NFC og kortkloning: reelle risikoer og hvordan blokkere kontaktløse betalinger

Nærhetsteknologier har gjort livene våre enklere, men de har også åpnet nye dører for svindlere. Derfor er det viktig å forstå deres begrensninger. Implementer sikkerhetstiltak før skaden faktisk oppstår.

I denne artikkelen finner du, uten å vrenge om grøten, hvordan NFC/RFID fungerer, hvilke triks kriminelle bruker på arrangementer og på steder med mange mennesker, hvilke trusler som har dukket opp i mobiltelefoner og betalingsterminaler, og fremfor alt, Slik blokkerer eller reduserer du kontaktløse betalinger når det passer degLa oss starte med en komplett guide om: NFC og kortkloning: reelle risikoer og hvordan blokkere kontaktløse betalinger.

Hva er RFID, og ​​hva tilfører NFC?

For å sette ting i perspektiv: RFID er grunnlaget for det hele. Det er et system som bruker radiofrekvens til å identifisere brikker eller kort på korte avstander, og det kan fungere på to måter. I sin passive variant har brikken ikke batteri, og Den aktiveres av leserens energi.Det er typisk for transportkort, identifikasjon eller produktmerking. I sin aktive versjon har taggen et batteri og rekker over lengre avstander, noe som er vanlig innen logistikk, sikkerhet og bilindustri.

Enkelt sagt er NFC en evolusjon designet for daglig bruk med mobiltelefoner og kort: den tillater toveiskommunikasjon, er optimalisert for svært korte avstander og har blitt standarden for raske betalinger, tilgang og datautveksling. Dens største styrke er umiddelbarhet.: du bringer den nær, og det er det, uten å sette kortet inn i sporet.

Når du betaler med et kontaktløst kort, overfører NFC/RFID-brikken den nødvendige informasjonen til selgerens betalingsterminal. Men hvis du betaler med mobiltelefonen eller klokken din, er du i en annen liga: enheten fungerer som en mellommann og legger til lag med sikkerhet (biometri, PIN, tokenisering), som Det reduserer eksponeringen av kortets faktiske data..

Kontaktløse kort kontra betaling med enheter

• Kontaktløse fysiske kort: Bare ta dem med deg nær terminalen. For små beløp er det ikke sikkert at PIN-kode er nødvendig, avhengig av grensene som er satt av banken eller landet.
• Betalinger med mobiltelefon eller klokke: De bruker digitale lommebøker (Apple Pay, Google Wallet, Samsung Pay) som vanligvis krever fingeravtrykk, ansikt eller PIN, og erstatter det virkelige nummeret med en engangsbrikke. som hindrer selgeren i å se ditt autentiske kort.

Det at begge metodene deler samme NFC-fundament betyr ikke at de utgjør de samme risikoene. Forskjellen ligger i mediet (plast kontra enhet) og i de ekstra barrierene som smarttelefonen legger til. spesielt autentisering og tokenisering.

Hvor og hvordan forekommer kontaktløs svindel?

Kriminelle utnytter det faktum at NFC-lesing skjer på svært kort avstand. På overfylte steder – offentlig transport, konserter, sportsarrangementer, messer – kan en bærbar leser komme inn i lommer eller vesker uten å vekke mistanke og fange opp informasjon. Denne metoden, kjent som skimming, tillater duplisering av data, som deretter brukes til kjøp eller kloning. selv om de ofte trenger ytterligere skritt for å gjøre svindelen effektiv.

En annen vektor er manipulering av terminaler. En modifisert betalingsterminal med en ondsinnet NFC-leser kan lagre data uten at du merker det, og hvis den kombineres med skjulte kameraer eller enkel visuell observasjon, kan angripere få tak i viktig informasjon som sifre og utløpsdatoer. Det er sjeldent i anerkjente butikker, men risikoen øker ved provisoriske boder..

