NFC og klónun korta: raunveruleg áhætta og hvernig á að loka fyrir snertilausar greiðslur

Nálægðartækni hefur gert líf okkar þægilegra, en hún hefur einnig opnað nýjar dyr fyrir svindlara; þess vegna er mikilvægt að skilja takmarkanir hennar og Gerið öryggisráðstafanir áður en tjónið verður í raun.

Í þessari grein munt þú, án þess að fara í kringum rætur, komast að því hvernig NFC/RFID virkar, hvaða brögð glæpamenn nota á viðburðum og í fjölmennum stöðum, hvaða ógnir hafa komið upp í farsímum og greiðslustöðvum og umfram allt, Hvernig á að loka fyrir eða draga úr snertilausum greiðslum þegar þér hentarByrjum á ítarlegri leiðbeiningum um: NFC og klónun korta: raunveruleg áhætta og hvernig á að loka fyrir snertilausar greiðslur.

Hvað er RFID og hvað bætir NFC við?

Til að setja hlutina í samhengi: RFID er grunnurinn að öllu saman. Þetta er kerfi sem notar útvarpsbylgjur til að bera kennsl á merki eða kort á stuttum vegalengdum og það getur virkað á tvo vegu. Í óvirku útgáfunni er merkið ekki með rafhlöðu og Það er virkjað af orku lesandans.Þetta er dæmigert fyrir flutningspassa, auðkenningu eða vörumerkingar. Í virkri útgáfu inniheldur merkið rafhlöðu og nær lengra, sem er algengt í flutningum, öryggismálum og bílaiðnaði.

Einfaldlega sagt er NFC þróun sem hönnuð er til daglegrar notkunar með farsímum og kortum: það gerir kleift að eiga tvíátta samskipti, er fínstillt fyrir mjög stuttar vegalengdir og hefur orðið staðallinn fyrir hraðar greiðslur, aðgang og gagnaskipti. Mesti styrkur þess er tafarlausni.: þú færir það nálægt og það er það, án þess að setja kortið í raufina.

Þegar þú borgar með snertilausu korti sendir NFC/RFID flís nauðsynlegar upplýsingar til greiðslustöðvar söluaðilans. Hins vegar, ef þú borgar með farsímanum þínum eða úri, þá ertu í annarri deild: tækið virkar sem milliliður og bætir við öryggislögum (líffræðilegum gögnum, PIN-númeri, auðkenningu), sem... Það dregur úr birtingu raunverulegra gagna kortsins..

Snertilaus kort á móti greiðslum með tækjum

• Tarjetas físicas sin contacto: Einfaldlega færið þau nálægt posanum; fyrir litlar upphæðir gæti PIN-númer ekki verið krafist, allt eftir takmörkunum sem bankinn eða landið setur.
• Greiðslur með farsíma eða úri: Þeir nota stafræn veski (Apple Pay, Google Wallet, Samsung Pay) sem krefjast venjulega fingrafara, andlits- eða PIN-númers og skipta út raunverulegu númerinu fyrir einnota tákn. sem kemur í veg fyrir að söluaðilinn sjái ekta kortið þitt.

Sú staðreynd að báðar aðferðirnar nota sama NFC grunn þýðir ekki að þær feli í sér sömu áhættu. Munurinn liggur í miðlinum (plast á móti tæki) og í þeim viðbótarhindrunum sem snjallsíminn bætir við. sérstaklega auðkenning og auðkenning.

Hvar og hvernig eiga snertilaus svik sér stað?

Glæpamenn nýta sér þá staðreynd að NFC-lestur á sér stað á mjög stuttri færi. Á fjölmennum stöðum – almenningssamgöngum, tónleikum, íþróttaviðburðum, markaði – getur flytjanlegur lesandi nálgast vasa eða töskur án þess að vekja grunsemdir og safnað upplýsingum. Þessi aðferð, þekkt sem skimming, gerir kleift að afrita gögn sem síðan eru notuð til kaupa eða klónunar. þótt oft þurfi frekari skref til að gera svikin árangursrík.

Önnur leið er að stýra greiðslum. Breyttur greiðslustaður með illgjarnri NFC-lesara getur geymt gögn án þess að þú takir eftir því, og ef hann er notaður með földum myndavélum eða einföldum sjónrænum athugunum geta árásarmenn fengið lykilupplýsingar eins og tölur og gildistíma. Það er sjaldgæft í virtum verslunum, en hættan eykst í bráðabirgðabásum..

