NFC un karšu klonēšana: reāli riski un kā bloķēt bezkontakta maksājumus

Tuvuma tehnoloģijas ir padarījušas mūsu dzīvi ērtāku, taču tās ir arī pavērušas jaunas durvis krāpniekiem; tāpēc ir svarīgi saprast to ierobežojumus un... Ieviesiet drošības pasākumus, pirms bojājumi faktiski rodas.

Šajā rakstā jūs bez liekas informācijas uzzināsiet, kā darbojas NFC/RFID, kādus trikus noziedznieki izmanto pasākumos un pārpildītās vietās, kādi draudi ir parādījušies mobilajos tālruņos un maksājumu termināļos un, pats galvenais, Kā bloķēt vai mazināt bezkontakta maksājumu ietekmi, kad tas jums ir ērtiSāksim ar pilnīgu rokasgrāmatu par: NFC un karšu klonēšana: reāli riski un kā bloķēt bezkontakta maksājumus.

Kas ir RFID un ko pievieno NFC?

Lai visu aplūkotu perspektīvā: RFID ir visa pamatā. Tā ir sistēma, kas izmanto radiofrekvences, lai identificētu birkas vai kartes nelielos attālumos, un tā var darboties divos veidos. Pasīvajā variantā birkai nav akumulatora un To aktivizē lasītāja enerģija.Tas ir tipisks transporta caurlaidēm, identifikācijai vai produktu marķēšanai. Aktīvajā versijā birka ietver akumulatoru un sasniedz lielākus attālumus, kas ir izplatīts loģistikā, drošībā un autobūves nozarē.

Vienkārši sakot, NFC ir evolūcija, kas paredzēta ikdienas lietošanai ar mobilajiem tālruņiem un kartēm: tā nodrošina divvirzienu saziņu, ir optimizēta ļoti nelieliem attālumiem un ir kļuvusi par standartu ātrai samaksai, piekļuvei un datu apmaiņai. Tās lielākais spēks ir tūlītēja rīcība.: jūs to pieliekat tuvu, un tas arī viss, neievietojot karti slotā.

Veicot maksājumu ar bezkontakta karti, NFC/RFID mikroshēma pārsūta nepieciešamo informāciju tirgotāja maksājumu terminālim. Tomēr, ja maksājat ar mobilo tālruni vai pulksteni, jūs esat citā līgā: ierīce darbojas kā starpnieks un pievieno drošības slāņus (biometriskos datus, PIN kodu, tokenizāciju), kas… Tas samazina kartes faktisko datu ekspozīciju..

Bezkontakta kartes salīdzinājumā ar maksājumiem ar ierīcēm

• Fiziskas bezkontakta kartes: Vienkārši novietojiet tos termināla tuvumā; nelielām summām PIN kods var nebūt nepieciešams atkarībā no bankas vai valsts noteiktajiem limitiem.
• Maksājumi ar mobilo tālruni vai pulksteni: Viņi izmanto digitālos makus (Apple Pay, Google Wallet, Samsung Pay), kuriem parasti ir nepieciešams pirkstu nospiedums, sejas atpazīšana vai PIN kods, un īsto numuru aizstāj ar vienreiz lietojamu žetonu. kas neļauj tirgotājam redzēt jūsu autentisko karti.

Tas, ka abām metodēm ir viens un tas pats NFC pamats, nenozīmē, ka tās rada vienādus riskus. Atšķirība ir vidē (plastmasa pret ierīci) un viedtālruņa radītajos papildu šķēršļos. īpaši autentifikācija un tokenizācija.

Kur un kā notiek bezkontakta krāpniecība?

Noziedznieki izmanto faktu, ka NFC nolasīšana notiek ļoti nelielā attālumā. Pārpildītās vietās — sabiedriskajā transportā, koncertos, sporta pasākumos, gadatirgos — pārnēsājams lasītājs var piekļūt kabatām vai somām, neradot aizdomas, un uztvert informāciju. Šī metode, kas pazīstama kā datu nolasīšana, ļauj dublēt datus, kurus pēc tam izmanto pirkumiem vai klonēšanai. lai gan bieži vien ir nepieciešami papildu pasākumi, lai krāpšana būtu efektīva.

Vēl viens veids ir termināļu manipulācija. Modificēts maksājumu terminālis ar ļaunprātīgu NFC lasītāju var saglabāt datus nemanot, un, ja to apvieno ar slēptajām kamerām vai vienkāršu vizuālu novērošanu, uzbrucēji var iegūt svarīgu informāciju, piemēram, ciparus un derīguma termiņus. Cienījamos veikalos tas ir reti sastopams, bet pagaidu kioskos risks palielinās..

