NFC ir kortelių klonavimas: reali rizika ir kaip blokuoti bekontakčius mokėjimus

Artumo technologijos padarė mūsų gyvenimą patogesnį, tačiau jos taip pat atvėrė naujas duris sukčiams; todėl svarbu suprasti jų apribojimus ir... Įdiekite saugos priemones prieš įvykstant žalai.

Šiame straipsnyje nedvejodami sužinosite, kaip veikia NFC/RFID, kokias gudrybes nusikaltėliai naudoja renginiuose ir žmonių susibūrimo vietose, kokios grėsmės atsirado mobiliuosiuose telefonuose ir mokėjimo terminaluose ir, svarbiausia, Kaip blokuoti arba apriboti bekontakčius mokėjimus, kai jums patoguPradėkime nuo išsamaus vadovo šia tema: NFC ir kortelių klonavimas: reali rizika ir kaip blokuoti bekontakčius mokėjimus.

Kas yra RFID ir ką prideda NFC?

Kad būtų aiškiau: RFID yra viso to pagrindas. Tai sistema, kuri naudoja radijo dažnį žymėms ar kortelėms identifikuoti nedideliu atstumu, ir ji gali veikti dviem būdais. Pasyviame variante žymė neturi baterijos ir Jį aktyvuoja skaitytojo energija.Tai tipiška transporto leidimams, identifikavimui ar produktų ženklinimui. Aktyviojoje versijoje žyma turi bateriją ir gali pasiekti didesnius atstumus, o tai įprasta logistikoje, apsaugos ir automobilių pramonėje.

Paprastai tariant, NFC yra evoliucija, sukurta kasdieniam naudojimui su mobiliaisiais telefonais ir kortelėmis: ji leidžia dvipusį ryšį, yra optimizuota labai trumpiems atstumams ir tapo greitų mokėjimų, prieigos ir duomenų mainų standartu. Didžiausias jo stiprumas – neatidėliotinumas.: priartini ir viskas, neįdėjus kortelės į lizdą.

Kai mokate bekontakčiu būdu, NFC/RFID lustas perduoda reikiamą informaciją pardavėjo mokėjimo terminalui. Tačiau jei mokate mobiliuoju telefonu ar laikrodžiu, esate kitoje lygoje: įrenginys veikia kaip tarpininkas ir prideda saugumo sluoksnius (biometrinius duomenis, PIN kodą, žetonų iššifravimą), kurie... Tai sumažina kortelėje esančių duomenų matomumą..

Bekontaktės kortelės ir mokėjimai įrenginiais

• Bekontaktės fizinės kortelės: Tiesiog pridėkite juos prie terminalo; nedidelėms sumoms PIN kodo gali nereikėti, priklausomai nuo banko ar šalies nustatytų limitų.
• Mokėjimai mobiliuoju telefonu arba laikrodžiu: Jie naudoja skaitmenines pinigines („Apple Pay“, „Google Wallet“, „Samsung Pay“), kurioms paprastai reikia piršto atspaudo, veido atpažinimo arba PIN kodo, o tikrasis numeris pakeičiamas vienkartiniu prieigos raktu. kuris neleidžia pardavėjui matyti jūsų autentiškos kortelės.

Tai, kad abu metodai yra paremti tuo pačiu NFC pagrindu, nereiškia, kad jie kelia tą pačią riziką. Skirtumas slypi terpėje (plastikas, palyginti su įrenginiu) ir papildomose kliūtyse, kurias sukuria išmanusis telefonas. ypač autentifikavimas ir žetonų išdavimas.

Kur ir kaip vyksta bekontakčiai sukčiavimai?

Nusikaltėliai išnaudoja faktą, kad NFC nuskaito duomenis labai trumpu atstumu. Perpildytose vietose – viešajame transporte, koncertuose, sporto renginiuose, mugėse – nešiojamasis skaitytuvas gali pasiekti kišenes ar krepšius nesukeldamas įtarimo ir užfiksuoti informaciją. Šis metodas, vadinamas nuskaitymu, leidžia dubliuoti duomenis, kurie vėliau naudojami pirkiniams ar klonavimui. nors dažnai reikia papildomų veiksmų, kad sukčiavimas būtų veiksmingas.

Kitas vektorius – terminalų manipuliavimas. Modifikuotas mokėjimo terminalas su kenkėjišku NFC skaitytuvu gali saugoti duomenis jums nepastebint, o kartu su paslėptomis kameromis ar paprastu vizualiniu stebėjimu užpuolikai gali gauti svarbią informaciją, pvz., skaitmenis ir galiojimo datas. Gerbiamose parduotuvėse tai reta, tačiau laikinose prekystaliuose rizika padidėja..