Við ættum heldur ekki að gleyma auðkennisþjófnaði: með nægum gögnum geta glæpamenn notað þau til netkaupa eða viðskipta sem krefjast ekki annars þáttar. Sumir aðilar veita betri vörn en aðrir — nota sterka dulkóðun og auðkenningu — en eins og sérfræðingar vara við, Þegar örgjörvinn sendir eru nauðsynleg gögn fyrir færsluna til staðar..

Samhliða því hafa komið fram árásir sem miða ekki að því að lesa kortið þitt á götunni, heldur að tengja það við farsímaveski glæpamannsins í fjarska. Þá koma stórfelld netveiðar, falsaðar vefsíður og þráhyggjan við að fá einnota lykilorð (OTP) við sögu. sem eru lykillinn að því að heimila aðgerðir.

Klónun, netverslun og hvers vegna það virkar stundum

Stundum innihalda gögnin sem eru tekin upp fullt raðnúmer og gildistíma. Það gæti verið nóg fyrir netkaup ef söluaðilinn eða bankinn krefst ekki frekari staðfestingar. Í hinum raunverulega heimi eru hlutirnir flóknari vegna EMV-flögu og svikavarna, en sumir árásarmenn... Þeir freista gæfunnar með viðskiptum á leyfilegum posum eða með litlum upphæðum.

Frá beitu til greiðslu: að tengja stolin kort við farsímaveski

Vaxandi aðferð felst í því að setja upp net sviksamlegra vefsíðna (sektir, sendingarkostnaður, reikningar, falsa verslanir) sem biðja um „staðfestingu“ eða tákngreiðslu. Fórnarlambið slær inn kortaupplýsingar sínar og stundum eingreiðslu (OTP). Í raun er ekkert rukkað á þeirri stundu: gögnin eru send til árásarmannsins, sem reynir síðan að... tengdu kortið við Apple Pay eða Google Wallet lo antes posible.

Til að flýta fyrir málum búa sumir hópar til stafræna mynd sem afritar kortið með gögnum fórnarlambsins, „ljósmynda“ það úr veskinu og ljúka tengingunni ef bankinn þarfnast aðeins númersins, gildistíma, handhafa, CVV og einnota lykilorðs. Allt getur gerst í einni lotu..

Athyglisvert er að þeir eyða ekki alltaf strax. Þeir safna tugum tengdra korta í síma og selja hann áfram á dökka vefnum. Vikum síðar notar kaupandi tækið til að greiða í líkamlegum verslunum með snertilausum hætti eða til að innheimta greiðslu fyrir vörur sem eru ekki til í eigin verslun innan lögmæts kerfis. Í mörgum tilfellum er ekki beðið um PIN-númer eða einnota númer við posann..

Það eru lönd þar sem þú getur jafnvel tekið út reiðufé úr hraðbönkum með NFC-tækni með farsímanum þínum, og bætt við annarri tekjuöflunaraðferð. Á sama tíma gæti fórnarlambið ekki einu sinni munað eftir misheppnaðri greiðslutilraun á þeirri vefsíðu og mun ekki taka eftir neinum „undarlegum“ gjöldum fyrr en það er of seint. því fyrsta sviksamlega notkunin á sér stað miklu síðar.

Ghost Tap: sendingin sem blekkir kortalesarann

Önnur aðferð sem rædd er á öryggisvettvangi er NFC-miðlun, kölluð Ghost Tap. Hún byggir á tveimur farsímum og lögmætum prófunarforritum eins og NFCGate: annar geymir veskið með stolnum kortum; hinn, tengdur við internetið, virkar sem „hönd“ í versluninni. Merkið frá fyrri símanum er sent í rauntíma og múlinn færir seinni símann nær kortalesaranum. sem ekki greinir auðveldlega á milli upprunalegs og endursents merkis.

Bragðið gerir nokkrum múldýrum kleift að greiða nánast samtímis með sama kortinu og ef lögreglan athugar síma múldýrsins sér hún aðeins löglegt app án kortanúmera. Viðkvæmu gögnin eru á hinu tækinu, hugsanlega í öðru landi. Þessi aðferð flækir tilvísun og flýtir fyrir peningaþvætti..

Farsímaspilliforrit og NGate málið: þegar síminn þinn stelur fyrir þig

Öryggisrannsakendur hafa skjalfest herferðir í Rómönsku Ameríku — eins og NGate-svikamylluna í Brasilíu — þar sem falsa Android bankaforrit hvetur notendur til að virkja NFC og „færa kortið sitt nærri“ símanum. Spilliforritið grípur samskiptin og sendir gögnin til árásarmannsins, sem hermir síðan eftir kortinu til að framkvæma greiðslur eða úttektir. Það eina sem þarf er að notandinn treysti röngu forritinu..

