NFC și clonarea cardurilor: riscuri reale și cum să blochezi plățile contactless

Tehnologiile de proximitate ne-au făcut viața mai convenabilă, dar au deschis și noi uși pentru escroci; de aceea este important să le înțelegem limitele și... Implementați măsuri de siguranță înainte ca daunele să se producă efectiv.

În acest articol veți găsi, fără a ocoli subiectul, cum funcționează NFC/RFID, ce trucuri folosesc infractorii la evenimente și în locuri aglomerate, ce amenințări au apărut în telefoanele mobile și terminalele de plată și, mai presus de toate, Cum să blochezi sau să reduci plățile contactless atunci când îți convineSă începem cu un ghid complet despre: NFC și clonarea cardurilor: riscuri reale și cum să blochezi plățile contactless.

Ce este RFID și ce adaugă NFC?

Ca să punem lucrurile în perspectivă: RFID este fundamentul tuturor acestor lucruri. Este un sistem care folosește radiofrecvența pentru a identifica etichete sau carduri la distanțe scurte și poate funcționa în două moduri. În varianta sa pasivă, eticheta nu are baterie și Este activat de energia cititorului.Este tipică pentru permise de transport, identificare sau etichetare a produselor. În versiunea sa activă, eticheta încorporează o baterie și atinge distanțe mai mari, ceea ce este comun în logistică, securitate și industria auto.

Simplu spus, NFC este o evoluție concepută pentru utilizarea zilnică a telefoanelor mobile și a cardurilor: permite comunicarea bidirecțională, este optimizată pentru distanțe foarte scurte și a devenit standardul pentru plăți rapide, acces și schimb de date. Cea mai mare putere a sa este imediatitatea.: îl aduci aproape și gata, fără a introduce cardul în slot.

Când plătiți cu un card contactless, cipul NFC/RFID transmite informațiile necesare către terminalul de plată al comerciantului. Cu toate acestea, dacă plătiți cu telefonul mobil sau cu ceasul, sunteți într-o altă categorie: dispozitivul acționează ca intermediar și adaugă niveluri de securitate (biometrie, PIN, tokenizare), ceea ce... Reduce expunerea datelor reale ale cardului..

Carduri contactless versus plăți cu dispozitive

• Carduri fizice contactless: Pur și simplu aduceți-le aproape de terminal; pentru sume mici, este posibil să nu fie necesar un cod PIN, în funcție de limitele stabilite de bancă sau de țară.
• Plăți cu telefonul mobil sau ceasul: Aceștia folosesc portofele digitale (Apple Pay, Google Wallet, Samsung Pay) care necesită de obicei amprentă digitală, identificare facială sau cod PIN și înlocuiesc numărul real cu un token de unică folosință. care împiedică comerciantul să vadă cardul dumneavoastră autentic.

Faptul că ambele metode au aceeași bază NFC nu înseamnă că prezintă aceleași riscuri. Diferența constă în mediu (plastic versus dispozitiv) și în barierele suplimentare adăugate de smartphone. în special autentificarea și tokenizarea.

Unde și cum au loc fraudele contactless?

Infractorii exploatează faptul că citirea NFC are loc la o distanță foarte mică. În locuri aglomerate - transport public, concerte, evenimente sportive, târguri - un cititor portabil se poate apropia de buzunare sau genți fără a stârni suspiciuni și poate capta informații. Această metodă, cunoscută sub numele de skimming, permite duplicarea datelor, care sunt apoi utilizate pentru achiziții sau clonare. deși adesea au nevoie de măsuri suplimentare pentru a face frauda eficientă.

Un alt vector este manipularea terminalelor. Un terminal de plată modificat, cu un cititor NFC malițios, poate stoca date fără ca utilizatorul să observe, iar dacă este combinat cu camere ascunse sau cu simpla observare vizuală, atacatorii pot obține informații cheie, cum ar fi cifre și date de expirare. Se găsește rar în magazinele reputate, dar riscul crește la tarabele improvizate..