Taip pat neturėtume pamiršti tapatybės vagystės: turėdami pakankamai duomenų, nusikaltėliai gali juos naudoti pirkiniams internetu ar operacijoms, kurioms nereikia antro faktoriaus. Kai kurie subjektai užtikrina geresnę apsaugą nei kiti – naudodami stiprų šifravimą ir žetonų iššifravimą, – tačiau, kaip perspėja ekspertai, Kai lustas perduoda duomenis, jame yra sandoriui reikalingi duomenys..

Lygiagrečiai atsirado atakų, kurių tikslas nėra nuskaityti jūsų kortelę gatvėje, o nuotoliniu būdu susieti ją su nusikaltėlio mobiliąja pinigine. Čia pasireiškia didelio masto sukčiavimas, netikros svetainės ir manija gauti vienkartinius slaptažodžius (OTP). kurie yra raktas į operacijų autorizavimą.

Klonavimas, apsipirkimas internetu ir kodėl tai kartais veikia

Kartais užfiksuotuose duomenyse yra visas serijos numeris ir galiojimo data. To gali pakakti pirkimams internetu, jei pardavėjas ar bankas nereikalauja papildomo patvirtinimo. Fiziniame pasaulyje viskas yra sudėtingiau dėl EMV lustų ir kovos su sukčiavimu kontrolės, tačiau kai kurie užpuolikai... Jie bando laimę atlikdami operacijas leidžiamuose terminaluose arba atlikdami mažas sumas.

Nuo masalo iki mokėjimo: pavogtų kortelių susiejimas su mobiliosiomis piniginėmis

Populiarėjanti taktika apima sukčiavimo svetainių tinklų kūrimą (baudos, siuntimas, sąskaitos faktūros, netikros parduotuvės), kurios prašo „patvirtinimo“ arba simbolinio mokėjimo. Auka įveda savo kortelės duomenis ir kartais OTP (vienkartinį mokėjimą). Iš tikrųjų tuo metu niekas neapmokestinama: duomenys siunčiami užpuolikui, kuris tada bando... susiekite tą kortelę su „Apple Pay“ arba „Google“ pinigine kaip galima greičiau.

Siekdamos pagreitinti procesą, kai kurios grupės sukuria skaitmeninį vaizdą, kuris atkartoja kortelę su aukos duomenimis, „nufotografuoja“ ją iš piniginės ir užbaigia susiejimą, jei bankui reikia tik numerio, galiojimo datos, turėtojo, CVV ir OTP. Viskas gali įvykti per vieną sesiją..

Įdomu tai, kad jie ne visada išleidžia pinigus iš karto. Jie sukaupia dešimtis susietų kortelių telefone ir perparduoda jį tamsiajame internete. Po kelių savaičių pirkėjas naudos tą įrenginį, kad atsiskaitytų fizinėse parduotuvėse bekontakčiu būdu arba priimtų mokėjimus už neegzistuojančius produktus savo parduotuvėje legalioje platformoje. Daugeliu atvejų POS terminale neprašoma PIN kodo ar vienkartinio slaptažodžio..

Yra šalių, kuriose netgi galima išsigryninti grynuosius pinigus iš NFC palaikančių bankomatų naudojantis mobiliuoju telefonu, taip pridedant dar vieną monetizacijos būdą. Tuo tarpu auka gali net neprisiminti nepavykusio mokėjimo bandymo toje svetainėje ir nepastebės jokių „keistų“ mokesčių, kol nebus per vėlu. nes pirmasis nesąžiningas panaudojimas įvyksta daug vėliau.

„Ghost Tap“: perdavimas, kuris apgauna kortelių skaitytuvą

Kita saugumo forumuose aptariama technika yra NFC perdavimas, pravardžiuojamas „Ghost Tap“. Jis pagrįstas dviem mobiliaisiais telefonais ir teisėtomis testavimo programėlėmis, tokiomis kaip „NFCGate“: viename laikoma piniginė su pavogtomis kortelėmis; kitas, prijungtas prie interneto, parduotuvėje veikia kaip „ranka“. Signalas iš pirmojo telefono perduodamas realiuoju laiku, o mulas priartina antrąjį telefoną prie kortelių skaitytuvo. kuris sunkiai atskiria originalų ir pakartotinai perduotą signalą.

Šis triukas leidžia keliems mulams beveik vienu metu mokėti ta pačia kortele, o jei policija patikrina mulo telefoną, jie mato tik teisėtą programėlę be jokių kortelių numerių. Neskelbtini duomenys yra kitame įrenginyje, galbūt kitoje šalyje. Ši schema apsunkina priskyrimą ir pagreitina pinigų plovimą..

