NFC i klonowanie kart: realne zagrożenia i jak blokować płatności zbliżeniowe

Technologie zbliżeniowe ułatwiły nam życie, ale otworzyły też nowe drzwi dla oszustów; dlatego ważne jest, aby zrozumieć ich ograniczenia i Wdrożenie środków bezpieczeństwa przed wystąpieniem szkody.

W tym artykule bez zbędnych ceregieli dowiesz się, jak działa NFC/RFID, jakich sztuczek używają przestępcy na imprezach i w miejscach publicznych, jakie zagrożenia pojawiły się w telefonach komórkowych i terminalach płatniczych, a przede wszystkim: Jak zablokować lub ograniczyć płatności zbliżeniowe w dogodnym dla Ciebie momencieZacznijmy od kompletnego przewodnika na temat: NFC i klonowanie kart: realne zagrożenia i jak blokować płatności zbliżeniowe.

Czym jest RFID i co dodaje NFC?

Dla porównania: podstawą wszystkiego jest RFID. To system wykorzystujący częstotliwość radiową do identyfikacji tagów lub kart z niewielkiej odległości, który może działać na dwa sposoby. W wariancie pasywnym tag nie ma baterii i… Aktywowana jest przez energię czytelnika.Jest to typowe rozwiązanie dla przepustek transportowych, identyfikacji lub etykietowania produktów. W wersji aktywnej tag jest wyposażony w baterię i ma większy zasięg, co jest powszechne w logistyce, ochronie i motoryzacji.

Mówiąc najprościej, NFC to ewolucja zaprojektowana z myślą o codziennym użytkowaniu z telefonami komórkowymi i kartami: umożliwia dwukierunkową komunikację, jest zoptymalizowana pod kątem bardzo krótkich odległości i stała się standardem w zakresie szybkich płatności, dostępu i wymiany danych. Jej największą zaletą jest bezpośredniość.:przybliżasz ją i to wszystko, bez wkładania karty do gniazda.

Płacąc kartą zbliżeniową, chip NFC/RFID przesyła niezbędne informacje do terminala płatniczego sprzedawcy. Jednak płacąc telefonem komórkowym lub zegarkiem, znajdujesz się w zupełnie innej lidze: urządzenie działa jako pośrednik i dodaje kolejne warstwy zabezpieczeń (biometria, PIN, tokenizacja), które… Zmniejsza to ryzyko ujawnienia rzeczywistych danych na karcie..

Karty zbliżeniowe kontra płatności urządzeniami

• Karty fizyczne bezstykowe: Wystarczy zbliżyć je do terminala; w przypadku małych kwot podanie kodu PIN może nie być wymagane, ze względu na limity ustalone przez bank lub kraj.
• Płatności telefonem komórkowym lub zegarkiem: Korzystają z portfeli cyfrowych (Apple Pay, Google Wallet, Samsung Pay), które zazwyczaj wymagają użycia odcisku palca, twarzy lub kodu PIN, a prawdziwe numery zastępują jednorazowym tokenem. co uniemożliwia sprzedawcy zobaczenie Twojej autentycznej karty.

Fakt, że obie metody bazują na tym samym fundamencie NFC, nie oznacza, że ​​stwarzają takie samo ryzyko. Różnica tkwi w nośniku (plastik kontra urządzenie) oraz w dodatkowych barierach, jakie dodaje smartfon. szczególnie uwierzytelnianie i tokenizacja.

Gdzie i w jaki sposób dochodzi do oszustw bezkontaktowych?

Przestępcy wykorzystują fakt, że odczyt NFC odbywa się z bardzo bliskiej odległości. W zatłoczonych miejscach – w transporcie publicznym, na koncertach, imprezach sportowych, targach – przenośny czytnik może zbliżyć się do kieszeni lub torby bez wzbudzania podejrzeń i przechwycić informacje. Ta metoda, znana jako skimming, pozwala na duplikację danych, które następnie są wykorzystywane do zakupów lub klonowania. choć często wymagają dodatkowych kroków, aby oszustwo było skuteczne.

Innym wektorem jest manipulacja terminalami. Zmodyfikowany terminal płatniczy ze złośliwym czytnikiem NFC może przechowywać dane bez Twojej wiedzy, a w połączeniu z ukrytymi kamerami lub prostą obserwacją wizualną, atakujący mogą uzyskać kluczowe informacje, takie jak cyfry i daty ważności. W renomowanych sklepach zdarza się to rzadko, ale ryzyko jest większe w przypadku prowizorycznych straganów..