Nu trebuie să uităm nici furtul de identitate: având suficiente date, infractorii le pot folosi pentru achiziții online sau tranzacții care nu necesită un al doilea factor. Unele entități oferă o protecție mai bună decât altele - folosind criptare puternică și tokenizare - dar, așa cum avertizează experții, Când cipul transmite, datele necesare tranzacției sunt prezente..

În paralel, au apărut atacuri care nu au ca scop citirea cardului pe stradă, ci mai degrabă conectarea acestuia de la distanță la propriul portofel mobil al infractorului. Aici intră în joc phishing-ul la scară largă, site-urile web false și obsesia de a obține parole de unică folosință (OTP). care sunt cheia pentru autorizarea operațiunilor.

Clonarea, cumpărăturile online și de ce funcționează uneori

Uneori, datele capturate includ numărul de serie complet și data de expirare. Acest lucru poate fi suficient pentru achizițiile online dacă comerciantul sau banca nu necesită verificări suplimentare. În lumea fizică, lucrurile sunt mai complicate din cauza cipurilor EMV și a controalelor antifraudă, dar unii atacatori... Își încearcă norocul cu tranzacții la terminale permisive sau cu sume mici.

De la momeală la plată: conectarea cardurilor furate la portofelele mobile

O tactică tot mai răspândită implică crearea de rețele de site-uri web frauduloase (amenzi, livrări, facturi, magazine false) care solicită „verificare” sau o plată simbolică. Victima introduce datele cardului său și, uneori, un OTP (plată unică). În realitate, nimic nu este taxat în acel moment: datele sunt trimise atacatorului, care apoi încearcă să... conectează cardul respectiv la Apple Pay sau Google Wallet cât mai curând posibil

Pentru a accelera lucrurile, unele grupuri generează o imagine digitală care reproduce cardul cu datele victimei, o „fotografiază” din portofel și completează conectarea dacă banca solicită doar numărul, data expirării, titularul, CVV-ul și codul OTP. Totul se poate întâmpla într-o singură sesiune..

Interesant este că nu cheltuiesc întotdeauna imediat. Acumulează zeci de carduri conectate pe un telefon și le revând pe dark web. Săptămâni mai târziu, un cumpărător va folosi acel dispozitiv pentru a plăti în magazine fizice prin contactless sau pentru a colecta plata pentru produse inexistente în propriul magazin, în cadrul unei platforme legitime. În multe cazuri, nu se solicită niciun PIN sau OTP la terminalul POS..

Există țări în care poți chiar să retragi numerar de la bancomatele cu tehnologie NFC folosind telefonul mobil, adăugând astfel o altă metodă de monetizare. Între timp, victima s-ar putea să nici nu-și amintească de încercarea de plată eșuată pe site-ul respectiv și să nu observe nicio taxă „ciudată” până când nu este prea târziu. deoarece prima utilizare frauduloasă are loc mult mai târziu.

Ghost Tap: transmisia care păcălește cititorul de carduri

O altă tehnică discutată pe forumurile de securitate este retransmiterea NFC, supranumită Ghost Tap. Se bazează pe două telefoane mobile și aplicații de testare legitime, cum ar fi NFCGate: unul ține portofelul cu carduri furate; celălalt, conectat la internet, acționează ca „mâna” în magazin. Semnalul de la primul telefon este transmis în timp real, iar dispozitivul aduce al doilea telefon aproape de cititorul de carduri. care nu distinge ușor între un semnal original și unul retransmis.

Trucul permite mai multor persoane să plătească aproape simultan cu același card, iar dacă poliția verifică telefonul persoanei, vede doar o aplicație legitimă, fără numere de card. Datele sensibile se află pe celălalt dispozitiv, probabil în altă țară. Această schemă complică atribuirea și accelerează spălarea banilor..

