NFC u klonazzjoni tal-kards: riskji reali u kif timblokka l-ħlasijiet mingħajr kuntatt

It-teknoloġiji tal-prossimità għamlu ħajjitna aktar konvenjenti, iżda fetħu wkoll bibien ġodda għall-frodisti; huwa għalhekk li huwa importanti li nifhmu l-limitazzjonijiet tagħhom u Implimenta miżuri ta' sigurtà qabel ma sseħħ il-ħsara.

F'dan l-artiklu se ssib, mingħajr ma ddur mal-lewża, kif taħdem l-NFC/RFID, liema tricks jużaw il-kriminali f'avvenimenti u f'postijiet iffullati, liema theddid ħarġu fit-telefowns ċellulari u t-terminals tal-ħlas, u fuq kollox, Kif timblokka jew tnaqqas il-ħlasijiet mingħajr kuntatt meta jkun jaqbillekEjja nibdew b'gwida kompluta dwar: NFC u klonazzjoni tal-kards: riskji reali u kif timblokka l-ħlasijiet mingħajr kuntatt.

X'inhi l-RFID u x'iżżid l-NFC?

Biex inpoġġu l-affarijiet f'perspettiva: L-RFID hija l-pedament ta' kollox. Hija sistema li tuża l-frekwenza tar-radju biex tidentifika tikketti jew karti f'distanzi qosra, u tista' taħdem b'żewġ modi. Fil-varjant passiv tagħha, it-tikketta m'għandhiex batterija u Jiġi attivat mill-enerġija tal-qarrej.Huwa tipiku għal passes tat-trasport, identifikazzjoni, jew tikkettar ta' prodotti. Fil-verżjoni attiva tiegħu, it-tikketta tinkorpora batterija u tilħaq distanzi akbar, li huwa komuni fil-loġistika, is-sigurtà, u l-karozzi.

Fi kliem sempliċi, l-NFC hija evoluzzjoni mfassla għall-użu ta' kuljum bit-telefowns ċellulari u l-kards: tippermetti komunikazzjoni bidirezzjonali, hija ottimizzata għal distanzi qosra ħafna, u saret l-istandard għal ħlasijiet veloċi, aċċess, u skambju ta' dejta. L-akbar saħħa tagħha hija l-immedjatezza.: tressaqha qrib u daqshekk, mingħajr ma ddaħħal il-kard fl-islott.

Meta tħallas b'karta mingħajr kuntatt, iċ-ċippa NFC/RFID tittrażmetti l-informazzjoni meħtieġa lit-terminal tal-ħlas tal-bejjiegħ. Madankollu, jekk tħallas bit-telefon ċellulari jew bl-arloġġ tiegħek, tkun f'livell differenti: l-apparat jaġixxi bħala intermedjarju u jżid saffi ta' sigurtà (bijometrija, PIN, tokenizzazzjoni), li Inaqqas l-esponiment tad-dejta attwali tal-karta..

Karti mingħajr kuntatt kontra ħlasijiet b'apparati

• Karti fiżiċi mingħajr kuntatt: Sempliċement ġibhom qrib it-terminal; għal ammonti żgħar, jista' ma jkunx meħtieġ PIN, skont il-limiti stabbiliti mill-bank jew mill-pajjiż.
• Ħlasijiet bil-mowbajl jew bl-arloġġ: Huma jużaw kartieri diġitali (Apple Pay, Google Wallet, Samsung Pay) li ġeneralment jeħtieġu marka tas-swaba', wiċċ jew PIN, u jissostitwixxu n-numru reali b'token li jintuża darba biss. li jipprevjeni lill-bejjiegħ milli jara l-karta awtentika tiegħek.

Il-fatt li ż-żewġ metodi jaqsmu l-istess bażi NFC ma jfissirx li jippreżentaw l-istess riskji. Id-differenza tinsab fil-mezz (plastik kontra apparat) u fl-ostakli addizzjonali miżjuda mill-ismartphone. speċjalment l-awtentikazzjoni u t-tokenizzazzjoni.

Fejn u kif iseħħu l-frodi mingħajr kuntatt?

