, CVV, dan OTP. Segala sesuatu dapat terjadi dalam satu sesi..

Menariknya, mereka tidak selalu langsung berbelanja. Mereka mengumpulkan puluhan kartu yang terhubung di ponsel dan menjualnya kembali di dark web. Beberapa minggu kemudian, pembeli akan menggunakan perangkat tersebut untuk membayar di toko fisik secara nirsentuh atau untuk menerima pembayaran produk yang tidak ada di toko mereka sendiri melalui platform yang sah. Dalam banyak kasus, tidak ada PIN atau OTP yang diminta di terminal POS..

Ada beberapa negara yang bahkan memungkinkan Anda menarik uang tunai dari ATM berkemampuan NFC menggunakan ponsel, yang menambahkan metode monetisasi lain. Sementara itu, korban mungkin bahkan tidak ingat upaya pembayaran yang gagal di situs web tersebut dan tidak akan menyadari adanya tagihan "aneh" hingga terlambat. karena penggunaan penipuan pertama terjadi jauh setelahnya.

Ghost Tap: transmisi yang menipu pembaca kartu

Teknik lain yang dibahas di forum keamanan adalah relai NFC, yang dijuluki Ghost Tap. Teknik ini mengandalkan dua ponsel dan aplikasi uji yang sah seperti NFCGate: satu ponsel memegang dompet berisi kartu curian; ponsel lainnya, yang terhubung ke internet, bertindak sebagai "tangan" di toko. Sinyal dari ponsel pertama diteruskan secara real-time, dan si penjual mendekatkan ponsel kedua ke pembaca kartu. yang tidak mudah membedakan antara sinyal asli dan sinyal yang dikirim ulang.

Trik ini memungkinkan beberapa orang membayar hampir bersamaan dengan kartu yang sama, dan jika polisi memeriksa ponsel orang tersebut, mereka hanya melihat aplikasi yang sah tanpa nomor kartu. Data sensitif tersebut ada di perangkat lain, mungkin di negara lain. Skema ini mempersulit atribusi dan mempercepat pencucian uang..

Malware seluler dan kasus NGate: saat ponsel Anda mencuri dari Anda

Peneliti keamanan telah mendokumentasikan berbagai kampanye di Amerika Latin—seperti penipuan NGate di Brasil—di mana aplikasi perbankan Android palsu meminta pengguna untuk mengaktifkan NFC dan "mendekatkan kartu mereka" ke ponsel. Malware tersebut mencegat komunikasi dan mengirimkan data kepada penyerang, yang kemudian meniru kartu tersebut untuk melakukan pembayaran atau penarikan. Yang perlu dilakukan hanyalah pengguna memercayai aplikasi yang salah..

Risiko ini tidak hanya terjadi di satu negara. Di pasar seperti Meksiko dan wilayah lainnya di kawasan ini, di mana penggunaan pembayaran jarak dekat sedang berkembang dan banyak pengguna memasang aplikasi dari tautan yang meragukan, peluangnya sangat terbuka. Meskipun bank-bank sedang memperkuat kontrol mereka, Aktor jahat bereplikasi dengan cepat dan mengeksploitasi kelalaian apa pun..

Bagaimana penipuan ini beroperasi langkah demi langkah

1. Peringatan jebakan telah tiba: pesan atau email yang "mengharuskan" Anda memperbarui aplikasi bank melalui tautan.
2. Anda memasang aplikasi kloning: Tampaknya nyata, tetapi berbahaya dan meminta izin NFC.
3. Ia meminta Anda untuk mendekatkan kartu tersebut: atau mengaktifkan NFC selama operasi, dan mengambil data di sana.
4. Penyerang meniru kartu Anda: dan melakukan pembayaran atau penarikan, yang akan Anda temukan nanti.

Lebih lanjut, perkembangan lain muncul di akhir tahun 2024: aplikasi penipuan yang meminta pengguna untuk mendekatkan kartu mereka ke ponsel dan memasukkan PIN "untuk memverifikasinya." Aplikasi tersebut kemudian mengirimkan informasi tersebut kepada pelaku kejahatan, yang kemudian melakukan pembelian atau penarikan di ATM NFC. Ketika bank mendeteksi anomali geolokasi, varian baru muncul di tahun 2025: Mereka meyakinkan korban untuk menyetorkan uang mereka ke rekening yang dianggap aman. Dari ATM, sementara penyerang, melalui relai, menunjukkan kartu mereka sendiri; setoran berakhir di tangan penipu dan sistem anti-penipuan melihatnya sebagai transaksi yang sah.

Risiko tambahan: terminal pembayaran kartu, kamera, dan pencurian identitas

Terminal yang dirusak tidak hanya menangkap data yang dibutuhkan melalui NFC, tetapi juga dapat menyimpan log transaksi dan melengkapinya dengan gambar dari kamera tersembunyi. Jika mereka mendapatkan nomor seri dan tanggal kedaluwarsa, beberapa penjual daring yang tidak bertanggung jawab dapat menerima pembelian tanpa faktor verifikasi kedua. Kekuatan bank dan bisnis membuat semua perbedaan.

Secara paralel, telah dijelaskan skenario di mana seseorang diam-diam memotret kartu atau merekamnya dengan ponselnya saat Anda mengeluarkannya dari dompet. Meskipun terdengar sederhana, kebocoran visual ini, jika digabungkan dengan data lain, dapat menyebabkan penipuan identitas, pendaftaran layanan tanpa izin, atau pembelian. Rekayasa sosial melengkapi pekerjaan teknis.

