NFC na uundaji wa kadi: hatari halisi na jinsi ya kuzuia malipo ya kielektroniki

Teknolojia za ukaribu zimefanya maisha yetu kuwa rahisi zaidi, lakini pia zimefungua milango mipya kwa walaghai; ndiyo maana ni muhimu kuelewa mapungufu yao na Tekeleza hatua za usalama kabla uharibifu haujatokea.

Katika makala hii utapata, bila kupiga msitu, jinsi NFC / RFID inavyofanya kazi, ni hila gani wahalifu hutumia kwenye matukio na katika maeneo yenye watu wengi, ni vitisho gani vimejitokeza katika simu za mkononi na vituo vya malipo, na juu ya yote, Jinsi ya kuzuia au kupunguza malipo ya kielektroniki inapokufaaWacha tuanze na mwongozo kamili juu ya: NFC na uundaji wa kadi: hatari halisi na jinsi ya kuzuia malipo ya kielektroniki.

RFID ni nini na NFC inaongeza nini?

Kuweka mambo katika mtazamo: RFID ndio msingi wa yote. Ni mfumo unaotumia masafa ya redio kutambua vitambulisho au kadi katika umbali mfupi, na unaweza kufanya kazi kwa njia mbili. Katika lahaja yake tulivu, lebo haina betri na Inaamilishwa na nishati ya msomaji.Ni kawaida kwa pasi za usafiri, kitambulisho, au lebo ya bidhaa. Katika toleo lake amilifu, lebo hujumuisha betri na hufikia umbali mkubwa zaidi, ambayo ni ya kawaida katika vifaa, usalama, na magari.

Ili kuiweka kwa urahisi, NFC ni mageuzi iliyoundwa kwa matumizi ya kila siku na simu za rununu na kadi: inaruhusu mawasiliano ya pande mbili, imeboreshwa kwa umbali mfupi sana, na imekuwa kiwango cha malipo ya haraka, ufikiaji, na ubadilishanaji wa data. Nguvu yake kubwa ni upesi.: unaleta karibu na ndivyo hivyo, bila kuingiza kadi kwenye slot.

Unapolipa ukitumia kadi ya kielektroniki, chipu ya NFC/RFID hutuma taarifa muhimu kwenye kituo cha malipo cha mfanyabiashara. Hata hivyo, ukilipa kwa kutumia simu yako ya mkononi au saa, uko katika ligi tofauti: kifaa hufanya kazi kama mpatanishi na huongeza safu za usalama (bayometriki, PIN, tokeni), ambayo Inapunguza udhihirisho wa data halisi ya kadi..

Kadi zisizo na mawasiliano dhidi ya malipo ya vifaa

• Kadi za kimwili zisizo na mawasiliano: Walete tu karibu na terminal; kwa kiasi kidogo, PIN inaweza isihitajike, kulingana na mipaka iliyowekwa na benki au nchi.
• Malipo kwa kutumia simu ya mkononi au saa: Wanatumia pochi za kidijitali (Apple Pay, Google Wallet, Samsung Pay) ambazo kwa kawaida huhitaji alama za vidole, uso au PIN, na kubadilisha nambari halisi kwa tokeni ya matumizi ya mara moja. ambayo humzuia mfanyabiashara kuona kadi yako halisi.

Ukweli kwamba mbinu zote mbili zinashiriki msingi sawa wa NFC haimaanishi kuwa zina hatari sawa. Tofauti iko katika kati (plastiki dhidi ya kifaa) na katika vikwazo vya ziada vilivyoongezwa na smartphone. hasa uthibitishaji na ishara.

Je, ulaghai bila mawasiliano hutokea wapi na jinsi gani?

Wahalifu hutumia ukweli kwamba usomaji wa NFC hutokea kwa muda mfupi sana. Katika maeneo yenye watu wengi—usafiri wa umma, tamasha, matukio ya michezo, maonyesho—msomaji anayebebeka anaweza kukaribia mifuko au mifuko bila kuzua shaka na kunasa habari. Njia hii, inayojulikana kama skimming, inaruhusu kurudia data, ambayo hutumiwa kwa ununuzi au cloning. ingawa mara nyingi wanahitaji hatua za ziada ili kufanya ulaghai huo ufanyike.

Vekta nyingine ni uendeshaji wa vituo. Kituo cha malipo kilichorekebishwa chenye kisoma hasidi cha NFC kinaweza kuhifadhi data bila wewe kutambua, na ikiunganishwa na kamera fiche au uchunguzi rahisi wa kuona, wavamizi wanaweza kupata taarifa muhimu kama vile tarakimu na tarehe za mwisho wa matumizi. Ni nadra katika maduka yanayojulikana, lakini hatari huongezeka kwenye maduka ya muda..