Il-kriminali jisfruttaw il-fatt li l-qari tal-NFC iseħħ minn distanza qasira ħafna. F'postijiet iffullati—trasport pubbliku, kunċerti, avvenimenti sportivi, fieri—qarrej portabbli jista' jersaq lejn bwiet jew basktijiet mingħajr ma jqajjem suspett u jaqbad l-informazzjoni. Dan il-metodu, magħruf bħala skimming, jippermetti d-duplikazzjoni tad-dejta, li mbagħad tintuża għax-xiri jew għall-ikklonjar. għalkemm ħafna drabi jeħtieġu passi addizzjonali biex il-frodi tkun effettiva.

Vettur ieħor huwa l-manipulazzjoni tat-terminals. Terminal ta' ħlas modifikat b'qarrej NFC malizzjuż jista' jaħżen dejta mingħajr ma tinduna, u jekk ikkombinat ma' kameras moħbija jew osservazzjoni viżwali sempliċi, l-attakkanti jistgħu jiksbu informazzjoni ewlenija bħal ċifri u dati ta' skadenza. Huwa rari f'ħwienet ta' reputazzjoni tajba, iżda r-riskju jiżdied fi stalel improvviżati..

Lanqas m’għandna ninsew is-serq tal-identità: b’biżżejjed dejta, il-kriminali jistgħu jużawha għal xiri online jew tranżazzjonijiet li ma jeħtiġux fattur ieħor. Xi entitajiet jipprovdu protezzjoni aħjar minn oħrajn—bl-użu ta’ encryption u tokenizzazzjoni qawwija—iżda, kif iwissu l-esperti, Meta ċ-ċippa tittrażmetti, id-dejta meħtieġa għat-tranżazzjoni tkun preżenti..

B'mod parallel, ħarġu attakki li m'għandhomx l-għan li jaqraw il-kard tiegħek fit-triq, iżda pjuttost li jgħaqqduha mill-bogħod mal-kartiera mobbli tal-kriminal stess. Hawnhekk jidħlu fis-seħħ il-phishing fuq skala kbira, websajts foloz, u l-ossessjoni li jinkisbu passwords ta' darba waħda (OTPs). li huma ċ-ċavetta għall-awtorizzazzjoni tal-operazzjonijiet.

Klonazzjoni, xiri online, u għaliex xi kultant taħdem

Xi kultant, id-dejta miġbura tinkludi n-numru tas-serje sħiħ u d-data ta' skadenza. Dan jista' jkun biżżejjed għal xiri online jekk il-bejjiegħ jew il-bank ma jeħtiġux aktar verifika. Fid-dinja fiżika, l-affarijiet huma aktar ikkumplikati minħabba ċ-ċipep EMV u l-kontrolli kontra l-frodi, iżda xi attakkanti Jippruvaw xortihom bi tranżazzjonijiet f'terminals permissivi jew b'ammonti żgħar.

Minn lixka għal ħlas: ngħaqqdu karti misruqa ma' kartieri mobbli

Tattika li qed tikber tinvolvi t-twaqqif ta’ netwerks ta’ websajts frodulenti (multi, kunsinna, fatturi, ħwienet foloz) li jitolbu “verifika” jew ħlas simboliku. Il-vittma ddaħħal id-dettalji tal-karta tagħha u, xi kultant, OTP (Ħlas ta’ Darba Waħda). Fir-realtà, xejn ma jiġi ċċarġjat f’dak il-mument: id-dejta tintbagħat lill-attakkant, li mbagħad jipprova... qabbad dik il-karta mal-Apple Pay jew il-Google Wallet tiegħek kemm jista 'jkun malajr

Biex iħaffu l-affarijiet, xi gruppi jiġġeneraw immaġni diġitali li tirreplika l-karta bid-dejta tal-vittma, "jifotografawha" mill-kartiera, u jlestu l-kollegament jekk il-bank jeħtieġ biss in-numru, id-data ta' skadenza, id-detentur, is-CVV, u l-OTP. Kollox jista' jiġri f'sessjoni waħda..

Interessanti, mhux dejjem jonfqu immedjatament. Jakkumulaw għexieren ta’ karti konnessi fuq telefon u jerġgħu jbigħuh fuq id-dark web. Ġimgħat wara, xerrej juża dak l-apparat biex iħallas f’ħwienet fiżiċi permezz ta’ contactless jew biex jiġbor ħlas għal prodotti li ma jeżistux fil-ħanut tiegħu stess fi ħdan pjattaforma leġittima. F'ħafna każijiet, l-ebda PIN jew OTP ma jintalab fit-terminal tal-POS..

