NFC in kloniranje kartic: resnična tveganja in kako blokirati brezstična plačila

Tehnologije bližine so nam olajšale življenje, hkrati pa so odprle nova vrata za prevarante; zato je pomembno razumeti njihove omejitve in Uvedite varnostne ukrepe, preden dejansko pride do škode.

V tem članku boste brez ovinkarjenja izvedeli, kako deluje NFC/RFID, katere trike uporabljajo kriminalci na dogodkih in v gneči, katere grožnje so se pojavile v mobilnih telefonih in plačilnih terminalih ter predvsem, Kako blokirati ali omiliti brezstična plačila, ko vam to ustrezaZačnimo s popolnim vodnikom o: NFC in kloniranje kartic: resnična tveganja in kako blokirati brezstična plačila.

Kaj je RFID in kaj dodaja NFC?

Da stvari postavimo v perspektivo: RFID je temelj vsega. Gre za sistem, ki uporablja radijsko frekvenco za identifikacijo oznak ali kartic na kratkih razdaljah in lahko deluje na dva načina. V pasivni različici oznaka nima baterije in Aktivira ga bralčeva energija.Značilna je za transportne prepustnice, identifikacijo ali označevanje izdelkov. V aktivni različici oznaka vključuje baterijo in doseže večje razdalje, kar je običajno v logistiki, varnosti in avtomobilski industriji.

Preprosto povedano, NFC je evolucija, zasnovana za vsakodnevno uporabo mobilnih telefonov in kartic: omogoča dvosmerno komunikacijo, je optimiziran za zelo kratke razdalje in je postal standard za hitra plačila, dostop in izmenjavo podatkov. Njegova največja moč je neposrednost.: približaš ga in to je to, ne da bi kartico vstavil v režo.

Ko plačujete z brezstično kartico, čip NFC/RFID posreduje potrebne podatke plačilnemu terminalu trgovca. Če pa plačujete z mobilnim telefonom ali uro, ste v drugi ligi: naprava deluje kot posrednik in dodaja plasti varnosti (biometrija, PIN, tokenizacija), ki Zmanjša izpostavljenost dejanskih podatkov kartice..

Brezstične kartice v primerjavi s plačili z napravami

• Brezstične fizične kartice: Preprosto jih približajte terminalu; za majhne zneske PIN morda ne bo potreben, odvisno od omejitev, ki jih določa banka ali država.
• Plačila z mobilnim telefonom ali uro: Uporabljajo digitalne denarnice (Apple Pay, Google Wallet, Samsung Pay), ki običajno zahtevajo prstni odtis, obraz ali PIN, pravo številko pa nadomestijo z žetonom za enkratno uporabo. kar trgovcu preprečuje, da bi videl vašo pristno kartico.

Dejstvo, da obe metodi uporabljata isto osnovo NFC, ne pomeni, da predstavljata enaka tveganja. Razlika je v mediju (plastika proti napravi) in v dodatnih ovirah, ki jih doda pametni telefon. zlasti avtentikacija in tokenizacija.

Kje in kako se pojavljajo brezstične goljufije?

Kriminalci izkoriščajo dejstvo, da se branje NFC dogaja na zelo kratki razdalji. V gnečih – javnem prevozu, koncertih, športnih prireditvah, sejmih – se lahko prenosni bralnik približa žepom ali torbam, ne da bi vzbudil sum, in zajame informacije. Ta metoda, znana kot skimming, omogoča podvajanje podatkov, ki se nato uporabijo za nakupe ali kloniranje. čeprav pogosto potrebujejo dodatne korake, da bi bila goljufija učinkovita.

Drug vektor je manipulacija terminalov. Spremenjen plačilni terminal z zlonamernim bralnikom NFC lahko shranjuje podatke, ne da bi jih opazili, in če ga kombiniramo s skritimi kamerami ali preprostim vizualnim opazovanjem, lahko napadalci pridobijo ključne informacije, kot so številke in datumi poteka veljavnosti. V uglednih trgovinah je to redko, vendar se tveganje poveča na improviziranih stojnicah..

