NFC ve kart kopyalama: Gerçek riskler ve temassız ödemeler nasıl engellenir?

Yakınlık teknolojileri hayatımızı daha kolay hale getirdi, ancak aynı zamanda dolandırıcılar için yeni kapılar da açtı; bu nedenle bunların sınırlamalarını anlamak ve Hasar meydana gelmeden önce güvenlik önlemlerini uygulayın.

Bu makalede, lafı dolandırmadan, NFC/RFID'in nasıl çalıştığını, suçluların etkinliklerde ve kalabalık yerlerde hangi hileleri kullandığını, cep telefonlarında ve ödeme terminallerinde hangi tehditlerin ortaya çıktığını ve her şeyden önemlisi, Temassız ödemeleri size uygun olduğunda nasıl engelleyebilir veya azaltabilirsiniz?Hadi, şu konulardaki kapsamlı rehberle başlayalım: NFC ve kart kopyalama: Gerçek riskler ve temassız ödemeler nasıl engellenir?

RFID nedir ve NFC ne katar?

Olayı biraz daha iyi anlamak için: RFID her şeyin temelidir. Etiketleri veya kartları kısa mesafelerden tanımlamak için radyo frekansı kullanan bir sistemdir ve iki şekilde çalışabilir. Pasif versiyonunda, etiketin pili yoktur ve Okuyucunun enerjisiyle harekete geçer.Taşımacılık geçiş kartları, kimliklendirme veya ürün etiketleme için tipiktir. Aktif versiyonunda ise bir pil bulunur ve lojistik, güvenlik ve otomotivde yaygın olarak kullanılan daha uzun mesafelere ulaşır.

Basitçe söylemek gerekirse, NFC, cep telefonları ve kartlarla günlük kullanım için tasarlanmış bir evrimdir: çift yönlü iletişime olanak tanır, çok kısa mesafeler için optimize edilmiştir ve hızlı ödemeler, erişim ve veri alışverişi için standart haline gelmiştir. En büyük gücü ise anında etki edebilmesidir.: Kartı yuvaya yerleştirmeden, kartı yaklaştırıp işlemi tamamlıyorsunuz.

Temassız bir kartla ödeme yaptığınızda, NFC/RFID çipi gerekli bilgileri satıcının ödeme terminaline iletir. Ancak cep telefonunuz veya saatinizle ödeme yaparsanız, durum farklılaşır: Cihaz bir aracı görevi görür ve güvenlik katmanları (biyometrik, PIN, belirteçleme) ekler. Kartın gerçek verilerinin açığa çıkmasını azaltır..

Temassız kartlar ve cihazlarla yapılan ödemeler

• Fiziksel temassız kartlar: Terminale yaklaştırmanız yeterli; küçük miktarlar için bankanın veya ülkenin belirlediği limitlere bağlı olarak PIN kodu gerekmeyebilir.
• Cep telefonu veya saatle ödeme: Genellikle parmak izi, yüz veya PIN gerektiren ve gerçek numarayı tek seferlik bir belirteçle değiştiren dijital cüzdanlar (Apple Pay, Google Wallet, Samsung Pay) kullanırlar. Bu, satıcının gerçek kartınızı görmesini engeller.

Her iki yöntemin de aynı NFC altyapısını paylaşması, aynı riskleri taşıdıkları anlamına gelmez. Aradaki fark, kullanılan malzemede (plastik veya cihaz) ve akıllı telefonun eklediği ek bariyerlerde yatmaktadır. özellikle kimlik doğrulama ve belirteçleştirme.

Temassız dolandırıcılıklar nerede ve nasıl gerçekleşiyor?