Hemm pajjiżi fejn tista' saħansitra tirtira flus kontanti minn ATMs li jaħdmu bl-NFC billi tuża l-mowbajl tiegħek, u b'hekk iżżid metodu ieħor ta' monetizzazzjoni. Sadanittant, il-vittma tista' lanqas biss tiftakar it-tentattiv ta' ħlas li falla fuq dak il-websajt u ma tinnota l-ebda ħlas "stramb" sakemm ikun tard wisq. għax l-ewwel użu frodulenti jseħħ ħafna aktar tard.

Ghost Tap: it-trażmissjoni li tqarraq bil-qarrej tal-kards

Teknika oħra diskussa fil-forums tas-sigurtà hija r-relay NFC, imlaqqma Ghost Tap. Din tiddependi fuq żewġ mowbajls u applikazzjonijiet ta' ttestjar leġittimi bħal NFCGate: wieħed iżomm il-kartiera bil-karti misruqa; l-ieħor, konness mal-internet, jaġixxi bħala l-"id" fil-ħanut. Is-sinjal mill-ewwel telefon jiġi trasmess f'ħin reali, u l-mule jġib it-tieni telefon qrib il-qarrej tal-karti. li ma jiddistingwix faċilment bejn sinjal oriġinali u sinjal trasmess mill-ġdid.

It-trick jippermetti lil diversi passiġġieri jħallsu kważi simultanjament bl-istess karta, u jekk il-pulizija tiċċekkja t-telefon tal-passiġġieri, jaraw biss app leġittima mingħajr numri ta' karti. Id-dejta sensittiva tinsab fuq l-apparat l-ieħor, forsi f'pajjiż ieħor. Din l-iskema tikkomplika l-attribuzzjoni u taċċellera l-ħasil tal-flus..

Malware mobbli u l-każ NGate: meta t-telefon tiegħek jisraqlek

Riċerkaturi tas-sigurtà ddokumentaw kampanji fl-Amerika Latina—bħall-iskam NGate fil-Brażil—fejn app bankarja falza tal-Android tħeġġeġ lill-utenti biex jattivaw l-NFC u "jressqu l-karta tagħhom qrib" tat-telefon. Il-malware jinterċetta l-komunikazzjoni u jibgħat id-dejta lill-attakkant, li mbagħad jemula l-karta biex jagħmel ħlasijiet jew irtirar ta' flus. Kull ma hemm bżonn huwa li l-utent jafda l-app ħażina..

Ir-riskju mhuwiex esklussiv għal pajjiż wieħed. Fi swieq bħall-Messiku u l-bqija tar-reġjun, fejn l-użu ta’ ħlasijiet ta’ prossimità qed jikber u ħafna utenti jinstallaw apps minn links dubjużi, l-art hija fertili. Għalkemm il-banek qed isaħħu l-kontrolli tagħhom, Atturi malizzjużi jirrepetu malajr u jisfruttaw kwalunkwe żball..

Kif joperaw dawn l-iskemi pass pass

1. Tasal twissija ta' nassa: messaġġ jew email li "jirrikjedi" li taġġorna l-app tal-bank permezz ta' link.
2. Tinstalla app ikklonata: Jidher reali, iżda huwa malizzjuż u jitlob permessi tal-NFC.
3. Jitolbok biex tressaq il-karta qribek: jew tattiva l-NFC waqt operazzjoni, u taqbad id-dejta hemmhekk.
4. L-attakkant qed jimita l-karta tiegħek: u jagħmel ħlasijiet jew irtirar ta’ flus, li tiskopri aktar tard.

Barra minn hekk, ħarġet żvolta oħra fl-aħħar tal-2024: apps frodulenti li jitolbu lill-utenti biex iżommu l-karta tagħhom ħdejn it-telefon tagħhom u jdaħħlu l-PIN tagħhom "biex jivverifikawh". L-app imbagħad tittrażmetti l-informazzjoni lill-kriminal, li jagħmel xiri jew irtirar ta' flus minn ATMs NFC. Meta l-banek skoprew anomaliji ta' ġeolokalizzazzjoni, dehret varjant ġdid fl-2025: Huma jikkonvinċu lill-vittma biex tiddepożita flusha f'kont suppost sigur. Minn ATM, waqt li l-attakkant, permezz ta' relay, jippreżenta l-karta tiegħu stess; id-depożitu jispiċċa f'idejn il-frodatur u s-sistema kontra l-frodi tarah bħala tranżazzjoni leġittima.