Prav tako ne smemo pozabiti na krajo identitete: z dovolj podatki jih lahko kriminalci uporabijo za spletne nakupe ali transakcije, ki ne zahtevajo drugega faktorja. Nekatere entitete zagotavljajo boljšo zaščito kot druge – z uporabo močnega šifriranja in tokenizacije – vendar, kot opozarjajo strokovnjaki, Ko čip oddaja podatke, so prisotni podatki, potrebni za transakcijo..

Vzporedno so se pojavili napadi, katerih cilj ni branje vaše kartice na ulici, temveč njena oddaljena povezava z mobilno denarnico storilca. Tukaj pridejo v poštev obsežno lažno predstavljanje, lažna spletna mesta in obsedenost s pridobivanjem enkratnih gesel (OTP). ki so ključni za odobritev operacij.

Kloniranje, spletno nakupovanje in zakaj včasih deluje

Včasih zajeti podatki vključujejo celotno serijsko številko in datum poteka veljavnosti. To je lahko dovolj za spletne nakupe, če trgovec ali banka ne zahteva nadaljnjega preverjanja. V fizičnem svetu so stvari bolj zapletene zaradi čipov EMV in nadzora proti goljufijam, vendar nekateri napadalci Srečo preizkušajo s transakcijami na permisivnih terminalih ali z majhnimi zneski.

Od vabe do plačila: povezovanje ukradenih kartic z mobilnimi denarnicami

Vse bolj razširjena taktika vključuje vzpostavitev omrežij goljufivih spletnih mest (globe, pošiljanje, računi, lažne trgovine), ki zahtevajo "preverjanje" ali plačilo z žetonom. Žrtev vnese podatke o svoji kartici in včasih tudi enkratno plačilo (OTP). V resnici se v tistem trenutku nič ne zaračuna: podatki se pošljejo napadalcu, ki nato poskuša ... povežite to kartico z Apple Pay ali Google Wallet čim prej

Da bi pospešile stvari, nekatere skupine ustvarijo digitalno sliko, ki replicira kartico s podatki žrtve, jo "fotografirajo" iz denarnice in dokončajo povezavo, če banka zahteva le številko, datum poteka veljavnosti, imetnika, CVV in OTP. Vse se lahko zgodi v eni sami seji..

Zanimivo je, da ne porabijo vedno takoj. Na telefonu zberejo na desetine povezanih kartic in ga nato prodajo na temnem spletu. Tedne kasneje kupec s to napravo plačuje v fizičnih trgovinah prek brezstičnega nakupovanja ali pa v svoji trgovini na legitimni platformi pobira plačila za neobstoječe izdelke. V mnogih primerih na POS terminalu ni zahtevana PIN ali enkratna gesla..

V nekaterih državah lahko gotovino dvignete celo na bankomatih, ki podpirajo NFC, z mobilnim telefonom, kar je dodaten način monetizacije. Medtem se žrtev morda sploh ne spomni neuspelega poskusa plačila na tej spletni strani in ne bo opazila nobenih "čudnih" stroškov, dokler ne bo prepozno. ker se prva goljufiva uporaba zgodi veliko kasneje.

Ghost Tap: prenos, ki zavede čitalnik kartic

Druga tehnika, o kateri razpravljajo na varnostnih forumih, je NFC rele, imenovan Ghost Tap. Zanaša se na dva mobilna telefona in legitimne testne aplikacije, kot je NFCGate: eden drži denarnico z ukradenimi karticami; drugi, povezan z internetom, deluje kot "roka" v trgovini. Signal s prvega telefona se posreduje v realnem času, mula pa drugi telefon približa čitalniku kartic. ki ne loči zlahka med izvirnim in ponovno poslanim signalom.

Trik omogoča, da več mul plača skoraj hkrati z isto kartico, in če policija preveri mulin telefon, vidi le legitimno aplikacijo brez številk kartic. Občutljivi podatki so na drugi napravi, morda v drugi državi. Ta shema otežuje pripisovanje in pospešuje pranje denarja..