Suçlular, NFC okumasının çok kısa mesafeden gerçekleşmesinden faydalanır. Kalabalık ortamlarda (toplu taşıma, konserler, spor etkinlikleri, fuarlar) taşınabilir bir okuyucu, şüphe çekmeden ceplere veya çantalara yaklaşabilir ve bilgi toplayabilir. "Skimming" olarak bilinen bu yöntem, verilerin kopyalanmasını ve daha sonra alışveriş veya klonlama için kullanılmasını sağlar. dolandırıcılığı etkili hale getirmek için genellikle ek adımlara ihtiyaç duymalarına rağmen.

Bir diğer vektör ise terminallerin manipülasyonudur. Kötü amaçlı bir NFC okuyucuya sahip modifiye edilmiş bir ödeme terminali, siz farkına varmadan veri depolayabilir ve gizli kameralar veya basit bir görsel gözlemle bir araya getirildiğinde, saldırganlar rakamlar ve son kullanma tarihleri ​​gibi önemli bilgileri elde edebilir. Güvenilir dükkanlarda nadir görülürken, derme çatma tezgahlarda risk daha da artıyor..

Kimlik hırsızlığını da unutmamalıyız: Yeterli veriye sahip olan suçlular, bu verileri çevrimiçi alışverişlerde veya ikinci bir faktör gerektirmeyen işlemlerde kullanabilirler. Bazı kuruluşlar, güçlü şifreleme ve belirteçleme kullanarak diğerlerinden daha iyi koruma sağlar; ancak uzmanların uyardığı gibi, Çip iletim yaptığında, işlem için gerekli veriler hazır bulunur..

Buna paralel olarak, sokakta kartınızı okumayı değil, suçlunun kendi mobil cüzdanına uzaktan bağlamayı amaçlayan saldırılar da ortaya çıktı. İşte tam bu noktada, büyük ölçekli kimlik avı, sahte web siteleri ve tek kullanımlık şifre (OTP) edinme saplantısı devreye giriyor. işlemleri yetkilendirmenin anahtarı nedir.

Klonlama, çevrimiçi alışveriş ve bazen neden işe yarıyor?

Bazen, yakalanan veriler tam seri numarasını ve son kullanma tarihini içerir. Satıcı veya banka ek doğrulama talep etmiyorsa, bu bilgiler çevrimiçi alışverişler için yeterli olabilir. Fiziksel dünyada ise EMV çipleri ve dolandırıcılık önleme kontrolleri nedeniyle işler daha karmaşıktır, ancak bazı saldırganlar... İzin verici terminallerde veya küçük miktarlarla işlemler yaparak şanslarını deniyorlar.

Yemden ödemeye: Çalınan kartları mobil cüzdanlara bağlama

Giderek yaygınlaşan bir taktik, "doğrulama" veya sembolik ödeme talep eden dolandırıcı web sitelerinden (para cezaları, kargo, faturalar, sahte mağazalar) oluşan ağlar kurmayı içeriyor. Mağdur kart bilgilerini ve bazen de bir OTP (Tek Seferlik Ödeme) giriyor. Aslında, o anda hiçbir ücret alınmıyor: veriler saldırgana gönderiliyor ve saldırgan da... bu kartı Apple Pay veya Google Wallet'ınıza bağlayın mümkün olan en kısa sürede.

Bazı gruplar, süreci hızlandırmak için kurbanın verilerini içeren kartın bir kopyasını oluşturan dijital bir görüntü oluşturuyor, cüzdandan "fotoğrafını" çekiyor ve bankanın yalnızca kart numarası, son kullanma tarihi, kart sahibi, CVV ve OTP'ye ihtiyacı varsa bağlantıyı tamamlıyor. Tek seansta her şey olabilir..

İlginçtir ki, her zaman anında harcama yapmazlar. Bir telefonda onlarca bağlantılı kart biriktirip bunları karanlık ağda satarlar. Haftalar sonra, bir alıcı bu cihazı fiziksel mağazalarda temassız ödeme yapmak veya kendi mağazasında var olmayan ürünler için yasal bir platform üzerinden ödeme almak için kullanır. Çoğu durumda POS terminalinde PIN veya OTP istenmez..