Wala hatupaswi kusahau wizi wa utambulisho: kukiwa na data ya kutosha, wahalifu wanaweza kuitumia kwa ununuzi wa mtandaoni au shughuli ambazo hazihitaji sababu ya pili. Vyombo vingine hutoa ulinzi bora zaidi kuliko vingine—kwa kutumia usimbaji fiche dhabiti na tokeni—lakini, kama wataalam wanavyoonya, Wakati chip inasambaza, data muhimu kwa shughuli iko..

Sambamba na hilo, mashambulizi yameibuka ambayo hayalengi kusoma kadi yako barabarani, bali kuiunganisha kwa mbali na pochi ya simu ya mhalifu. Hapa ndipo ambapo wizi mkubwa wa data binafsi, tovuti bandia, na shauku ya kupata manenosiri ya mara moja (OTP) hutumika. ambayo ni ufunguo wa kuidhinisha shughuli.

Cloning, ununuzi mtandaoni, na kwa nini inafanya kazi wakati mwingine

Wakati mwingine, data iliyonaswa inajumuisha nambari kamili ya serial na tarehe ya mwisho wa matumizi. Hiyo inaweza kutosha kwa ununuzi wa mtandaoni ikiwa mfanyabiashara au benki haitaji uthibitishaji zaidi. Katika ulimwengu wa kimwili, mambo ni magumu zaidi kwa sababu ya chips za EMV na udhibiti wa kupambana na udanganyifu, lakini washambuliaji wengine Wanajaribu bahati yao na shughuli kwenye vituo vinavyoruhusu au kwa kiasi kidogo.

Kutoka kwa chambo hadi malipo: kuunganisha kadi zilizoibiwa kwa pochi za rununu

Mbinu inayokua inahusisha kusanidi mitandao ya tovuti za ulaghai (faini, usafirishaji, ankara, maduka ghushi) zinazoomba "kuthibitishwa" au malipo ya tokeni. Mwathirika huingiza maelezo ya kadi yake na, wakati mwingine, OTP (Malipo ya Wakati Mmoja). Kwa kweli, hakuna kinachotozwa wakati huo: data hutumwa kwa mshambuliaji, ambaye anajaribu ... unganisha kadi hiyo na Apple Pay yako au Google Wallet haraka iwezekanavyo

Ili kuharakisha mambo, baadhi ya vikundi hutengeneza picha ya kidijitali inayonakili kadi na data ya mwathiriwa, "ipige" kutoka kwenye pochi, na kukamilisha kuunganisha ikiwa benki inahitaji tu nambari, tarehe ya mwisho wa matumizi, mmiliki, CVV na OTP. Kila kitu kinaweza kutokea katika kikao kimoja..

Inafurahisha, huwa hawatumii mara moja kila wakati. Wanakusanya kadhaa ya kadi zilizounganishwa kwenye simu na kuziuza tena kwenye mtandao wa giza. Wiki chache baadaye, mnunuzi atatumia kifaa hicho kulipa katika maduka halisi kupitia kielektroniki au kukusanya malipo ya bidhaa ambazo hazipo katika duka lake ndani ya mfumo halali. Mara nyingi, hakuna PIN au OTP inayoombwa kwenye terminal ya POS..

Kuna nchi ambapo unaweza hata kutoa pesa kutoka kwa ATM zinazotumia NFC kwa kutumia simu yako ya mkononi, na kuongeza mbinu nyingine ya uchumaji wa mapato. Wakati huo huo, mwathiriwa anaweza hata asikumbuke jaribio la malipo lililofeli kwenye tovuti hiyo na hatatambua malipo yoyote ya "ajabu" hadi kuchelewa sana. kwa sababu matumizi ya kwanza ya ulaghai hutokea baadaye sana.

Ghost Tap: uwasilishaji unaopumbaza msomaji wa kadi

Mbinu nyingine inayojadiliwa katika mabaraza ya usalama ni upeanaji wa NFC, unaoitwa Ghost Tap. Inategemea simu mbili za rununu na maombi halali ya majaribio kama NFCGate: moja inashikilia pochi na kadi zilizoibiwa; nyingine, iliyounganishwa kwenye mtandao, hufanya kama "mkono" kwenye duka. Ishara kutoka kwa simu ya kwanza inatumwa kwa wakati halisi, na mule huleta simu ya pili karibu na kisoma kadi. ambayo haitofautishi kwa urahisi kati ya ishara asili na iliyotumwa tena.

Ujanja huruhusu nyumbu kadhaa kulipa karibu wakati huo huo na kadi hiyo hiyo, na ikiwa polisi wanaangalia simu ya nyumbu, wanaona programu halali bila nambari za kadi yoyote. Data nyeti iko kwenye kifaa kingine, labda katika nchi nyingine. Mpango huu unachanganya uwasilishaji na kuharakisha utapeli wa pesa..