Áhættan er ekki bundin við eitt land. Á mörkuðum eins og Mexíkó og öðrum svæðum, þar sem notkun nálægðargreiðslna er að aukast og margir notendur setja upp öpp frá vafasömum tenglum, er jarðvegurinn frjósamur. Þó að bankar séu að styrkja eftirlit sitt, Illgjarnir aðilar endurtaka sig hratt og nýta sér öll mistök..

Hvernig þessi svindl virka skref fyrir skref

1. Viðvörun um gildru berst: skilaboð eða tölvupóst sem „krefst þess“ að þú uppfærir app bankans með hlekk.
2. Þú setur upp klónað forrit: Það lítur út fyrir að vera raunverulegt en það er illgjarnt og biður um NFC-heimildir.
3. Það biður þig um að færa kortið nærri þér: eða virkja NFC meðan á aðgerð stendur og safna gögnunum þar.
4. Árásarmaðurinn hermir eftir kortinu þínu: og framkvæmir greiðslur eða úttektir, sem þú munt uppgötva síðar.

Ennfremur kom upp önnur breyting í lok árs 2024: svikaforrit sem biðja notendur um að halda kortinu sínu nálægt símanum og slá inn PIN-númerið sitt „til að staðfesta það.“ Forritið sendir síðan upplýsingarnar til glæpamannsins, sem kaupir eða tekur út peninga í NFC-hraðbönkum. Þegar bankar greindu frávik í staðsetningu birtist ný útgáfa árið 2025: Þeir sannfæra fórnarlambið um að leggja peningana sína inn á reikning sem er talinn öruggur. Frá hraðbanka, á meðan árásaraðilinn, í gegnum millifærslu, framvísar eigin korti; innleggið endar í höndum svikarans og svikavörnin lítur á það sem lögmæta færslu.

Aukin áhætta: greiðslustöðvar með korti, myndavélar og auðkennisþjófnaður

Póstarnir sem hafa verið fíflaðir fanga ekki aðeins það sem þeir þurfa með NFC, heldur geta þeir einnig geymt viðskiptaskrár og bætt við þær myndum úr földum myndavélum. Ef þeir fá raðnúmerið og gildistíma gætu ákveðnir óheiðarlegir netverslanir samþykkt kaup án annars staðfestingarþáttar. Styrkur bankans og fyrirtækisins skiptir öllu máli..

Samhliða þessu hefur verið lýst atburðarásum þar sem einhver tekur ljósmynd af korti eða tekur það upp með farsímanum sínum á meðan þú tekur það úr veskinu. Þótt það hljómi kannski einfalt geta þessir sjónrænu lekar, ásamt öðrum gögnum, leitt til auðkennissvika, óheimilra skráninga í þjónustu eða kaupa. Félagsverkfræði lýkur tæknilegu verkinu.