Tāpat nevajadzētu aizmirst par identitātes zādzību: ar pietiekami daudz datu noziedznieki tos var izmantot tiešsaistes pirkumiem vai darījumiem, kuriem nav nepieciešams otrais faktors. Dažas struktūras nodrošina labāku aizsardzību nekā citas, izmantojot spēcīgu šifrēšanu un tokenizāciju, taču, kā brīdina eksperti, Kad mikroshēma pārraida, ir pieejami darījumam nepieciešamie dati..

Paralēli ir parādījušies uzbrukumi, kuru mērķis nav nolasīt jūsu karti uz ielas, bet gan attālināti sasaistīt to ar noziedznieka paša mobilo maku. Šeit spēlē lomu liela mēroga pikšķerēšana, viltotas tīmekļa vietnes un apsēstība ar vienreizējās paroles (OTP) iegūšanu. kas ir galvenais operāciju autorizēšanai.

Klonēšana, iepirkšanās tiešsaistē un kāpēc tā dažreiz darbojas

Dažreiz iegūtie dati ietver pilnu sērijas numuru un derīguma termiņu. Ar to var pietikt tiešsaistes pirkumiem, ja tirgotājs vai banka neprasa papildu verifikāciju. Fiziskajā pasaulē lietas ir sarežģītākas EMV mikroshēmu un krāpšanas apkarošanas kontroles dēļ, taču daži uzbrucēji Viņi izmēģina veiksmi ar darījumiem atļaujošos termināļos vai ar nelielām summām.

No ēsmas līdz maksājumam: nozagtu karšu piesaistīšana mobilajiem makiem

Arvien biežāk sastopama taktika ietver krāpniecisku tīmekļa vietņu tīklu izveidi (sodi, piegādes maksa, rēķini, viltoti veikali), kas pieprasa "verifikāciju" vai simbolisku maksājumu. Cietušais ievada savas kartes datus un dažreiz OTP (vienreizēju maksājumu). Patiesībā tajā brīdī nekas netiek iekasēts: dati tiek nosūtīti uzbrucējam, kurš pēc tam mēģina... piesaistiet šo karti savam Apple Pay vai Google Wallet kontam pēc iespējas ātrāk.

Lai paātrinātu procesu, dažas grupas ģenerē digitālu attēlu, kas replicē karti ar upura datiem, "nofotografē" to no maka un pabeidz saistīšanu, ja bankai ir nepieciešams tikai numurs, derīguma termiņš, turētājs, CVV un OTP. Viss var notikt vienas sesijas laikā..

Interesanti, ka viņi ne vienmēr iztērē naudu nekavējoties. Viņi uzkrāj desmitiem saistītu karšu tālrunī un pārdod to tālāk tumšajā tīmeklī. Pēc nedēļām pircējs izmantos šo ierīci, lai norēķinātos fiziskajos veikalos, izmantojot bezkontakta maksājumus, vai lai savā veikalā likumīgā platformā iekasētu samaksu par neesošām precēm. Daudzos gadījumos POS terminālī netiek pieprasīts PIN kods vai vienreizējais parole..

Ir valstis, kurās, izmantojot mobilo tālruni, var izņemt skaidru naudu pat no NFC iespējotiem bankomātiem, tādējādi pievienojot vēl vienu monetizācijas metodi. Tikmēr upuris var pat neatcerēties neveiksmīgo maksājuma mēģinājumu šajā vietnē un nepamanīs nekādas "dīvainas" maksas, līdz būs par vēlu. jo pirmā krāpnieciskā izmantošana notiek daudz vēlāk.

Ghost Tap: pārraide, kas apmāna karšu lasītāju

Vēl viena drošības forumos apspriesta metode ir NFC relejs, ko iesauc par Ghost Tap. Tā balstās uz diviem mobilajiem tālruņiem un likumīgām testēšanas lietotnēm, piemēram, NFCGate: vienā atrodas maks ar nozagtām kartēm; otrs, kas ir savienots ar internetu, veikalā darbojas kā "roka". Signāls no pirmā tālruņa tiek pārraidīts reāllaikā, un mūlis pietuvina otro tālruni karšu lasītājam. kas neļauj viegli atšķirt oriģinālo signālu no atkārtoti pārraidītā signāla.

Šis triks ļauj vairākiem mūļiem gandrīz vienlaikus norēķināties ar vienu un to pašu karti, un, ja policija pārbauda mūļa tālruni, viņi redz tikai likumīgu lietotni bez jebkādiem kartes numuriem. Sensitīvie dati atrodas otrā ierīcē, iespējams, citā valstī. Šī shēma sarežģī attiecināšanas noteikšanu un paātrina nelikumīgi iegūtu līdzekļu legalizāciju..