Vi bør heller ikke glemme identitetstyveri: med nok data kan kriminelle bruke det til nettkjøp eller transaksjoner som ikke krever en ekstra faktor. Noen enheter gir bedre beskyttelse enn andre – ved hjelp av sterk kryptering og tokenisering – men, som eksperter advarer, Når brikken sender, er dataene som er nødvendige for transaksjonen til stede..

Parallelt har det dukket opp angrep som ikke har som mål å lese kortet ditt på gaten, men snarere å koble det til kriminelles egen mobile lommebok på avstand. Det er her storskala phishing, falske nettsteder og besettelsen med å få tak i engangspassord (OTP-er) kommer inn i bildet. som er nøkkelen til å autorisere operasjoner.

Kloning, netthandel og hvorfor det noen ganger fungerer

Noen ganger inkluderer de innsamlede dataene hele serienummeret og utløpsdatoen. Det kan være nok for nettkjøp hvis selgeren eller banken ikke krever ytterligere bekreftelse. I den fysiske verden er ting mer komplisert på grunn av EMV-brikker og svindelkontroller, men noen angripere De prøver lykken med transaksjoner på tillatte terminaler eller med små beløp.

Fra agn til betaling: koble stjålne kort til mobile lommebøker

En voksende taktikk innebærer å sette opp nettverk av svindelnettsteder (bøter, frakt, fakturaer, falske butikker) som ber om "verifisering" eller en symbolsk betaling. Offeret oppgir kortopplysningene sine og noen ganger en OTP (engangsbetaling). I realiteten belastes ingenting i det øyeblikket: dataene sendes til angriperen, som deretter prøver å... koble det kortet til Apple Pay eller Google Wallet så snart som mulig

For å få fart på sakene genererer noen grupper et digitalt bilde som replikerer kortet med offerets data, «fotograferer» det fra lommeboken og fullfører koblingen hvis banken bare trenger nummeret, utløpsdatoen, innehaveren, CVV og engangskode. Alt kan skje i én økt..

Interessant nok bruker de ikke alltid penger umiddelbart. De samler dusinvis av lenkede kort på en telefon og selger den videre på det mørke nettet. Uker senere vil en kjøper bruke enheten til å betale i fysiske butikker via kontaktløs betaling eller for å kreve betaling for ikke-eksisterende produkter i sin egen butikk på en legitim plattform. I mange tilfeller blir det ikke bedt om noen PIN-kode eller engangskode ved POS-terminalen..

Det finnes land der du til og med kan ta ut kontanter fra NFC-aktiverte minibanker med mobiltelefonen din, og legge til en annen inntektsgenereringsmetode. I mellomtiden kan det hende at offeret ikke engang husker det mislykkede betalingsforsøket på den nettsiden og ikke vil legge merke til noen "rare" belastninger før det er for sent. fordi den første uredelige bruken skjer mye senere.

Ghost Tap: overføringen som lurer kortleseren

En annen teknikk som diskuteres i sikkerhetsfora er NFC-relé, med kallenavnet Ghost Tap. Den er avhengig av to mobiltelefoner og legitime testapplikasjoner som NFCGate: den ene holder lommeboken med stjålne kort; den andre, koblet til internett, fungerer som "hånden" i butikken. Signalet fra den første telefonen videresendes i sanntid, og muldyret bringer den andre telefonen nær kortleseren. som ikke lett skiller mellom et originalt og et retransmittert signal.

Trikset lar flere muldyr betale nesten samtidig med samme kort, og hvis politiet sjekker muldyrets telefon, ser de bare en legitim app uten kortnumre. De sensitive dataene er på den andre enheten, kanskje i et annet land. Denne ordningen kompliserer tilskrivning og akselererer hvitvasking av penger..