Cep telefonunuzu kullanarak NFC özellikli ATM'lerden nakit çekebileceğiniz ülkeler bile var; bu da para kazanma yöntemine bir yenisini ekliyor. Bu arada, mağdur, o web sitesindeki başarısız ödeme girişimini bile hatırlamayabilir ve çok geç olana kadar herhangi bir "tuhaf" ücretlendirme fark etmeyebilir. çünkü ilk hileli kullanım çok daha sonra gerçekleşir.

Ghost Tap: Kart okuyucusunu kandıran şanzıman

Güvenlik forumlarında tartışılan bir diğer teknik ise Ghost Tap olarak adlandırılan NFC rölesidir. Bu yöntem, iki cep telefonuna ve NFCGate gibi yasal test uygulamalarına dayanır: biri çalıntı kartların bulunduğu cüzdanı tutar; diğeri ise internete bağlı olarak mağazada "el" görevi görür. İlk telefondan gelen sinyal gerçek zamanlı olarak iletilir ve taşıyıcı ikinci telefonu kart okuyucuya yaklaştırır. orijinal ve yeniden iletilen sinyal arasında kolayca ayrım yapmayan.

Bu hile, birkaç katırın neredeyse aynı anda aynı kartla ödeme yapmasına olanak tanıyor ve polis katırın telefonunu kontrol ettiğinde, kart numarası olmayan meşru bir uygulama görüyor. Hassas veriler diğer cihazda, belki de başka bir ülkede. Bu düzen, atıfları zorlaştırıyor ve kara para aklamayı hızlandırıyor..

Mobil kötü amaçlı yazılımlar ve NGate vakası: Telefonunuz sizin yerinize çaldığında

Güvenlik araştırmacıları, Brezilya'daki NGate dolandırıcılığı gibi Latin Amerika'daki kampanyaları belgeledi. Bu dolandırıcılıklarda, sahte bir Android bankacılık uygulaması, kullanıcıları NFC'yi etkinleştirmeye ve "kartlarını telefona yaklaştırmaya" yönlendiriyor. Kötü amaçlı yazılım, iletişimi engelliyor ve verileri saldırgana gönderiyor; saldırgan da ödeme veya para çekme işlemlerini gerçekleştirmek için kartı taklit ediyor. Kullanıcının yanlış uygulamaya güvenmesi yeterli..

Bu risk yalnızca tek bir ülkeye özgü değil. Meksika ve bölgenin geri kalanı gibi, yakınlık ödemelerinin kullanımının arttığı ve birçok kullanıcının şüpheli bağlantılardan uygulama yüklediği pazarlarda, zemin verimli. Bankalar kontrollerini sıkılaştırsa da, Kötü niyetli kişiler hızla harekete geçer ve her türlü dikkatsizliği istismar ederler..

Bu dolandırıcılıklar adım adım nasıl işliyor?

1. Bir tuzak uyarısı geliyor: Bankanın uygulamasını bir bağlantı aracılığıyla güncellemenizi "gerektiren" bir mesaj veya e-posta.
2. Klonlanmış bir uygulama yüklersiniz: Gerçek gibi görünüyor ancak kötü amaçlı ve NFC izinleri istiyor.
3. Kartı yakınınıza getirmeniz isteniyor: veya bir işlem sırasında NFC'yi aktif hale getirip verileri orada yakalayabilirsiniz.
4. Saldırgan sizin kartınızı taklit ediyor: ve daha sonra öğreneceğiniz ödemeleri veya çekimleri gerçekleştirir.