Mobilo ierīču ļaunprogrammatūra un NGate lieta: kad jūsu tālrunis zog jūsu vietā

Drošības pētnieki ir dokumentējuši kampaņas Latīņamerikā, piemēram, NGate krāpniecību Brazīlijā, kur viltota Android banku lietotne mudina lietotājus aktivizēt NFC un "tuvināt savu karti" tālrunim. Ļaunprogrammatūra pārtver saziņu un nosūta datus uzbrucējam, kurš pēc tam atdarina karti, lai veiktu maksājumus vai izņemšanu. Viss, kas nepieciešams, ir tas, lai lietotājs uzticētos nepareizajai lietotnei..

Risks nav raksturīgs tikai vienai valstij. Tādos tirgos kā Meksika un pārējais reģions, kur pieaug tuvuma maksājumu izmantošana un daudzi lietotāji instalē lietotnes no apšaubāmām saitēm, augsne ir auglīga. Lai gan bankas pastiprina kontroli, Ļaunprātīgi dalībnieki ātri atkārtojas un izmanto jebkuru neuzmanību..

Kā šīs krāpniecības darbojas soli pa solim

1. Ierodas brīdinājums par slazdu: ziņojums vai e-pasts, kas "pieprasa" atjaunināt bankas lietotni, izmantojot saiti.
2. Jūs instalējat klonētu lietotni: Tas izskatās īsts, bet ir ļaunprātīgs un pieprasa NFC atļaujas.
3. Tas lūdz jūs pietuvināt karti: vai aktivizējiet NFC darbības laikā un tur tveriet datus.
4. Uzbrucējs atdarina jūsu karti: un veic maksājumus vai izņemšanu, ko jūs uzzināsiet vēlāk.

Turklāt 2024. gada beigās parādījās vēl viens pavērsiens: krāpnieciskas lietotnes, kas lūdz lietotājiem turēt karti tālruņa tuvumā un ievadīt PIN kodu, "lai to pārbaudītu". Pēc tam lietotne nosūta informāciju noziedzniekam, kurš veic pirkumus vai izņem naudu NFC bankomātos. Kad bankas atklāja ģeolokācijas anomālijas, 2025. gadā parādījās jauns variants: Viņi pārliecina upuri iemaksāt naudu it kā drošā kontā. No bankomāta, kad uzbrucējs, izmantojot releju, uzrāda savu karti; iemaksa nonāk krāpnieka rokās, un krāpšanas apkarošanas sistēma to uztver kā likumīgu darījumu.

Papildu riski: karšu maksājumu termināļi, kameras un identitātes zādzība

Neautorizētie termināļi ne tikai uztver nepieciešamo informāciju, izmantojot NFC, bet arī var uzglabāt darījumu žurnālus un papildināt tos ar attēliem no slēptajām kamerām. Ja viņi iegūst sērijas numuru un derīguma termiņu, daži negodīgi tiešsaistes mazumtirgotāji var pieņemt pirkumus bez otrā verifikācijas faktora. Bankas un uzņēmuma stiprums ir izšķirošs..

Paralēli ir aprakstīti scenāriji, kuros kāds diskrēti nofotografē karti vai ieraksta to ar savu mobilo tālruni, kad jūs to izņemat no maka. Lai gan tas var šķist elementāri, šīs vizuālās noplūdes apvienojumā ar citiem datiem var izraisīt identitātes krāpšanu, neatļautu pakalpojumu reģistrāciju vai pirkumus. Sociālā inženierija pabeidz tehnisko darbu.