Mobil skadevare og NGate-saken: når telefonen din stjeler for deg

Sikkerhetsforskere har dokumentert kampanjer i Latin-Amerika – som NGate-svindelen i Brasil – der en falsk Android-bankapp ber brukere om å aktivere NFC og «bringe kortet sitt nær» telefonen. Skadevaren avlytter kommunikasjonen og sender dataene til angriperen, som deretter emulerer kortet for å foreta betalinger eller uttak. Alt som skal til er at brukeren stoler på feil app..

Risikoen er ikke eksklusiv for ett land. I markeder som Mexico og resten av regionen, hvor bruken av nærhetsbetalinger øker og mange brukere installerer apper fra tvilsomme lenker, er jorden fruktbar. Selv om bankene styrker kontrollene sine, Ondsinnede aktører itererer raskt og utnytter ethvert forglemmelse..

Hvordan disse svindelene fungerer trinn for trinn

1. En felleadvarsel kommer: en melding eller e-post som «krever» at du oppdaterer bankens app via en lenke.
2. Du installerer en klonet app: Det ser ekte ut, men det er ondsinnet og ber om NFC-tillatelser.
3. Den ber deg om å bringe kortet nærmere: eller aktiver NFC under en operasjon, og fan opp dataene der.
4. Angriperen emulerer kortet ditt: og foretar betalinger eller uttak, noe du vil oppdage senere.

Videre dukket det opp en annen vri på slutten av 2024: svindelapper som ber brukere holde kortet sitt nær telefonen og taste inn PIN-koden sin «for å bekrefte den». Appen overfører deretter informasjonen til den kriminelle, som foretar kjøp eller uttak i NFC-minibanker. Da banker oppdaget geolokasjonsavvik, dukket det opp en ny variant i 2025: De overtaler offeret til å sette inn pengene sine på en angivelig sikker konto. Fra en minibank, mens angriperen, via relé, presenterer sitt eget kort; ender innskuddet opp i hendene på svindleren, og antisvindelsystemet ser det som en legitim transaksjon.

Ekstra risikoer: kortterminaler, kameraer og identitetstyveri

De tuklede terminalene fanger ikke bare opp det de trenger via NFC, men de kan også lagre transaksjonslogger og supplere dem med bilder fra skjulte kameraer. Hvis de får tak i serienummeret og utløpsdatoen, kan visse skruppelløse nettbutikker godta kjøp uten en ekstra verifiseringsfaktor. Bankens og virksomhetens styrke utgjør hele forskjellen.

Parallelt har det blitt beskrevet scenarier der noen diskret fotograferer et kort eller spiller inn det med mobiltelefonen sin idet du tar det ut av lommeboken. Selv om det kan høres grunnleggende ut, kan disse visuelle lekkasjene, kombinert med andre data, føre til identitetssvindel, uautoriserte tjenesteregistreringer eller kjøp. Sosial ingeniørkunst fullfører det tekniske arbeidet.