Malware-ul mobil și cazul NGate: când telefonul tău fură pentru tine

Cercetătorii în domeniul securității au documentat campanii în America Latină - cum ar fi escrocheria NGate din Brazilia - în care o aplicație bancară falsă pentru Android îi îndeamnă pe utilizatori să activeze NFC și să „apropie cardul” de telefon. Programul malware interceptează comunicarea și trimite datele atacatorului, care apoi emulează cardul pentru a efectua plăți sau retrageri. Tot ce trebuie este ca utilizatorul să aibă încredere în aplicația greșită..

Riscul nu este exclusiv unei singure țări. Pe piețe precum Mexicul și restul regiunii, unde utilizarea plăților de proximitate este în creștere și mulți utilizatori instalează aplicații de pe linkuri dubioase, terenul este fertil. Deși băncile își consolidează controalele, Actorii rău intenționați iterație rapidă și exploatează orice omisiune..

Cum funcționează aceste escrocherii pas cu pas

1. Sosește o avertizare de capcană: un mesaj sau un e-mail care „ți solicită” să actualizezi aplicația băncii prin intermediul unui link.
2. Instalați o aplicație clonată: Pare real, dar este rău intenționat și solicită permisiuni NFC.
3. Îți cere să aduci cartea aproape: sau activați NFC în timpul unei operațiuni și capturați datele acolo.
4. Atacatorul emulează cardul tău: și efectuează plăți sau retrageri, pe care le veți descoperi mai târziu.

În plus, o altă întorsătură a apărut la sfârșitul anului 2024: aplicații frauduloase care le cer utilizatorilor să țină cardul lângă telefon și să introducă codul PIN „pentru a-l verifica”. Aplicația transmite apoi informațiile infractorului, care face achiziții sau retrageri de bani la bancomatele NFC. Când băncile detectau anomalii de geolocalizare, o nouă variantă apărea în 2025: Aceștia conving victima să își depună banii într-un cont presupus securizat. De la un bancomat, în timp ce atacatorul, prin retransmitere, își prezintă propriul card; depozitul ajunge în mâinile fraudatorului, iar sistemul antifraudă îl consideră o tranzacție legitimă.

Riscuri suplimentare: terminale de plată cu cardul, camere video și furt de identitate

Terminalele modificate nu numai că captează ceea ce au nevoie prin NFC, dar pot stoca și jurnale de tranzacții și le pot completa cu imagini de la camere ascunse. Dacă obțin numărul de serie și data de expirare, anumiți comercianți online fără scrupule ar putea accepta achiziții fără un al doilea factor de verificare. Puterea băncii și a afacerii face toată diferența.

În paralel, au fost descrise scenarii în care cineva fotografiază discret un card sau îl înregistrează cu telefonul mobil în timp ce îl scoți din portofel. Deși poate părea banal, aceste scurgeri vizuale, combinate cu alte date, pot duce la fraudă de identitate, înscrieri neautorizate la servicii sau achiziții neautorizate. Ingineria socială completează lucrările tehnice.