Programu hasidi ya rununu na kipochi cha NGAte: simu yako inapokuibia

Watafiti wa usalama wameandika kampeni katika Amerika ya Kusini—kama vile ulaghai wa Ngate nchini Brazili—ambapo programu ghushi ya benki ya Android huwahimiza watumiaji kuwasha NFC na "kuleta kadi zao karibu" na simu. Programu hasidi hukatiza mawasiliano na kutuma data kwa mshambulizi, kisha huiga kadi ili kufanya malipo au kutoa pesa. Kinachohitajika ni kwa mtumiaji kuamini programu isiyo sahihi..

Hatari hiyo haiko katika nchi moja pekee. Katika masoko kama vile Meksiko na maeneo mengine, ambapo matumizi ya malipo ya karibu yanaongezeka na watumiaji wengi husakinisha programu kutoka kwa viungo vya kutilia shaka, ardhi ina rutuba. Ingawa benki zinaimarisha udhibiti wao, Waigizaji hasidi hurudia haraka na kutumia uangalizi wowote..

Jinsi ulaghai huu unavyofanya kazi hatua kwa hatua

1. Onyo la mtego linafika: ujumbe au barua pepe "inayohitaji" usasishe programu ya benki kupitia kiungo.
2. Unasakinisha programu iliyounganishwa: Inaonekana halisi, lakini ni hasidi na inaomba ruhusa za NFC.
3. Inakuuliza ulete kadi karibu: au washa NFC wakati wa operesheni, na unake data hapo.
4. Mshambulizi anaiga kadi yako: na hufanya malipo au uondoaji, ambayo utagundua baadaye.

Zaidi ya hayo, mabadiliko mengine yaliibuka mwishoni mwa 2024: programu za ulaghai ambazo huwauliza watumiaji kushikilia kadi zao karibu na simu zao na kuweka PIN zao "ili kuithibitisha." Kisha programu hutuma taarifa kwa mhalifu, ambaye hununua au kutoa pesa kwenye ATM za NFC. Wakati benki ziligundua hitilafu za eneo la kijiografia, lahaja mpya ilionekana mnamo 2025: Wanamshawishi mwathiriwa kuweka pesa zao kwenye akaunti inayodaiwa kuwa salama. Kutoka kwa ATM, wakati mshambuliaji, kupitia relay, anawasilisha kadi yake mwenyewe; amana inaishia mikononi mwa tapeli na mfumo wa kupambana na ulaghai huona kuwa ni shughuli halali.

Hatari zilizoongezwa: vituo vya malipo vya kadi, kamera na wizi wa utambulisho

Vituo vilivyoharibiwa sio tu vinanasa wanachohitaji kupitia NFC, lakini pia vinaweza kuhifadhi kumbukumbu za miamala na kuziongezea picha kutoka kwa kamera fiche. Iwapo watapata nambari ya simu na tarehe ya mwisho wa matumizi, wauzaji fulani wa rejareja wasio waaminifu mtandaoni wanaweza kukubali ununuzi bila kipengele cha pili cha uthibitishaji. Nguvu ya benki na biashara hufanya tofauti.

Sambamba na hilo, matukio yameelezwa ambapo mtu anapiga picha kwa busara kadi au kuirekodi kwa simu yake ya mkononi unapoitoa kwenye pochi yako. Ingawa inaweza kuonekana kuwa ya msingi, uvujaji huu unaoonekana, pamoja na data nyingine, unaweza kusababisha ulaghai wa utambulisho, usajili wa huduma ambao haujaidhinishwa au ununuzi. Uhandisi wa kijamii hukamilisha kazi ya kiufundi.