Cara melindungi diri sendiri: langkah-langkah praktis yang benar-benar berhasil

• Tetapkan batas pembayaran nirsentuh: Ini menurunkan jumlah maksimum sehingga, jika terjadi penyalahgunaan, dampaknya lebih kecil.
• Aktifkan biometrik atau PIN di ponsel atau jam tangan Anda: Dengan cara ini, tidak seorang pun dapat membayar dari perangkat Anda tanpa izin Anda.
• Gunakan dompet tokenisasi: Mereka mengganti nomor sebenarnya dengan token, sehingga mencegah kartu Anda terekspos ke pedagang.
• Nonaktifkan pembayaran nirsentuh jika Anda tidak menggunakannya: Banyak entitas yang memperbolehkan Anda menonaktifkan fungsi tersebut pada kartu untuk sementara.
• Matikan NFC ponsel Anda saat tidak membutuhkannya: Ini mengurangi permukaan serangan terhadap aplikasi berbahaya atau pembacaan yang tidak diinginkan.
• Lindungi perangkat Anda: Kunci dengan kata sandi yang kuat, pola aman, atau biometrik, dan jangan tinggalkan tidak terkunci di konter mana pun.
• Selalu perbarui semuanya: sistem, aplikasi, dan firmware; banyak pembaruan yang memperbaiki bug yang mengeksploitasi serangan ini.
• Aktifkan peringatan transaksi: Push dan SMS untuk mendeteksi pergerakan secara real time dan bereaksi secara instan.
• Periksa laporan Anda secara berkala: luangkan waktu seminggu untuk memeriksa tagihan dan menemukan jumlah kecil yang mencurigakan.
• Selalu verifikasi jumlah pada terminal POS: Lihat layar sebelum menutup kartu dan simpan struk pembeliannya.
• Tentukan jumlah maksimum tanpa PIN: Hal ini memaksa autentikasi tambahan pada pembelian sejumlah tertentu.
• Gunakan lengan atau kartu pemblokiran RFID/NFC: Mereka tidaklah sempurna, tetapi mereka meningkatkan usaha penyerang.
• Lebih suka kartu virtual untuk pembelian online: Isi ulang saldo Anda sebelum membayar dan nonaktifkan pembayaran offline jika bank Anda menawarkannya.
• Perbarui kartu virtual Anda secara berkala: Menggantinya setidaknya setahun sekali akan mengurangi risiko jika terjadi kebocoran.
• Hubungkan kartu lain ke dompet Anda selain kartu yang Anda gunakan secara daring: memisahkan risiko antara pembayaran fisik dan online.
• Hindari penggunaan ponsel berkemampuan NFC di ATM: Untuk penarikan atau penyetoran, silakan gunakan kartu fisik.
• Instal perangkat keamanan yang memiliki reputasi baik: Cari fitur perlindungan pembayaran dan pemblokiran phishing di ponsel dan PC.
• Unduh aplikasi hanya dari toko resmi: dan konfirmasikan pengembangnya; waspadalah terhadap tautan melalui SMS atau pesan.
• Di tempat ramai: Simpan kartu Anda di saku bagian dalam atau dompet dengan pelindung dan hindari memaparkannya.
• Untuk bisnis: TI meminta TI untuk meninjau ponsel perusahaan, menerapkan manajemen perangkat, dan memblokir instalasi yang tidak dikenal.

Rekomendasi dari organisasi dan praktik terbaik

• Periksa jumlahnya sebelum membayar: Jangan dekatkan kartu sebelum Anda memverifikasi jumlahnya di terminal.
• Simpan tanda terima: Mereka membantu Anda membandingkan tuduhan dan mengajukan klaim dengan bukti jika ada perbedaan.
• Aktifkan notifikasi dari aplikasi perbankan: Itu adalah tanda peringatan pertama terhadap tuduhan yang tidak dikenali.
• Periksa laporan Anda secara berkala: Deteksi dini mengurangi kerusakan dan mempercepat respons bank.

Jika Anda menduga kartu Anda telah dikloning atau akun Anda telah ditautkan

Hal pertama yang harus dilakukan adalah memblokir kartu kredit kloning Minta nomor baru melalui aplikasi atau hubungi bank. Mintalah penerbit untuk memutuskan tautan dompet seluler terkait yang tidak Anda kenali dan mengaktifkan pemantauan yang ditingkatkan. selain mengubah kata sandi dan memeriksa perangkat Anda.

Pada perangkat seluler Anda, hapus instalasi aplikasi yang tidak Anda ingat pernah diinstal, jalankan pemindaian dengan solusi keamanan Anda, dan jika tanda-tanda infeksi tetap ada, pulihkan ke pengaturan pabrik setelah membuat cadangan. Hindari menginstal ulang dari sumber yang tidak resmi.

Laporkan jika perlu dan kumpulkan bukti (pesan, tangkapan layar, tanda terima). Semakin cepat Anda melaporkannya, semakin cepat bank Anda dapat memulai pengembalian dana dan memblokir pembayaran. Kecepatan adalah kunci untuk menghentikan efek domino.

Kelemahan dari kemudahan nirsentuh adalah penyerang juga beroperasi dalam jarak dekat. Memahami cara kerja mereka—mulai dari crowd skimming hingga menghubungkan kartu ke dompet seluler, Ghost Tap relaying, atau malware yang mencegat NFC—memungkinkan pengambilan keputusan yang tepat: memperketat pembatasan, mewajibkan autentikasi yang kuat, menggunakan tokenisasi, menonaktifkan fitur saat tidak digunakan, memantau pergerakan, dan meningkatkan kebersihan digital. Dengan beberapa penghalang yang kuat, Sangat mungkin untuk menikmati pembayaran nirsentuh sambil meminimalkan risiko.