Mobiliųjų įrenginių kenkėjiškos programos ir „NGate“ atvejis: kai jūsų telefonas vagia jūsų vardu

Saugumo tyrėjai dokumentavo kampanijas Lotynų Amerikoje, tokias kaip „NGate“ sukčiavimas Brazilijoje, kai netikra „Android“ bankininkystės programėlė ragina vartotojus aktyvuoti NFC ir „priartinti kortelę“ prie telefono. Kenkėjiška programa perima ryšį ir siunčia duomenis užpuolikui, kuris tada imituoja kortelę, kad atliktų mokėjimus arba išsiimtų pinigus. Tereikia, kad vartotojas pasitikėtų netinkama programėle..

Rizika būdinga ne tik vienai šaliai. Tokiose rinkose kaip Meksika ir likusi regiono dalis, kur vis daugiau naudojamasi mokėjimais naudojantis nuotoliniu būdu ir daugelis vartotojų diegia programas iš abejotinų nuorodų, dirva tam yra derlinga. Nors bankai stiprina savo kontrolę, Kenkėjiški veikėjai greitai iteruoja ir išnaudoja bet kokią klaidą..

Kaip šie sukčiai veikia žingsnis po žingsnio

1. Atvyksta spąstų įspėjimas: žinutė arba el. laiškas, kuriame „reikalaujama“ atnaujinti banko programėlę naudojant nuorodą.
2. Įdiegiate klonuotą programėlę: Atrodo tikra, bet kenkėjiška ir prašo NFC leidimų.
3. Prašoma priartinti kortelę: arba įjunkite NFC operacijos metu ir ten užfiksuokite duomenis.
4. Užpuolikas imituoja jūsų kortelę: ir atlieka mokėjimus arba išėmimus, kuriuos sužinosite vėliau.

Be to, 2024 m. pabaigoje atsirado dar vienas posūkis: sukčiavimo programėlės, kurios prašo vartotojų laikyti kortelę prie telefono ir įvesti PIN kodą „kad ją patvirtintų“. Tada programėlė perduoda informaciją nusikaltėliui, kuris atlieka pirkimus arba išsiima pinigus NFC bankomatuose. Kai bankai aptiko geolokacijos anomalijų, 2025 m. pasirodė naujas variantas: Jie įtikina auką pervesti pinigus į tariamai saugią sąskaitą. Iš bankomato, užpuolikui per tarpinį ryšį pateikiant savo kortelę, įnešta suma patenka į sukčiaus rankas, o kovos su sukčiavimu sistema ją laiko teisėta operacija.

Papildomos rizikos: kortelių mokėjimo terminalai, kameros ir tapatybės vagystė

Šie terminalai ne tik fiksuoja reikiamus duomenis per NFC, bet ir gali saugoti operacijų žurnalus, papildydami juos vaizdais iš paslėptų kamerų. Gavę serijos numerį ir galiojimo datą, kai kurie nesąžiningi internetiniai mažmenininkai gali priimti pirkimus be antro patvirtinimo faktoriaus. Banko ir verslo stiprybė daro viską.

Lygiagrečiai buvo aprašyti scenarijai, kai kažkas diskretiškai nufotografuoja kortelę arba įrašo ją mobiliuoju telefonu, kai jūs ją išimate iš piniginės. Nors tai gali skambėti banaliai, šie vizualiniai nutekėjimai kartu su kitais duomenimis gali lemti tapatybės sukčiavimą, neteisėtą registraciją paslaugose ar pirkimus. Socialinė inžinerija užbaigia techninį darbą.