Jinsi ya kujilinda: hatua za vitendo ambazo hufanya kazi kweli

• Weka vikomo vya malipo bila kielektroniki: Inapunguza kiwango cha juu ili, ikiwa kuna matumizi mabaya, athari ni ndogo.
• Washa bayometriki au PIN kwenye simu yako ya mkononi au saa: Kwa njia hii, hakuna mtu anayeweza kulipa kutoka kwa kifaa chako bila idhini yako.
• Tumia pochi zenye ishara: Wanabadilisha nambari halisi na tokeni, wakiepuka kufichua kadi yako kwa mfanyabiashara.
• Zima malipo ya kielektroniki ikiwa hutumii: Huluki nyingi hukuruhusu kuzima utendakazi huo kwenye kadi kwa muda.
• Zima NFC ya simu yako wakati huihitaji: Hupunguza sehemu ya mashambulizi dhidi ya programu hasidi au usomaji usiotakikana.
• Linda kifaa chako: Ifunge kwa nenosiri dhabiti, mchoro salama au bayometriki, na usiiache ikiwa imefunguliwa kwenye kaunta yoyote.
• Sasisha kila kitu: mfumo, programu na firmware; masasisho mengi hurekebisha hitilafu zinazotumia mashambulizi haya.
• Washa arifa za muamala: Bonyeza na SMS ili kugundua mienendo kwa wakati halisi na kuitikia papo hapo.
• Angalia kauli zako mara kwa mara: tenga muda wa kila wiki kwa kuangalia gharama na kupata kiasi kidogo cha kutiliwa shaka.
• Thibitisha kiasi kila wakati kwenye terminal ya POS: Angalia skrini kabla ya kuleta kadi karibu na uhifadhi risiti.
• Bainisha viwango vya juu zaidi bila PIN: Hii inalazimisha uthibitishaji wa ziada kwa ununuzi wa kiasi fulani.
• Tumia mikono ya kuzuia RFID/NFC au kadi: Hawana makosa, lakini huongeza juhudi za mshambuliaji.
• Pendelea kadi pepe kwa ununuzi mtandaoni: Jaza salio lako kabla tu ya kulipa na uzime malipo ya nje ya mtandao ikiwa benki yako itakupa.
• Sasisha kadi yako pepe mara kwa mara: Kuibadilisha angalau mara moja kwa mwaka hupunguza mfiduo ikiwa inavuja.
• Unganisha kadi tofauti kwenye pochi yako kuliko ile unayotumia mtandaoni: hutenganisha hatari kati ya malipo ya kimwili na ya mtandaoni.
• Epuka kutumia simu zinazotumia NFC kwenye ATM: Kwa uondoaji au amana, tafadhali tumia kadi halisi.
• Sakinisha kitengo cha usalama kinachojulikana: Tafuta ulinzi wa malipo na vipengele vya kuzuia hadaa kwenye simu na Kompyuta.
• Pakua programu kutoka kwa maduka rasmi pekee: na uthibitishe msanidi programu; kuwa mwangalifu na viungo kupitia SMS au ujumbe.
• Katika nafasi zilizojaa watu: Weka kadi zako kwenye mfuko wa ndani au pochi yenye ulinzi na uepuke kuzifichua.
• Kwa biashara: IT inaiuliza IT kukagua rununu za kampuni, kutumia usimamizi wa kifaa na kuzuia usakinishaji usiojulikana.

Mapendekezo kutoka kwa mashirika na mbinu bora

• Angalia kiasi kabla ya kulipa: Usilete kadi karibu hadi uwe umethibitisha kiasi kwenye terminal.
• Hifadhi risiti: Wanakusaidia kulinganisha malipo na kufungua madai na ushahidi ikiwa kuna tofauti.
• Washa arifa kutoka kwa programu ya benki: Ni ishara yako ya kwanza ya onyo la malipo yasiyotambulika.
• Angalia kauli zako mara kwa mara: Utambuzi wa mapema hupunguza uharibifu na kuongeza kasi ya majibu ya benki.

Ikiwa unashuku kuwa kadi yako imeundwa au akaunti yako imeunganishwa

Jambo la kwanza ni kuzuia kadi ya mkopo iliyobuniwa Kutoka kwa programu au kwa kupiga simu kwa benki, omba nambari mpya. Mwombe mtoaji atenganishe pochi zozote za rununu zinazohusiana ambazo huzitambui na kuamilisha ufuatiliaji ulioboreshwa. pamoja na kubadilisha manenosiri na kuangalia vifaa vyako.

Kwenye kifaa chako cha mkononi, sanidua programu ambazo hukumbuki ukizisakinisha, chunguza ukitumia suluhisho lako la usalama, na dalili za maambukizi zikiendelea, rudisha kwenye mipangilio ya kiwandani baada ya kuhifadhi nakala. Epuka kusakinisha tena kutoka kwa vyanzo visivyo rasmi.

Andika ripoti ikihitajika na kukusanya ushahidi (ujumbe, picha za skrini, risiti). Kadiri unavyoiripoti mapema, ndivyo benki yako inavyoweza kuanzisha kurejesha pesa na kuzuia malipo haraka. Kasi ni ufunguo wa kusimamisha athari ya domino.

Upande mbaya wa urahisishaji wa kielektroniki ni kwamba washambuliaji pia hufanya kazi kwa ukaribu. Kuelewa jinsi wanavyofanya kazi—kutoka kwa kucheza haraka haraka hadi kuunganisha kadi kwenye pochi za rununu, Ghost Tap relaying, au programu hasidi ambayo hukatiza NFC—huruhusu kufanya maamuzi yanayofaa: kubana vikwazo, kuhitaji uthibitishaji thabiti, kutumia tokeni, kuzima vipengele wakati haitumiki, kufuatilia mienendo na kuboresha usafi wa kidijitali. Pamoja na vizuizi vichache vilivyowekwa, Inawezekana kabisa kufurahia malipo ya kielektroniki huku ukipunguza hatari.