Slik beskytter du deg selv: praktiske tiltak som faktisk fungerer

• Angi grenser for kontaktløs betaling: Den senker maksimumsbeløpene, slik at effekten blir mindre hvis det skjer misbruk.
• Aktiver biometri eller PIN-kode på mobiltelefonen eller klokken din: På denne måten kan ingen betale fra enheten din uten din tillatelse.
• Bruk tokeniserte lommebøker: De erstatter det faktiske nummeret med en token, slik at kortet ditt ikke blir eksponert for selgeren.
• Deaktiver kontaktløs betaling hvis du ikke bruker det: Mange enheter lar deg midlertidig deaktivere den funksjonen på kortet.
• Slå av telefonens NFC når du ikke trenger den: Det reduserer angrepsflaten mot ondsinnede apper eller uønskede lesninger.
• Beskytt enheten din: Lås den med et sterkt passord, et sikkert mønster eller biometri, og ikke la den stå ulåst på noen disk.
• Hold alt oppdatert: system, apper og fastvare; mange oppdateringer fikser feil som utnytter disse angrepene.
• Aktiver transaksjonsvarsler: Trykk og SMS for å oppdage bevegelser i sanntid og reagere umiddelbart.
• Sjekk kontoutskriftene dine regelmessig: Sett av et ukentlig øyeblikk til å sjekke belastninger og finne mistenkelige små beløp.
• Bekreft alltid beløpet på POS-terminalen: Se på skjermen før du tar kortet i nærheten, og ta vare på kvitteringen.
• Definer maksimalbeløp uten PIN: Dette fremtvinger ytterligere autentisering ved kjøp av et visst beløp.
• Bruk RFID/NFC-blokkerende ermer eller kort: De er ikke ufeilbarlige, men de øker angriperens innsats.
• Foretrekk virtuelle kort for nettkjøp: Fyll på saldoen rett før du betaler, og deaktiver offline betalinger hvis banken din tilbyr det.
• Forny det virtuelle kortet ditt ofte: Å bytte den minst én gang i året reduserer eksponeringen hvis den lekker.
• Koble et annet kort til lommeboken din enn det du bruker på nettet: skiller risikoer mellom fysiske og nettbaserte betalinger.
• Unngå å bruke NFC-aktiverte telefoner i minibanker: For uttak eller innskudd, vennligst bruk det fysiske kortet.
• Installer en pålitelig sikkerhetspakke: Se etter betalingsbeskyttelse og funksjoner for blokkering av phishing på mobil og PC.
• Last ned apper kun fra offisielle butikker: og bekreft utvikleren; vær forsiktig med lenker via SMS eller meldinger.
• I overfylte rom: Oppbevar kortene dine i en innerlomme eller lommebok med beskyttelse, og unngå å eksponere dem.
• For bedrifter: IT ber IT om å gjennomgå bedriftens mobiltelefoner, bruke enhetsadministrasjon og blokkere ukjente installasjoner.

Anbefalinger fra organisasjoner og beste praksis

• Sjekk beløpet før du betaler: Ikke ta kortet i nærheten før du har bekreftet beløpet på terminalen.
• Ta vare på kvitteringene: De hjelper deg med å sammenligne anklager og fremme krav med bevis hvis det er avvik.
• Aktiver varsler fra bankappen: De er ditt første varseltegn på en ukjent belastning.
• Sjekk kontoutskriftene dine regelmessig: Tidlig oppdagelse reduserer skader og fremskynder bankens respons.

Hvis du mistenker at kortet ditt har blitt klonet eller at kontoen din har blitt koblet til

Det første er å blokkere klonet kredittkort Be om et nytt nummer fra appen eller ved å ringe banken. Be utstederen om å fjerne tilknytningen til eventuelle tilknyttede mobillommebøker du ikke kjenner igjen, og om å aktivere forbedret overvåking. i tillegg til å endre passord og sjekke enhetene dine.

Avinstaller apper du ikke husker å ha installert på mobilenheten din, kjør en skanning med sikkerhetsløsningen din, og hvis tegn på infeksjon vedvarer, gjenopprett til fabrikkinnstillinger etter at du har tatt en sikkerhetskopi. Unngå å installere på nytt fra uoffisielle kilder.

Send inn en rapport om nødvendig og samle bevis (meldinger, skjermbilder, kvitteringer). Jo før du rapporterer det, desto før kan banken din iverksette refusjoner og blokkere betalinger. Hastighet er nøkkelen til å stoppe dominoeffekten.

Ulempen med kontaktløs bekvemmelighet er at angripere også opererer i nærheten av hverandre. Å forstå hvordan de fungerer – fra skimming av folkemengder til å koble kort til mobile lommebøker, Ghost Tap-videresending eller skadelig programvare som fanger opp NFC – gjør det mulig å ta informerte beslutninger: stramme inn restriksjoner, kreve sterk autentisering, bruke tokenisering, slå av funksjoner når de ikke er i bruk, overvåke bevegelser og forbedre digital hygiene. Med noen få solide barrierer på plass, Det er fullt mulig å benytte seg av kontaktløse betalinger samtidig som risikoen minimeres.