Nie powinniśmy też zapominać o kradzieży tożsamości: mając wystarczającą ilość danych, przestępcy mogą wykorzystać je do zakupów online lub transakcji, które nie wymagają uwierzytelniania za pomocą drugiego czynnika. Niektóre podmioty zapewniają lepszą ochronę niż inne – stosując silne szyfrowanie i tokenizację – ale, jak ostrzegają eksperci, W momencie transmisji chipa obecne są dane niezbędne do przeprowadzenia transakcji..

Równocześnie pojawiły się ataki, których celem nie jest odczytanie karty na ulicy, ale zdalne powiązanie jej z portfelem mobilnym przestępcy. To właśnie tutaj pojawia się masowy phishing, fałszywe strony internetowe i obsesja na punkcie zdobywania jednorazowych haseł (OTP). które są kluczem do autoryzacji operacji.

Klonowanie, zakupy online i dlaczego czasami to działa

Czasami przechwycone dane obejmują pełny numer seryjny i datę ważności. To może wystarczyć do zakupów online, jeśli sprzedawca lub bank nie wymaga dalszej weryfikacji. W świecie fizycznym sytuacja jest bardziej skomplikowana ze względu na chipy EMV i mechanizmy zabezpieczające przed oszustwami, ale niektórzy atakujący… Próbują szczęścia, dokonując transakcji w terminalach akceptujących płatności lub za niewielkie kwoty.

Od przynęty do płatności: łączenie skradzionych kart z portfelami mobilnymi

Coraz popularniejsza taktyka polega na tworzeniu sieci fałszywych stron internetowych (mandaty, wysyłka, faktury, fałszywe sklepy), które wymagają „weryfikacji” lub płatności tokenem. Ofiara wprowadza dane swojej karty, a czasami także hasło jednorazowe (OTP). W rzeczywistości w tym momencie nic nie jest pobierane: dane są wysyłane do atakującego, który następnie próbuje… połącz tę kartę ze swoim Apple Pay lub Google Wallet tak szybko jak to możliwe

Aby przyspieszyć procedurę, niektóre grupy generują cyfrowy obraz, który replikuje kartę z danymi ofiary, „fotografują” ją, wyjmując z portfela, a następnie dokonują powiązania, jeśli bank potrzebuje tylko numeru, daty ważności, właściciela, kodu CVV i jednorazowego kodu OTP. Wszystko może się wydarzyć w ciągu jednej sesji..

Co ciekawe, nie zawsze płacą od razu. Gromadzą dziesiątki powiązanych kart na telefonie i odsprzedają je w dark webie. Kilka tygodni później kupujący używa tego urządzenia do płacenia zbliżeniowo w sklepach stacjonarnych lub do pobierania płatności za nieistniejące produkty we własnym sklepie, na legalnej platformie. W wielu przypadkach nie jest wymagane podawanie kodu PIN ani kodu jednorazowego użycia na terminalu POS..

Są kraje, w których można nawet wypłacać gotówkę z bankomatów obsługujących NFC za pomocą telefonu komórkowego, co stanowi kolejną metodę monetyzacji. Tymczasem ofiara może nawet nie pamiętać nieudanej próby płatności na tej stronie i nie zauważyć żadnych „dziwnych” opłat, dopóki nie będzie za późno. ponieważ pierwsze oszukańcze użycie następuje znacznie później.

Ghost Tap: transmisja, która oszukuje czytnik kart

Inną techniką omawianą na forach bezpieczeństwa jest przekaźnik NFC, nazywany Ghost Tap. Opiera się on na dwóch telefonach komórkowych i legalnych aplikacjach testowych, takich jak NFCGate: jeden z nich trzyma portfel ze skradzionymi kartami, a drugi, podłączony do internetu, pełni rolę „ręki” w sklepie. Sygnał z pierwszego telefonu jest przekazywany w czasie rzeczywistym, a „muł” zbliża drugi telefon do czytnika kart. który nie rozróżnia łatwo sygnału oryginalnego od sygnału retransmitowanego.

Sztuczka pozwala kilku mułom płacić niemal jednocześnie tą samą kartą, a jeśli policja sprawdzi telefon muła, zobaczy tylko legalną aplikację bez żadnych numerów kart. Dane wrażliwe znajdują się na drugim urządzeniu, być może w innym kraju. Schemat ten komplikuje przypisanie odpowiedzialności i przyspiesza pranie pieniędzy..