Mobilna zlonamerna programska oprema in primer NGate: ko vaš telefon krade namesto vas

Varnostni raziskovalci so dokumentirali kampanje v Latinski Ameriki – kot je prevara NGate v Braziliji – kjer lažna aplikacija za bančništvo za Android uporabnike pozove, da aktivirajo NFC in »približajo kartico« telefonu. Zlonamerna programska oprema prestreže komunikacijo in pošlje podatke napadalcu, ki nato posnema kartico za izvajanje plačil ali dvigov. Vse, kar je potrebno, je, da uporabnik zaupa napačni aplikaciji..

Tveganje ni omejeno na eno samo državo. Na trgih, kot sta Mehika in preostala regija, kjer se uporaba plačil v bližini povečuje in mnogi uporabniki nameščajo aplikacije prek dvomljivih povezav, so tla rodovitna. Čeprav banke krepijo svoj nadzor, Zlonamerni akterji hitro ukrepajo in izkoristijo vsako napako..

Kako te prevare delujejo korak za korakom

1. Prispelo je opozorilo o pasti: sporočilo ali e-poštno sporočilo, ki od vas »zahteva«, da posodobite aplikacijo banke prek povezave.
2. Namestite klonirano aplikacijo: Izgleda resnično, vendar je zlonamerno in zahteva dovoljenja NFC.
3. Prosi vas, da kartico približate: ali pa med delovanjem aktivirajte NFC in tam zajemite podatke.
4. Napadalec posnema vašo kartico: in izvaja plačila ali dvige, kar boste odkrili kasneje.

Poleg tega se je konec leta 2024 pojavil še en preobrat: goljufive aplikacije, ki uporabnike prosijo, naj držijo kartico blizu telefona in vnesejo PIN, »da ga preverijo«. Aplikacija nato posreduje podatke kriminalcu, ki opravi nakupe ali dvige na bankomatih NFC. Ko so banke zaznale geolokacijske anomalije, se je leta 2025 pojavila nova različica: Žrtev prepričajo, da denar nakaže na domnevno varen račun. Na bankomatu, ko napadalec prek releja predloži svojo kartico, polog konča v rokah goljufa, sistem za boj proti goljufijam pa ga prepozna kot legitimno transakcijo.

Dodatna tveganja: terminali za plačilo s karticami, kamere in krajo identitete

Spremenjeni terminali ne le zajamejo, kar potrebujejo, prek NFC-ja, ampak lahko tudi shranjujejo dnevnike transakcij in jih dopolnjujejo s slikami skritih kamer. Če pridobijo serijsko številko in datum poteka veljavnosti, bi lahko nekateri brezvestni spletni trgovci sprejeli nakupe brez drugega faktorja preverjanja. Moč banke in podjetja naredi vso razliko.

Vzporedno so bili opisani scenariji, ko nekdo diskretno fotografira kartico ali jo posname z mobilnim telefonom, ko jo vzamete iz denarnice. Čeprav se morda sliši preprosto, lahko ta vizualna uhajanja v kombinaciji z drugimi podatki privedejo do identitetnih goljufij, nepooblaščenih prijav na storitve ali nakupov. Socialni inženiring dokonča tehnično delo.

