NFC и клонирање картица: стварни ризици и како блокирати бесконтактна плаћања

Технологије близине су нам учиниле живот практичнијим, али су такође отвориле нова врата за преваранте; зато је важно разумети њихова ограничења и Примените мере безбедности пре него што дође до стварне штете.

У овом чланку ћете, без превише детаља, пронаћи како функционише NFC/RFID, које трикове криминалци користе на догађајима и у гужви, које су се претње појавиле у мобилним телефонима и платним терминалима и, пре свега, Како блокирати или ублажити бесконтактна плаћања када вам то одговараХајде да почнемо са комплетним водичем о: NFC и клонирање картица: стварни ризици и како блокирати бесконтактна плаћања.

Шта је РФИД и шта додаје НФЦ?

Да бисмо ствари ставили у перспективу: РФИД је основа свега. То је систем који користи радио-фреквенцију за идентификацију ознака или картица на кратким удаљеностима и може да ради на два начина. У својој пасивној варијанти, ознака нема батерију и Активира се енергијом читаоца.Типично је за транспортне пропуснице, идентификацију или обележавање производа. У својој активној верзији, ознака укључује батерију и досеже веће удаљености, што је уобичајено у логистици, безбедности и аутомобилској индустрији.

Једноставно речено, NFC је еволуција дизајнирана за свакодневну употребу мобилних телефона и картица: омогућава двосмерну комуникацију, оптимизован је за веома кратке удаљености и постао је стандард за брза плаћања, приступ и размену података. Његова највећа снага је непосредност.: приближиш га и то је то, без уметања картице у слот.

Када плаћате бесконтактном картицом, NFC/RFID чип преноси потребне информације на платни терминал трговца. Међутим, ако плаћате мобилним телефоном или сатом, налазите се у другој лиги: уређај делује као посредник и додаје слојеве безбедности (биометрија, ПИН, токенизација), који... Смањује видљивост стварних података картице..

Бесконтактне картице у односу на плаћање уређајима

• Физичке бесконтактне картице: Једноставно их приближите терминалу; за мале износе, ПИН можда неће бити потребан, у зависности од ограничења које је поставила банка или земља.
• Плаћања мобилним телефоном или сатом: Они користе дигиталне новчанике (Apple Pay, Google Wallet, Samsung Pay) који обично захтевају отисак прста, лице или ПИН, а прави број замењују токеном за једнократну употребу. што спречава трговца да види вашу аутентичну картицу.

Чињеница да обе методе деле исту NFC основу не значи да представљају исте ризике. Разлика лежи у медијуму (пластика наспрам уређаја) и у додатним баријерама које додаје паметни телефон. посебно аутентификација и токенизација.

Где и како се дешавају бесконтактне преваре?

Криминалци искоришћавају чињеницу да се NFC очитавање одвија на веома малом домету. На местима са пуно људи – јавном превозу, концертима, спортским догађајима, сајмовима – преносиви читач може да се приближи џеповима или торбама без изазивања сумње и да прикупи информације. Ова метода, позната као скиминг, омогућава дуплирање података, који се затим користе за куповину или клонирање. иако им често требају додатни кораци да би превара била ефикасна.

Још један вектор је манипулација терминалима. Модификовани терминал за плаћање са злонамерним NFC читачем може да чува податке а да ви то не приметите, а ако се комбинује са скривеним камерама или једноставним визуелним посматрањем, нападачи могу да добију кључне информације као што су цифре и датуми истека. Ретко је у реномираним продавницама, али ризик се повећава на импровизованим тезгама..

Такође не треба заборавити крађу идентитета: са довољно података, криминалци их могу користити за куповину на мрежи или трансакције које не захтевају други фактор. Неки ентитети пружају бољу заштиту од других — користећи јаку енкрипцију и токенизацију — али, како стручњаци упозоравају, Када чип преноси податке, подаци потребни за трансакцију су присутни..

Паралелно са тим, појавили су се напади који немају за циљ да очитају вашу картицу на улици, већ да је даљински повежу са мобилним новчаником самог криминалца. Ту долазе до изражаја велики фишинг, лажне веб странице и опсесија добијањем једнократних лозинки (OTP). који су кључни за одобравање операција.

Клонирање, куповина преко интернета и зашто понекад функционише

Понекад, прикупљени подаци укључују пуни серијски број и датум истека. То може бити довољно за куповине путем интернета ако трговац или банка не захтевају даљу верификацију. У физичком свету, ствари су компликованије због EMV чипова и контрола против превара, али неки нападачи Они покушавају срећу са трансакцијама на попустљивим терминалима или са малим износима.