Szkodliwe oprogramowanie mobilne i sprawa NGate: kiedy Twój telefon kradnie dla Ciebie

Badacze bezpieczeństwa udokumentowali kampanie w Ameryce Łacińskiej – takie jak oszustwo NGate w Brazylii – w których fałszywa aplikacja bankowa na Androida nakłania użytkowników do aktywacji NFC i zbliżenia karty do telefonu. Szkodliwe oprogramowanie przechwytuje komunikację i wysyła dane do atakującego, który następnie emuluje kartę, aby dokonywać płatności lub wypłat. Wystarczy, że użytkownik zaufa niewłaściwej aplikacji..

Ryzyko nie ogranicza się do jednego kraju. Na rynkach takich jak Meksyk i reszta regionu, gdzie rośnie popularność płatności zbliżeniowych, a wielu użytkowników instaluje aplikacje z podejrzanych linków, sytuacja jest podatna na zagrożenia. Chociaż banki zaostrzają swoje kontrole, Złośliwcy szybko podejmują działania i wykorzystują każde niedopatrzenie..

Jak działają te oszustwa krok po kroku

1. Otrzymujesz ostrzeżenie o pułapce: wiadomość lub e-mail, który „wymaga” od Ciebie aktualizacji aplikacji banku za pomocą łącza.
2. Instalujesz sklonowaną aplikację: Wygląda realistycznie, ale jest złośliwy i żąda uprawnień NFC.
3. Poprosi Cię o zbliżenie karty: lub aktywować NFC podczas operacji i tam przechwycić dane.
4. Atakujący emuluje Twoją kartę: i dokonuje płatności lub wypłat, o czym dowiesz się później.

Co więcej, pod koniec 2024 roku pojawił się kolejny problem: fałszywe aplikacje, które proszą użytkowników o zbliżenie karty do telefonu i wprowadzenie kodu PIN „w celu jej weryfikacji”. Aplikacja następnie przekazuje informacje przestępcy, który dokonuje zakupów lub wypłat w bankomatach NFC. Kiedy banki wykryły anomalie geolokalizacyjne, w 2025 roku pojawił się nowy wariant: Przekonują ofiarę do wpłacenia pieniędzy na rzekomo bezpieczne konto. W bankomacie, gdy atakujący za pośrednictwem przekaźnika okazuje własną kartę, depozyt trafia w ręce oszusta, a system antyfraudowy traktuje go jako legalną transakcję.

Dodatkowe zagrożenia: terminale płatnicze, kamery i kradzież tożsamości

Zmanipulowane terminale nie tylko przechwytują potrzebne im dane za pomocą NFC, ale mogą również przechowywać dzienniki transakcji i uzupełniać je obrazami z ukrytych kamer. Jeśli zdobędą numer seryjny i datę ważności, niektórzy nieuczciwi sprzedawcy internetowi mogą akceptować zakupy bez drugiego czynnika weryfikacji. Siła banku i firmy robi całą różnicę.

Równolegle opisywano scenariusze, w których ktoś dyskretnie fotografuje kartę lub nagrywa ją telefonem komórkowym podczas wyjmowania jej z portfela. Choć może się to wydawać banalne, te wizualne wycieki, w połączeniu z innymi danymi, mogą prowadzić do kradzieży tożsamości, nieautoryzowanych rejestracji w usługach lub zakupów. Inżynieria społeczna kończy pracę techniczną.