Hvernig á að vernda sjálfan sig: Hagnýt ráð sem virka í raun

• Settu takmörk á snertilausum greiðslum: Það lækkar hámarksupphæðirnar þannig að ef misnotkun á sér stað, þá eru áhrifin minni.
• Virkjaðu líffræðileg auðkenningu eða PIN-númer í farsímanum þínum eða úrinu: Þannig getur enginn greitt úr tækinu þínu án þíns leyfis.
• Notaðu táknuð veski: Þeir skipta út raunverulegu númerinu fyrir tákn og koma í veg fyrir að kortið þitt komist í ljós fyrir söluaðilanum.
• Slökktu á snertilausri greiðslu ef þú notar hana ekki: Margar aðilar leyfa þér að slökkva tímabundið á þessum eiginleika á kortinu.
• Slökktu á NFC í símanum þegar þú þarft ekki á því að halda: Það dregur úr árásarfleti gegn skaðlegum forritum eða óæskilegum lestrum.
• Verndaðu tækið þitt: Læstu því með sterku lykilorði, öruggu mynstri eða líffræðilegum auðkenningum og skildu það ekki eftir ólæst á neinum afgreiðsluborði.
• Haltu öllu uppfærðu: kerfi, forrit og vélbúnaðar; margar uppfærslur laga villur sem nýta sér þessar árásir.
• Virkja færsluviðvaranir: Ýttu og sendu SMS til að greina hreyfingar í rauntíma og bregðast strax við.
• Athugaðu yfirlitin þín reglulega: helga vikulega stund til að athuga gjöld og finna grunsamlegar litlar upphæðir.
• Staðfestið alltaf upphæðina á posanum: Horfðu á skjáinn áður en þú nærð í kortið og geymdu kvittunina.
• Skilgreina hámarksupphæðir án PIN-númers: Þetta neyðir til viðbótarauðkenningar við kaup upp á ákveðna upphæð.
• Notið ermahylki eða kort sem eru lokuð fyrir RFID/NFC: Þau eru ekki óskeikul, en þau auka álag árásarmannsins.
• Kjósið frekar sýndarkort fyrir netkaup: Bættu við stöðuna rétt áður en þú greiðir og slökktu á greiðslum án nettengingar ef bankinn þinn býður upp á það.
• Endurnýjaðu sýndarkortið þitt oft: Að skipta um það að minnsta kosti einu sinni á ári dregur úr útsetningu ef það lekur.
• Tengdu annað kort við veskið þitt en það sem þú notar á netinu: aðgreinir áhættu á milli líkamlegra greiðslna og netgreiðslna.
• Forðist að nota NFC-virka síma í hraðbönkum: Vinsamlegast notið hefðbundið kort fyrir úttektir eða innlán.
• Settu upp virta öryggispakka: Leitaðu að greiðsluvörn og aðgerðum til að loka fyrir netveiðar í farsímum og tölvum.
• Sæktu aðeins forrit úr opinberum verslunum: og staðfesta forritarann; vertu varkár með tengla í gegnum SMS eða skilaboð.
• Í fjölmennum rýmum: Geymið kortin ykkar í innri vasa eða veski með vernd og forðist að þau komist í ljós.
• Para empresas: Upplýsingatæknideildin biður hana um að fara yfir farsíma fyrirtækisins, beita tækjastjórnun og loka fyrir óþekktar uppsetningar.

Tillögur frá samtökum og bestu starfsvenjur

• Athugaðu upphæðina áður en þú greiðir: Ekki koma með kortið nálægt þér fyrr en þú hefur staðfest upphæðina í posanum.
• Geymið kvittanir: Þeir hjálpa þér að bera saman ákærur og leggja fram kröfur með sönnunargögnum ef ósamræmi er til staðar.
• Virkja tilkynningar úr bankaforritinu: Þau eru fyrsta viðvörunarmerki þitt um óþekkta gjaldfærslu.
• Athugaðu yfirlitin þín reglulega: Snemmbúin uppgötvun dregur úr tjóni og flýtir fyrir viðbrögðum bankans.

Ef þú grunar að kortið þitt hafi verið klónað eða að reikningurinn þinn hafi verið tengdur

Það fyrsta er að loka fyrir klónað kreditkort Óskaðu eftir nýju númeri í gegnum appið eða með því að hringja í bankann. Biddu útgefandann um að aftengja öll tengd farsímaveski sem þú þekkir ekki og virkja aukið eftirlit. auk þess að breyta lykilorðum og athuga tækin þín.

Í snjalltækinu þínu skaltu fjarlægja forrit sem þú manst ekki eftir að hafa sett upp, keyra skönnun með öryggislausninni þinni og ef merki um sýkingu halda áfram skaltu endurheimta í verksmiðjustillingar eftir að hafa tekið afrit. Forðastu að endursetja úr óopinberum aðilum.

Sendu inn skýrslu ef þörf krefur og safnaðu sönnunargögnum (skilaboðum, skjámyndum, kvittunum). Því fyrr sem þú tilkynnir, því fyrr getur bankinn þinn hafið endurgreiðslur og lokað á greiðslur. Hraði er lykillinn að því að stöðva dómínóáhrifin.

Ókosturinn við snertilausa þægindi er að árásarmenn starfa einnig í nálægð við aðra. Að skilja hvernig þeir virka - allt frá því að lesa yfir netkort til að tengja kort við farsímaveski, senda Ghost Tap eða spilliforrit sem grípa NFC - gerir kleift að taka upplýstar ákvarðanir: herða takmarkanir, krefjast sterkrar auðkenningar, nota auðkenningu, slökkva á eiginleikum þegar þeir eru ekki í notkun, fylgjast með hreyfingum og bæta stafræna hreinlæti. Með nokkrum traustum hindrunum til staðar, Það er fullkomlega mögulegt að njóta snertilausra greiðslna og lágmarka áhættu.