Riskji miżjuda: terminals tal-ħlas bil-kards, kameras, u serq tal-identità

It-terminals imbagħbsa mhux biss jaqbdu dak li jeħtieġu permezz tal-NFC, iżda jistgħu wkoll jaħżnu reġistri tat-tranżazzjonijiet u jissupplimentawhom b'immaġnijiet minn kameras moħbija. Jekk jiksbu n-numru tas-serje u d-data ta' skadenza, ċerti bejjiegħa bl-imnut online bla skrupli jistgħu jaċċettaw xiri mingħajr it-tieni fattur ta' verifika. Is-saħħa tal-bank u tan-negozju tagħmel id-differenza kollha.

B'mod parallel, ġew deskritti xenarji fejn xi ħadd jieħu ritratti diskreti ta' kard jew jirreġistraha bit-telefon ċellulari tiegħu hekk kif toħroġha mill-kartiera tiegħek. Filwaqt li jista' jinstema' bażiku, dawn it-tnixxijiet viżwali, flimkien ma' dejta oħra, jistgħu jwasslu għal frodi tal-identità, reġistrazzjonijiet ta' servizzi mhux awtorizzati, jew xiri. L-inġinerija soċjali tlesti x-xogħol tekniku.

Kif tipproteġi lilek innifsek: miżuri prattiċi li fil-fatt jaħdmu

• Issettja l-limiti tal-ħlas mingħajr kuntatt: Inaqqas l-ammonti massimi sabiex, jekk ikun hemm użu ħażin, l-impatt ikun inqas.
• Attiva l-bijometrija jew il-PIN fuq il-mowbajl jew l-arloġġ tiegħek: B'dan il-mod, ħadd ma jista' jħallas mit-tagħmir tiegħek mingħajr l-awtorizzazzjoni tiegħek.
• Uża kartieri bit-tokens: Huma jissostitwixxu n-numru attwali b'token, u b'hekk jevitaw li jesponu l-karta tiegħek lill-merkant.
• Iddiżattiva l-ħlas mingħajr kuntatt jekk ma tużahx: Ħafna entitajiet jippermettulek li tiddiżattiva temporanjament dik il-funzjoni fuq il-kard.
• Itfi l-NFC tat-telefon tiegħek meta ma jkollokx bżonnu: Inaqqas il-wiċċ tal-attakk kontra apps malizzjużi jew qari mhux mixtieq.
• Ipproteġi t-tagħmir tiegħek: Illokkjaha b'password b'saħħitha, mudell sigur, jew bijometrija, u tħallihiex imsakkra fuq xi bank.
• Żomm kollox aġġornat: sistema, apps u firmware; ħafna aġġornamenti jirranġaw bugs li jisfruttaw dawn l-attakki.
• Attiva t-twissijiet tat-tranżazzjonijiet: Imbotta u SMS biex tiskopri movimenti f'ħin reali u tirreaġixxi immedjatament.
• Iċċekkja d-dikjarazzjonijiet tiegħek regolarment: iddedika mument fil-ġimgħa biex tiċċekkja l-ħlasijiet u ssib ammonti żgħar suspettużi.
• Dejjem ivverifika l-ammont fuq it-terminal POS: Ħares lejn l-iskrin qabel ma tressaq il-karta lejk u żomm l-irċevuta.
• Iddefinixxi l-ammonti massimi mingħajr PIN: Dan jisforza awtentikazzjoni addizzjonali fuq xiri ta' ċertu ammont.
• Uża kmiem jew karti li jimblokkaw l-RFID/NFC: Mhumiex infallibbli, iżda jżidu l-isforz tal-attakkant.
• Ippreferi karti virtwali għal xiri online: Imla l-bilanċ tiegħek eżatt qabel ma tħallas u iddiżattiva l-ħlasijiet offline jekk il-bank tiegħek joffri dan.
• Ġedded il-karta virtwali tiegħek ta' spiss: Jekk tibdilha mill-inqas darba fis-sena tnaqqas l-esponiment jekk tnixxi.
• Irrabta karta differenti mal-kartiera tiegħek minn dik li tuża online: jissepara r-riskji bejn ħlasijiet fiżiċi u online.
• Evita li tuża telefowns li jaħdmu bl-NFC fl-ATMs: Għal irtirar jew depożiti, jekk jogħġbok uża l-karta fiżika.
• Installa suite ta' sigurtà ta' reputazzjoni tajba: Fittex karatteristiċi ta' protezzjoni tal-pagamenti u imblukkar tal-phishing fuq il-mowbajl u l-PC.
• Niżżel l-apps biss minn ħwienet uffiċjali: u kkonferma l-iżviluppatur; oqgħod attent minn links permezz ta' SMS jew messaġġi.
• Fi spazji iffullati: Żomm il-karti tiegħek f'but ta' ġewwa jew kartiera bi protezzjoni u evita li tesponihom.
• Għan-negozji: L-IT titlob lill-IT biex tirrevedi l-mowbajls korporattivi, tapplika l-ġestjoni tal-apparati, u timblokka installazzjonijiet mhux magħrufa.