Kā sevi pasargāt: praktiski pasākumi, kas patiešām darbojas

• Iestatiet bezkontakta maksājumu limitus: Tas samazina maksimālās summas, lai ļaunprātīgas izmantošanas gadījumā ietekme būtu mazāka.
• Aktivizējiet biometriju vai PIN kodu savā mobilajā tālrunī vai pulkstenī: Tādā veidā neviens nevarēs norēķināties no jūsu ierīces bez jūsu atļaujas.
• Izmantojiet tokenizētus makus: Viņi aizstāj faktisko numuru ar žetonu, tādējādi izvairoties no jūsu kartes atklāšanas tirgotājam.
• Deaktivizējiet bezkontakta maksājumu, ja to neizmantojat: Daudzas entītijas ļauj īslaicīgi atspējot šo funkciju kartē.
• Izslēdziet tālruņa NFC funkciju, kad tā nav nepieciešama: Tas samazina uzbrukuma virsmu pret ļaunprātīgām lietotnēm vai nevēlamu lasīšanu.
• Aizsargājiet savu ierīci: Bloķējiet to ar spēcīgu paroli, drošu shēmu vai biometriju un neatstājiet to atbloķētu uz letes.
• Visu atjauniniet: sistēma, lietotnes un programmaparatūra; daudzi atjauninājumi novērš kļūdas, kas izmanto šos uzbrukumus.
• Aktivizēt darījumu brīdinājumus: Nospiediet un sūtiet īsziņas, lai reāllaikā noteiktu kustības un nekavējoties reaģētu.
• Regulāri pārbaudiet savus izteikumus: Veltiet katru nedēļu brīdi maksājumu pārbaudei un aizdomīgu nelielu summu atrašanai.
• Vienmēr pārbaudiet summu POS terminālī: Pirms kartes tuvināšanas paskatieties uz ekrānu un saglabājiet čeku.
• Definējiet maksimālās summas bez PIN koda: Tas piespiež veikt papildu autentifikāciju pirkumiem par noteiktu summu.
• Izmantojiet RFID/NFC bloķēšanas uzmavas vai kartes: Tie nav nekļūdīgi, bet tie palielina uzbrucēja piepūli.
• Tiešsaistes pirkumiem dodiet priekšroku virtuālajām kartēm: Papildiniet savu konta atlikumu tieši pirms apmaksas un atspējojiet bezsaistes maksājumus, ja jūsu banka to piedāvā.
• Regulāri atjaunojiet savu virtuālo karti: Mainot to vismaz reizi gadā, samazinās iedarbība noplūdes gadījumā.
• Piesaistiet savam makam citu karti, nevis to, kuru izmantojat tiešsaistē: nodala riskus starp fiziskajiem un tiešsaistes maksājumiem.
• Izvairieties no NFC iespējotu tālruņu lietošanas bankomātos: Naudas izņemšanai vai iemaksai, lūdzu, izmantojiet fizisko karti.
• Instalējiet cienījamu drošības komplektu: Meklējiet maksājumu aizsardzības un pikšķerēšanas bloķēšanas funkcijas mobilajās ierīcēs un datorā.
• Lejupielādējiet lietotnes tikai no oficiālajiem veikaliem: un apstipriniet izstrādātāju; esiet piesardzīgs attiecībā uz saitēm, kas nosūtītas īsziņās vai ziņojumapmaiņā.
• Pārpildītās vietās: Glabājiet kartes iekšējā kabatā vai makā ar aizsardzību un izvairieties no to atklāšanas.
• Uzņēmumiem: IT lūdz IT pārskatīt korporatīvos mobilos tālruņus, piemērot ierīču pārvaldību un bloķēt nezināmas instalācijas.

Organizāciju ieteikumi un labākā prakse

• Pirms maksājuma pārbaudiet summu: Netuviniet karti, kamēr neesat pārbaudījis summu terminālī.
• Saglabājiet čekus: Viņi palīdz salīdzināt apsūdzības un iesniegt prasības ar pierādījumiem, ja pastāv neatbilstības.
• Aktivizējiet paziņojumus no bankas lietotnes: Tie ir jūsu pirmā brīdinājuma zīme par neatpazītu maksājumu.
• Regulāri pārbaudiet savus izteikumus: Agrīna atklāšana samazina zaudējumus un paātrina bankas reaģēšanu.

Ja jums ir aizdomas, ka jūsu karte ir klonēta vai jūsu konts ir saistīts

Pirmā lieta ir bloķēt klonēta kredītkarte Lietotnē vai zvanot uz banku, pieprasiet jaunu numuru. Palūdziet izdevējam atvienot visus saistītos mobilos makus, kurus neatpazīstat, un aktivizēt uzlaboto uzraudzību. papildus paroļu maiņai un ierīču pārbaudei.

Savā mobilajā ierīcē atinstalējiet lietotnes, kuras neatceraties instalētas, veiciet skenēšanu ar savu drošības risinājumu un, ja infekcijas pazīmes joprojām pastāv, pēc dublējuma izveides atjaunojiet rūpnīcas iestatījumus. Izvairieties no atkārtotas instalēšanas no neoficiāliem avotiem.

Ja nepieciešams, iesniedziet ziņojumu un apkopojiet pierādījumus (ziņojumus, ekrānuzņēmumus, kvītis). Jo ātrāk jūs par to ziņosiet, jo ātrāk jūsu banka varēs uzsākt atmaksu un bloķēt maksājumus. Ātrums ir galvenais, lai apturētu domino efektu.

Bezkontakta maksājumu ērtību trūkums ir tas, ka uzbrucēji darbojas arī tiešā tuvumā. Izpratne par to, kā tie darbojas — sākot ar pūļa datu pārtveršanu un beidzot ar karšu piesaisti mobilajiem makiem, Ghost Tap pārraidīšanu vai ļaunprogrammatūru, kas pārtver NFC —, ļauj pieņemt pārdomātus lēmumus: pastiprināt ierobežojumus, pieprasīt spēcīgu autentifikāciju, izmantot tokenizāciju, izslēgt funkcijas, kad tās netiek izmantotas, uzraudzīt kustības un uzlabot digitālo higiēnu. Ieviešot dažas stabilas barjeras, Ir pilnīgi iespējams baudīt bezkontakta maksājumus, vienlaikus samazinot risku.