Jak się chronić: praktyczne środki, które naprawdę działają

• Ustaw limity płatności zbliżeniowych: Obniża maksymalne kwoty, więc jeśli dojdzie do niewłaściwego użycia, jego wpływ będzie mniejszy.
• Aktywuj biometrię lub PIN na swoim telefonie komórkowym lub zegarku: W ten sposób nikt nie będzie mógł dokonać płatności z Twojego urządzenia bez Twojej autoryzacji.
• Użyj tokenizowanych portfeli: Zastępują rzeczywisty numer tokenem, dzięki czemu sprzedawca nie musi ujawniać sprzedawcy danych Twojej karty.
• Dezaktywuj płatności zbliżeniowe, jeśli z nich nie korzystasz: Wiele podmiotów umożliwia tymczasowe wyłączenie tej funkcji na karcie.
• Wyłącz funkcję NFC w telefonie, gdy jej nie potrzebujesz: Zmniejsza powierzchnię ataku w postaci złośliwych aplikacji i niepożądanych odczytów.
• Chroń swoje urządzenie: Zamknij je za pomocą silnego hasła, wzoru zabezpieczającego lub danych biometrycznych i nie zostawiaj go otwartego na żadnym blacie.
• Utrzymuj wszystko na bieżąco: system, aplikacje i oprogramowanie sprzętowe; wiele aktualizacji naprawia błędy, które umożliwiają wykorzystywanie tych ataków.
• Aktywuj alerty transakcyjne: Wysyłaj powiadomienia push i SMS, aby wykrywać ruchy w czasie rzeczywistym i reagować natychmiast.
• Regularnie sprawdzaj swoje wyciągi: poświęć chwilę w tygodniu na sprawdzenie opłat i zlokalizowanie podejrzanych, małych kwot.
• Zawsze sprawdzaj kwotę na terminalu POS: Przed zbliżeniem karty spójrz na ekran i zachowaj paragon.
• Zdefiniuj maksymalne kwoty bez PIN-u: Wymusza to dodatkową autoryzację przy zakupach o określonej wartości.
• Użyj koszulek lub kart blokujących RFID/NFC: Nie są nieomylne, ale zwiększają wysiłek atakującego.
• Preferuj karty wirtualne przy zakupach online: Przed dokonaniem płatności doładuj saldo i wyłącz płatności offline, jeśli Twój bank je oferuje.
• Często odnawiaj swoją kartę wirtualną: Wymiana przynajmniej raz w roku zmniejsza ryzyko przecieku.
• Powiąż z portfelem inną kartę niż ta, której używasz online: oddziela ryzyko pomiędzy płatnościami fizycznymi i internetowymi.
• Unikaj korzystania z telefonów z włączoną funkcją NFC w bankomatach: Do wypłat i wpłat prosimy używać fizycznej karty.
• Zainstaluj sprawdzony pakiet zabezpieczeń: Szukaj funkcji ochrony płatności i blokowania prób wyłudzenia informacji na urządzeniach mobilnych i komputerach PC.
• Pobieraj aplikacje tylko z oficjalnych sklepów: i potwierdź twórcę; zachowaj ostrożność w przypadku linków wysyłanych przez SMS lub komunikatory.
• W zatłoczonych miejscach: Przechowuj karty w wewnętrznej kieszeni lub portfelu, aby je zabezpieczyć i unikaj ich wystawiania na widok publiczny.
• Dla firm: Dział IT prosi dział IT o przegląd firmowych urządzeń mobilnych, wdrożenie zarządzania urządzeniami i zablokowanie nieznanych instalacji.

Rekomendacje organizacji i najlepsze praktyki

• Sprawdź kwotę przed zapłatą: Nie zbliżaj karty do momentu sprawdzenia kwoty na terminalu.
• Zachowaj paragony: Pomagają porównywać zarzuty i składać roszczenia wraz z dowodami, jeśli występują rozbieżności.
• Aktywuj powiadomienia z aplikacji bankowej: Są pierwszym sygnałem ostrzegawczym informującym o nierozpoznanym obciążeniu.
• Regularnie sprawdzaj swoje wyciągi: Wczesne wykrycie ogranicza szkody i przyspiesza reakcję banku.

Jeśli podejrzewasz, że Twoja karta została sklonowana lub Twoje konto zostało połączone

Pierwszą rzeczą jest zablokowanie sklonowana karta kredytowa Z poziomu aplikacji lub dzwoniąc do banku, poproś o nowy numer. Poproś wystawcę o odłączenie wszystkich powiązanych portfeli mobilnych, których nie rozpoznajesz, i aktywację rozszerzonego monitoringu. oprócz zmiany haseł i sprawdzania urządzeń.

Na urządzeniu mobilnym odinstaluj aplikacje, których instalacji nie pamiętasz, przeskanuj je za pomocą rozwiązania zabezpieczającego, a jeśli objawy infekcji nadal będą występować, przywróć ustawienia fabryczne po wykonaniu kopii zapasowej. Unikaj ponownej instalacji z nieoficjalnych źródeł.

W razie potrzeby złóż raport i zbierz dowody (wiadomości, zrzuty ekranu, paragony). Im szybciej to zgłosisz, tym szybciej Twój bank będzie mógł zainicjować zwroty i zablokować płatności. Szybkość jest kluczem do zatrzymania efektu domina.

Wadą wygody płatności zbliżeniowych jest to, że atakujący działają również w bliskiej odległości. Zrozumienie, jak działają – od crowd skimmingu, przez łączenie kart z portfelami mobilnymi, przekazywanie Ghost Tap, po złośliwe oprogramowanie przechwytujące NFC – pozwala na podejmowanie świadomych decyzji: zaostrzanie ograniczeń, wymaganie silnego uwierzytelniania, stosowanie tokenizacji, wyłączanie funkcji, gdy nie są używane, monitorowanie ruchów i poprawę higieny cyfrowej. Z kilkoma solidnymi barierami, Można cieszyć się płatnościami zbliżeniowymi, minimalizując jednocześnie ryzyko.