Од мамца до плаћања: повезивање украдених картица са мобилним новчаницима

Растућа тактика укључује постављање мрежа лажних веб-сајтова (казне, испорука, фактуре, лажне продавнице) који захтевају „верификацију“ или симболично плаћање. Жртва уноси податке о својој картици, а понекад и ОТП (једнократно плаћање). У стварности, ништа се не наплаћује у том тренутку: подаци се шаљу нападачу, који затим покушава да... повежите ту картицу са својим Apple Pay-ом или Google новчаником што је пре могуће.

Да би убрзале ствари, неке групе генеришу дигиталну слику која реплицира картицу са подацима жртве, „фотографишу“ је из новчаника и завршавају повезивање ако банка захтева само број, датум истека, власника, CVV и OTP. Све се може десити у једној сесији..

Занимљиво је да не троше увек одмах. Акумулирају десетине повезаних картица на телефону и препродају га на дарк вебу. Недељама касније, купац ће користити тај уређај за плаћање у физичким продавницама путем бесконтактног плаћања или за наплату непостојећих производа у сопственој продавници унутар легитимне платформе. У многим случајевима, на ПОС терминалу се не захтева ПИН или ОTP..

Постоје земље у којима чак можете подићи готовину са банкомата који подржавају NFC помоћу мобилног телефона, што је још један начин монетизације. У међувремену, жртва се можда чак ни не сећа неуспелог покушаја плаћања на тој веб страници и неће приметити никакве „чудне“ наплате док не буде прекасно. јер се прва преварна употреба дешава много касније.

Ghost Tap: пренос који вара читач картица

Још једна техника о којој се расправља на безбедносним форумима је NFC релеј, назван Ghost Tap. Ослања се на два мобилна телефона и легитимне тест апликације попут NFCGate-а: један држи новчаник са украденим картицама; други, повезан на интернет, делује као „рука“ у продавници. Сигнал са првог телефона се преноси у реалном времену, а мазга доноси други телефон близу читача картица. који не разликује лако оригинални и реемитовани сигнал.

Трик омогућава да неколико мазги плаћа готово истовремено истом картицом, а ако полиција провери мазгин телефон, виде само легитимну апликацију без икаквих бројева картица. Осетљиви подаци су на другом уређају, можда у другој земљи. Ова шема компликује приписивање и убрзава прање новца..

Мобилни злонамерни софтвер и случај NGate: када ваш телефон краде за вас

Истраживачи безбедности документовали су кампање у Латинској Америци — попут преваре NGate у Бразилу — где лажна Андроид банкарска апликација подстиче кориснике да активирају NFC и „приближе картицу“ телефону. Злонамерни софтвер пресрета комуникацију и шаље податке нападачу, који затим емулира картицу да би вршио плаћања или подизања новца. Све што је потребно је да корисник верује погрешној апликацији..

Ризик није искључив за једну земљу. На тржиштима попут Мексика и остатка региона, где употреба плаћања у близини расте и многи корисници инсталирају апликације са сумњивих линкова, тло је плодно. Иако банке појачавају своје контроле, Злонамерни актери брзо понављају поступаке и искоришћавају сваки пропуст..

Како ове преваре функционишу корак по корак

1. Стиже упозорење на замку: порука или имејл који „захтева“ да ажурирате апликацију банке путем линка.
2. Инсталирате клонирану апликацију: Изгледа стварно, али је злонамерно и захтева NFC дозволе.
3. Тражи од вас да приближите картицу: или активирајте NFC током операције и тамо снимите податке.
4. Нападач имитира вашу картицу: и врши плаћања или исплате, што ћете касније открити.

Штавише, крајем 2024. године појавио се још један обрт: преварне апликације које траже од корисника да држе картицу близу телефона и унесу свој ПИН „да би га потврдили“. Апликација затим преноси информације криминалцу, који обавља куповине или подиже новац на НФЦ банкоматима. Када су банке откриле аномалије геолокације, нова варијанта се појавила 2025. године: Убеђују жртву да уплати новац на наводно безбедан рачун. Са банкомата, док нападач, путем релеја, приказује своју картицу; депозит завршава у рукама преваранта и систем за борбу против превара га види као легитимну трансакцију.

Додатни ризици: терминали за плаћање картицама, камере и крађа идентитета

Неовлашћено лажни терминали не само да бележе оно што им је потребно путем NFC-а, већ могу и да чувају евиденцију трансакција и допуњују је сликама са скривених камера. Ако добију серијски број и датум истека, одређени бескрупулозни онлајн продавци би могли да прихвате куповине без другог фактора верификације. Снага банке и пословања чини сву разлику.

Паралелно са тим, описани су сценарији у којима неко дискретно фотографише картицу или је снима мобилним телефоном док је вадите из новчаника. Иако може звучати једноставно, ова визуелна цурења, у комбинацији са другим подацима, могу довести до преваре идентитета, неовлашћених регистрација за услуге или куповина. Социјални инжењеринг завршава технички посао.