Kaip apsisaugoti: praktiškos priemonės, kurios iš tikrųjų veikia

• Nustatykite bekontakčio mokėjimo limitus: Ja sumažinamos maksimalios sumos, kad netinkamo naudojimo atveju poveikis būtų mažesnis.
• Aktyvuokite biometrinius duomenis arba PIN kodą savo mobiliajame telefone arba laikrodyje: Tokiu būdu niekas negalės mokėti iš jūsų įrenginio be jūsų leidimo.
• Naudokite žetonines pinigines: Jie pakeičia tikrąjį numerį žetonu, taip išvengdami jūsų kortelės atskleidimo pardavėjui.
• Išjunkite bekontakčio mokėjimo funkciją, jei jos nenaudojate: Daugelis subjektų leidžia laikinai išjungti šią funkciją kortelėje.
• Išjunkite telefono NFC, kai jo nereikia: Tai sumažina atakų paviršių prieš kenkėjiškas programas ar nepageidaujamus skaitymus.
• Apsaugokite savo įrenginį: Užrakinkite jį stipriu slaptažodžiu, saugiu šablonu arba biometrija ir nepalikite jo atrakinto ant jokio prekystalio.
• Viską atnaujinkite: sistema, programos ir programinė-aparatinė įranga; daugelis atnaujinimų ištaiso klaidas, kurios išnaudoja šias atakas.
• Įjungti operacijų įspėjimus: Paspauskite ir siųskite SMS žinutes, kad realiuoju laiku aptiktumėte judesius ir akimirksniu reaguotumėte.
• Reguliariai tikrinkite savo pareiškimus: Kas savaitę skirkite laiko mokesčiams patikrinti ir įtartinoms nedidelėms sumoms nustatyti.
• Visada patikrinkite sumą POS terminale: Prieš priartindami kortelę, pažiūrėkite į ekraną ir išsaugokite kvitą.
• Apibrėžkite maksimalias sumas be PIN kodo: Tai priverčia atlikti papildomą autentifikavimą perkant už tam tikrą sumą.
• Naudokite RFID/NFC blokavimo įmautes arba korteles: Jie nėra neklystantys, bet padidina puolėjo pastangas.
• Pirmenybę teikite virtualioms kortelėms pirkiniams internetu: Papildykite sąskaitą prieš pat mokėdami ir išjunkite mokėjimus neprisijungus, jei jūsų bankas tai siūlo.
• Dažnai atnaujinkite savo virtualią kortelę: Keičiant bent kartą per metus, sumažėja sąlytis su vandeniu, jei jis nutekės.
• Prijunkite prie savo piniginės kitą kortelę nei ta, kurią naudojate internete: atskiria fizinių ir internetinių mokėjimų riziką.
• Venkite naudoti NFC palaikiusius telefonus bankomatuose: Pinigų išėmimui ar įnešimui naudokite fizinę kortelę.
• Įdiekite patikimą saugos paketą: Mobiliuosiuose įrenginiuose ir asmeniniuose kompiuteriuose ieškokite mokėjimų apsaugos ir sukčiavimo blokavimo funkcijų.
• Programėles siųskite tik iš oficialių parduotuvių: ir patvirtinkite kūrėją; būkite atsargūs dėl nuorodų, siunčiamų SMS žinutėmis ar žinutėmis.
• Perpildytose vietose: Laikykite korteles apsaugotoje vidinėje kišenėje arba piniginėje ir venkite jų matomumo.
• Verslui: IT prašo IT peržiūrėti įmonės mobiliuosius telefonus, pritaikyti įrenginių valdymą ir blokuoti nežinomus diegimus.

Organizacijų rekomendacijos ir geriausia praktika

• Prieš mokėdami patikrinkite sumą: Nepriartinkite kortelės, kol nepatikrinsite sumos terminale.
• Išsaugokite kvitus: Jie padeda palyginti kaltinimus ir pateikti ieškinius su įrodymais, jei yra neatitikimų.
• Įjunkite pranešimus iš bankininkystės programėlės: Tai pirmasis įspėjamasis ženklas apie neatpažintą mokestį.
• Reguliariai tikrinkite savo pareiškimus: Ankstyvas aptikimas sumažina žalą ir pagreitina banko reakciją.

Jei įtariate, kad jūsų kortelė buvo nukopijuota arba jūsų paskyra buvo susieta

Pirmas dalykas – užblokuoti klonuota kredito kortelė Programėlėje arba paskambinę į banką, užsisakykite naują numerį. Paprašykite išdavėjo atjungti visas susietas mobiliąsias pinigines, kurių neatpažįstate, ir įjungti sustiprintą stebėjimą. be slaptažodžių keitimo ir įrenginių tikrinimo.

Mobiliajame įrenginyje pašalinkite programas, kurių neprisimenate įdiegę, paleiskite nuskaitymą naudodami savo saugos sprendimą ir, jei infekcijos požymių išlieka, atkurkite gamyklinius nustatymus, padarę atsarginę kopiją. Venkite pakartotinio diegimo iš neoficialių šaltinių.

Jei reikia, pateikite ataskaitą ir surinkite įrodymus (žinutes, ekrano kopijas, kvitus). Kuo greičiau apie tai pranešite, tuo greičiau jūsų bankas galės inicijuoti grąžinimus ir blokuoti mokėjimus. Greitis yra raktas į domino efekto sustabdymą.

Bekontakčio patogumo trūkumas yra tas, kad užpuolikai taip pat veikia arti vienas kito. Supratimas, kaip jie veikia – nuo ​​minios nuskaitymo iki kortelių susiejimo su mobiliosiomis piniginėmis, „Ghost Tap“ perdavimo ar kenkėjiškų programų, kurios perima NFC, – leidžia priimti pagrįstus sprendimus: griežtinti apribojimus, reikalauti stipraus autentifikavimo, naudoti žetonų išsaugojimą, išjungti funkcijas, kai jos nenaudojamos, stebėti judesius ir gerinti skaitmeninę higieną. Įdiegus keletą tvirtų barjerų, Visiškai įmanoma mėgautis bekontakčiais mokėjimais, sumažinant riziką.