Kako se zaščititi: praktični ukrepi, ki dejansko delujejo

• Nastavite omejitve za brezstično plačevanje: Znižuje najvišje zneske, tako da je v primeru zlorabe vpliv manjši.
• Aktivirajte biometrijo ali PIN na svojem mobilnem telefonu ali uri: Na ta način nihče ne more plačati z vaše naprave brez vašega dovoljenja.
• Uporabite žetonizirane denarnice: Dejansko številko nadomestijo z žetonom, s čimer se izognejo razkritju vaše kartice trgovcu.
• Deaktivirajte brezstično plačevanje, če ga ne uporabljate: Številne entitete vam omogočajo, da to funkcijo na kartici začasno onemogočite.
• Izklopite NFC na telefonu, ko ga ne potrebujete: Zmanjša površino za napad zlonamernih aplikacij ali neželenih branj.
• Zaščitite svojo napravo: Zaklenite ga z močnim geslom, varnim vzorcem ali biometričnimi podatki in ga ne puščajte odklenjenega na nobenem pultu.
• Vse imejte posodobljeno: sistem, aplikacije in vdelana programska oprema; številne posodobitve odpravljajo napake, ki izkoriščajo te napade.
• Aktivirajte opozorila o transakcijah: Potisni in SMS sporočila za zaznavanje gibanja v realnem času in takojšen odziv.
• Redno preverjajte svoje izpiske: Tedensko posvetite čas preverjanju bremenitev in iskanju sumljivih majhnih zneskov.
• Vedno preverite znesek na POS terminalu: Preden kartico približate, poglejte na zaslon in shranite račun.
• Določite najvišje zneske brez PIN-a: To sili k dodatni avtentikaciji pri nakupih določenega zneska.
• Uporabite RFID/NFC blokirne ovoje ali kartice: Niso nezmotljivi, vendar povečajo napadalčev napor.
• Za spletne nakupe raje uporabljajte virtualne kartice: Tik pred plačilom dopolnite stanje in onemogočite plačila brez povezave, če vaša banka to ponuja.
• Pogosto obnavljajte svojo virtualno kartico: Če ga zamenjate vsaj enkrat letno, se zmanjša izpostavljenost, če pride do puščanja.
• Povežite svojo denarnico z drugo kartico, kot je tista, ki jo uporabljate na spletu: ločuje tveganja med fizičnimi in spletnimi plačili.
• Izogibajte se uporabi telefonov z omogočeno NFC tehnologijo na bankomatih: Za dvige ali pologe uporabite fizično kartico.
• Namestite ugleden varnostni paket: Poiščite funkcije za zaščito plačil in blokiranje lažnega predstavljanja v mobilnih napravah in računalnikih.
• Prenašajte aplikacije samo iz uradnih trgovin: in potrdite razvijalca; bodite previdni pri povezavah prek SMS-ov ali sporočil.
• V gneči: Kartice hranite v notranjem žepu ali denarnici z zaščito in jih ne izpostavljajte.
• Za podjetja: Oddelek za IT oddelek zahteva, da pregleda mobilne telefone podjetja, uporabi upravljanje naprav in blokira neznane namestitve.

Priporočila organizacij in najboljše prakse

• Pred plačilom preverite znesek: Kartice ne približujte, dokler ne preverite zneska na terminalu.
• Hranite račune: Pomagajo vam primerjati obtožbe in vložiti zahtevke z dokazi, če obstajajo neskladja.
• Aktivirajte obvestila iz bančne aplikacije: So vaš prvi opozorilni znak neprepoznane bremenitve.
• Redno preverjajte svoje izpiske: Zgodnje odkrivanje zmanjša škodo in pospeši odziv banke.

Če sumite, da je bila vaša kartica klonirana ali da je bil vaš račun povezan

Prva stvar je blokirati klonirano kreditno kartico V aplikaciji ali s klicem na banko zahtevajte novo številko. Izdajatelja prosite, naj prekine povezavo z vsemi povezanimi mobilnimi denarnicami, ki jih ne prepoznate, in aktivira izboljšano spremljanje. poleg spreminjanja gesel in preverjanja vaših naprav.

V mobilni napravi odstranite aplikacije, ki se jih ne spomnite namestiti, zaženite skeniranje z varnostno rešitvijo in če znaki okužbe vztrajajo, po varnostni kopiji obnovite napravo na tovarniške nastavitve. Izogibajte se ponovni namestitvi iz neuradnih virov.

Po potrebi vložite poročilo in zberite dokaze (sporočila, posnetke zaslona, ​​račune). Prej ko to prijavite, prej lahko vaša banka sproži vračila in blokira plačila. Hitrost je ključ do zaustavitve domino efekta.

Slaba stran brezstičnega udobja je, da napadalci delujejo tudi v neposredni bližini. Razumevanje njihovega delovanja – od množičnega skimminga do povezovanja kartic z mobilnimi denarnicami, posredovanja Ghost Tap ali zlonamerne programske opreme, ki prestreže NFC – omogoča sprejemanje informiranih odločitev: zaostrovanje omejitev, zahtevanje močne avtentikacije, uporaba žetonizacije, izklop funkcij, ko niso v uporabi, spremljanje gibanja in izboljšanje digitalne higiene. Z nekaj trdnimi ovirami, Povsem mogoče je uživati ​​v brezstičnih plačilih in hkrati zmanjšati tveganje.