Како се заштитити: практичне мере које заиста делују

• Поставите ограничења за бесконтактно плаћање: Смањује максималне износе тако да, у случају злоупотребе, утицај буде мањи.
• Активирајте биометрију или ПИН на свом мобилном телефону или сату: На овај начин, нико не може да плаћа са вашег уређаја без вашег одобрења.
• Користите токенизоване новчанике: Они замењују стварни број токеном, избегавајући да открију вашу картицу трговцу.
• Деактивирајте бесконтактно плаћање ако га не користите: Многи ентитети вам омогућавају да привремено онемогућите ту функцију на картици.
• Искључите NFC на телефону када вам није потребан: Смањује површину напада злонамерних апликација или нежељених читања.
• Заштитите свој уређај: Закључајте га јаком лозинком, безбедним шаблоном или биометријским подацима и не остављајте га откључаног ни на једном шалтеру.
• Држите све ажурирано: систем, апликације и фирмвер; многа ажурирања исправљају грешке које искоришћавају ове нападе.
• Активирајте упозорења о трансакцијама: Притисните и СМС поруке за детекцију покрета у реалном времену и тренутно реаговање.
• Редовно проверавајте своје изјаве: посветите недељно време провери наплате и проналажењу сумњивих малих износа.
• Увек проверите износ на ПОС терминалу: Погледајте екран пре него што приближите картицу и сачувајте рачун.
• Дефинишите максималне износе без ПИН-а: Ово приморава на додатну аутентификацију за куповине одређеног износа.
• Користите RFID/NFC блокирајуће рукаве или картице: Нису непогрешиви, али повећавају напор нападача.
• Преферирајте виртуелне картице за куповину на мрежи: Допуните стање непосредно пре плаћања и онемогућите офлајн плаћања ако ваша банка то нуди.
• Често обнављајте своју виртуелну картицу: Мењање најмање једном годишње смањује изложеност ако дође до цурења.
• Повежите другу картицу са новчаником, а не ону коју користите онлајн: раздваја ризике између физичких и онлајн плаћања.
• Избегавајте коришћење телефона са NFC технологијом на банкоматима: За исплате или депозите, користите физичку картицу.
• Инсталирајте реномирани безбедносни пакет: Потражите функције заштите плаћања и блокирања фишинга на мобилним уређајима и рачунарима.
• Преузимајте апликације само из званичних продавница: и потврдите програмера; будите опрезни са линковима путем СМС-а или порука.
• У гужви људи: Држите картице у унутрашњем џепу или новчанику са заштитом и избегавајте њихово излагање.
• За предузећа: ИТ одељење тражи од ИТ одељења да прегледа корпоративне мобилне телефоне, примени управљање уређајима и блокира непознате инсталације.

Препоруке организација и најбоље праксе

• Проверите износ пре плаћања: Не приближавајте картицу док не проверите износ на терминалу.
• Чувајте рачуне: Они вам помажу да упоредите оптужбе и поднесете захтеве са доказима ако постоје неслагања.
• Активирајте обавештења из банкарске апликације: Они су ваш први знак упозорења на непознато оптужење.
• Редовно проверавајте своје изјаве: Рано откривање смањује штету и убрзава реакцију банке.

Ако сумњате да је ваша картица клонирана или да је ваш налог повезан

Прва ствар је блокирати клонирана кредитна картица Из апликације или позивом банке затражите нови број. Замолите издаваоца да раскине везу са свим повезаним мобилним новчаницима које не препознајете и да активира побољшано праћење. поред промене лозинки и провере ваших уређаја.

На мобилном уређају деинсталирајте апликације којих се не сећате да сте их инсталирали, покрените скенирање помоћу безбедносног решења и, ако знаци инфекције потрају, вратите уређај на фабричка подешавања након што направите резервну копију. Избегавајте поновну инсталацију из незваничних извора.

Поднесите пријаву ако је потребно и прикупите доказе (поруке, снимке екрана, рачуне). Што пре то пријавите, пре ће ваша банка моћи да покрене повраћај новца и блокира плаћања. Брзина је кључна за заустављање домино ефекта.

Мана бесконтактне практичности је то што нападачи делују и у непосредној близини. Разумевање начина на који функционишу – од праћења података преко краудфандинга до повезивања картица са мобилним новчаницима, преноса података преко Ghost Tap-а или злонамерног софтвера који пресреће NFC – омогућава доношење информисаних одлука: пооштравање ограничења, захтевање јаке аутентификације, коришћење токенизације, искључивање функција када се не користе, праћење кретања и побољшање дигиталне хигијене. Са неколико чврстих баријера на месту, Сасвим је могуће уживати у бесконтактним плаћањима уз минимизирање ризика.