Rakkomandazzjonijiet minn organizzazzjonijiet u l-aħjar prattiki

• Iċċekkja l-ammont qabel ma tħallas: Tressaqx il-karta qribek sakemm ma tkunx ivverifikajt l-ammont fuq it-terminal.
• Żomm ir-riċevuti: Huma jgħinuk tqabbel l-akkużi u tressaq talbiet b'evidenza jekk ikun hemm diskrepanzi.
• Attiva n-notifiki mill-app bankarja: Dawn huma l-ewwel sinjal ta' twissija tiegħek ta' ħlas mhux rikonoxxut.
• Iċċekkja d-dikjarazzjonijiet tiegħek regolarment: Sejbien bikri jnaqqas il-ħsara u jħaffef ir-rispons tal-bank.

Jekk tissuspetta li l-karta tiegħek ġiet ikklonata jew li l-kont tiegħek ġie marbut

L-ewwel ħaġa hi li timblokka l- karta tal-kreditu kklonata Mill-app jew billi ċċempel lill-bank, itlob numru ġdid. Itlob lill-emittent biex ineħħi l-konnessjoni ta' kwalunkwe kartiera mobbli assoċjata li ma tagħrafx u biex jattiva monitoraġġ imtejjeb. minbarra li tbiddel il-passwords u tiċċekkja l-apparati tiegħek.

Fuq l-apparat mobbli tiegħek, iddiżinstalla l-apps li ma tiftakarx li installajt, wettaq skenn bis-soluzzjoni tas-sigurtà tiegħek, u jekk is-sinjali ta' infezzjoni jippersistu, irrestawrahom għas-settings tal-fabbrika wara li tagħmel backup. Evita li terġa' tinstalla minn sorsi mhux uffiċjali.

Ippreżenta rapport jekk meħtieġ u iġbor l-evidenza (messaġġi, screenshots, irċevuti). Iktar ma tirrapportah malajr, iktar ma l-bank tiegħek ikun jista' jibda rifużjonijiet u jimblokka l-pagamenti malajr. Il-veloċità hija essenzjali biex twaqqaf l-effett domino.

L-iżvantaġġ tal-konvenjenza mingħajr kuntatt huwa li l-attakkanti joperaw ukoll fil-viċinanza. Il-fehim ta’ kif jaħdmu—minn crowd skimming sa’ kollegament ta’ karti ma’ kartieri mobbli, Ghost Tap relaying, jew malware li jinterċetta l-NFC—jippermetti li jittieħdu deċiżjonijiet infurmati: tisħiħ tar-restrizzjonijiet, rekwiżit ta’ awtentikazzjoni b’saħħitha, użu ta’ tokenizzazzjoni, itfi l-karatteristiċi meta ma jkunux qed jintużaw, monitoraġġ tal-movimenti, u titjib tal-iġjene diġitali. Bi ftit ostakli sodi fis-seħħ, Huwa perfettament possibbli li tgawdi ħlasijiet mingħajr kuntatt filwaqt li timminimizza r-riskju.