Cum să te protejezi: măsuri practice care chiar funcționează

• Setați limite pentru plățile contactless: Reduce cantitățile maxime astfel încât, în cazul unei utilizări greșite, impactul este mai mic.
• Activați datele biometrice sau codul PIN pe telefonul mobil sau pe ceas: În acest fel, nimeni nu poate plăti de pe dispozitivul tău fără autorizația ta.
• Folosește portofele tokenizate: Acestea înlocuiesc numărul real cu un token, evitând expunerea cardului dumneavoastră către comerciant.
• Dezactivați plata contactless dacă nu o utilizați: Multe entități vă permit să dezactivați temporar acea funcție pe card.
• Dezactivați funcția NFC a telefonului atunci când nu aveți nevoie de ea: Reduce suprafața de atac împotriva aplicațiilor rău intenționate sau a citirilor nedorite.
• Protejați-vă dispozitivul: Încuie-l cu o parolă puternică, un model securizat sau date biometrice și nu-l lăsa deblocat pe niciun tejghea.
• Păstrează totul la zi: sistem, aplicații și firmware; multe actualizări remediază erori care exploatează aceste atacuri.
• Activează alertele de tranzacție: Push și SMS pentru a detecta mișcările în timp real și a reacționa instantaneu.
• Verificați-vă declarațiile periodic: dedicați un moment săptămânal verificării taxelor și localizării unor sume mici suspecte.
• Verificați întotdeauna suma pe terminalul POS: Priviți ecranul înainte de a apropia cardul și păstrați chitanța.
• Definiți sumele maxime fără PIN: Aceasta forțează o autentificare suplimentară pentru achizițiile de o anumită sumă.
• Folosiți huse sau carduri cu blocare RFID/NFC: Nu sunt infailibile, dar sporesc efortul atacatorului.
• Prefer carduri virtuale pentru achiziții online: Încărcați soldul chiar înainte de a plăti și dezactivați plățile offline dacă banca dvs. oferă acest lucru.
• Reînnoiți-vă cardul virtual frecvent: Schimbarea acestuia cel puțin o dată pe an reduce expunerea în cazul în care există scurgeri.
• Conectează un card diferit de cel pe care îl folosești online la portofelul tău: separă riscurile între plățile fizice și cele online.
• Evitați utilizarea telefoanelor cu NFC la bancomate: Pentru retrageri sau depuneri, vă rugăm să utilizați cardul fizic.
• Instalați o suită de securitate reputată: Căutați funcții de protecție a plăților și de blocare a phishing-ului pe mobil și PC.
• Descărcați aplicații doar din magazinele oficiale: și confirmați dezvoltatorul; fiți atenți la linkurile prin SMS sau mesagerie.
• În spații aglomerate: Păstrați cardurile într-un buzunar interior sau într-un portofel cu protecție și evitați să le expuneți.
• Pentru afaceri: IT solicită departamentului IT să revizuiască telefoanele mobile ale companiei, să aplice gestionarea dispozitivelor și să blocheze instalările necunoscute.

Recomandări din partea organizațiilor și cele mai bune practici

• Verificați suma înainte de a plăti: Nu apropiați cardul până nu ați verificat suma pe terminal.
• Păstrați chitanțele: Vă ajută să comparați acuzațiile și să depuneți cereri cu dovezi în cazul în care există discrepanțe.
• Activează notificările din aplicația bancară: Acestea sunt primul semn de avertizare al unei taxe nerecunoscute.
• Verificați-vă declarațiile periodic: Detectarea timpurie reduce pagubele și accelerează răspunsul băncii.

Dacă suspectați că cardul dumneavoastră a fost clonat sau că contul dumneavoastră a fost conectat

Primul lucru este să blocăm card de credit clonat Din aplicație sau sunând la bancă, solicitați un număr nou. Rugați emitentul să deconecteze orice portofele mobile asociate pe care nu le recunoașteți și să activeze monitorizarea îmbunătățită. pe lângă schimbarea parolelor și verificarea dispozitivelor.

Pe dispozitivul mobil, dezinstalează aplicațiile pe care nu ți le amintești că le-ai instalat, rulează o scanare cu soluția de securitate și, dacă semnele de infecție persistă, restaurează-le la setările din fabrică după ce faci o copie de rezervă. Evitați reinstalarea din surse neoficiale.

Depuneți o sesizare dacă este necesar și adunați dovezi (mesaje, capturi de ecran, chitanțe). Cu cât raportați mai repede, cu atât mai repede banca dvs. poate iniția rambursări și bloca plăți. Viteza este esențială pentru oprirea efectului de domino.

Dezavantajul confortului utilizării contactless este că atacatorii operează și în imediata apropiere. Înțelegerea modului în care funcționează - de la crowd skimming la conectarea cardurilor la portofele mobile, retransmiterea Ghost Tap sau malware-ul care interceptează NFC - permite luarea unor decizii informate: înăsprirea restricțiilor, solicitarea unei autentificări puternice, utilizarea tokenizării, dezactivarea funcțiilor atunci când nu sunt utilizate, monitorizarea mișcărilor și îmbunătățirea igienei digitale. Cu câteva bariere solide implementate, Este perfect posibil să te bucuri de plăți contactless, minimizând în același timp riscurile.