Dahası, 2024'ün sonunda bir başka gelişme daha yaşandı: Kullanıcılardan kartlarını telefonlarına yaklaştırıp "doğrulamak için" PIN kodlarını girmelerini isteyen dolandırıcı uygulamalar. Uygulama daha sonra bilgileri suçluya iletiyor ve suçlu da NFC ATM'lerinden alışveriş veya para çekme işlemlerini gerçekleştiriyor. Bankalar coğrafi konum anormallikleri tespit ettiğinde, 2025'te yeni bir varyant ortaya çıktı: Mağduru, parasını sözde güvenli bir hesaba yatırmaya ikna ederler. ATM'den, saldırgan kendi kartını röle yoluyla ibraz ettiğinde, yatırılan para dolandırıcının eline geçiyor ve dolandırıcılık önleme sistemi bunu meşru bir işlem olarak görüyor.

Eklenen riskler: kart ödeme terminalleri, kameralar ve kimlik hırsızlığı

Kurcalanmış terminaller, NFC aracılığıyla ihtiyaç duydukları bilgileri yakalamakla kalmıyor, aynı zamanda işlem kayıtlarını saklayıp bunları gizli kamera görüntüleriyle de destekleyebiliyor. Seri numarası ve son kullanma tarihini ele geçirirlerse, bazı sahtekâr çevrimiçi perakendeciler ikinci bir doğrulama faktörü olmadan alışverişleri kabul edebiliyor. Bankanın ve işletmenin gücü her şeyi değiştirir.

Buna paralel olarak, cüzdanınızdan çıkardığınız bir kartın gizlice fotoğrafını çektiği veya cep telefonuyla kaydettiği senaryolar da anlatılmıştır. Kulağa basit gelse de, bu görsel sızıntılar diğer verilerle birleştiğinde kimlik sahtekarlığına, yetkisiz hizmet kayıtlarına veya satın alımlara yol açabilir. Sosyal mühendislik teknik çalışmayı tamamlar.

Kendinizi nasıl korursunuz: Gerçekten işe yarayan pratik önlemler

• Temassız ödeme limitlerini ayarlayın: Maksimum miktarları düşürüyor, böylece kötüye kullanım durumunda etkisi daha az oluyor.
• Cep telefonunuzda veya saatinizde biyometriyi veya PIN'i etkinleştirin: Bu sayede hiç kimse sizin onayınız olmadan cihazınızdan ödeme yapamaz.
• Tokenleştirilmiş cüzdanları kullanın: Gerçek numarayı bir jetonla değiştirirler, böylece kartınızın satıcıya gösterilmesini önlerler.
• Temassız ödemeyi kullanmıyorsanız devre dışı bırakın: Birçok kuruluş, karttaki bu işlevi geçici olarak devre dışı bırakmanıza olanak tanır.
• İhtiyacınız olmadığında telefonunuzun NFC özelliğini kapatın: Kötü amaçlı uygulamalara veya istenmeyen okumalara karşı saldırı yüzeyini azaltır.
• Cihazınızı koruyun: Güçlü bir parola, güvenli bir desen veya biyometrik verilerle kilitleyin ve hiçbir tezgahta açık bırakmayın.
• Her şeyi güncel tutun: Sistem, uygulamalar ve donanım yazılımları; birçok güncelleme bu saldırıları istismar eden hataları düzeltiyor.
• İşlem uyarılarını etkinleştirin: Hareketleri gerçek zamanlı olarak tespit etmek ve anında tepki vermek için push ve SMS gönderin.
• Beyanlarınızı düzenli olarak kontrol edin: Haftada bir gününüzü harcamaları kontrol etmeye ve şüpheli küçük miktarları tespit etmeye ayırın.
• POS terminalindeki tutarı mutlaka doğrulayın: Kartınızı yaklaştırmadan önce ekrana bakın ve fişi saklayın.
• PIN kullanmadan maksimum tutarları tanımlayın: Bu, belirli bir tutarın üzerindeki satın alımlarda ek kimlik doğrulamasını zorunlu kılar.
• RFID/NFC engelleme kılıflarını veya kartlarını kullanın: Bunlar yanılmaz değildir, ancak saldırganın çabasını artırırlar.
• İnternet alışverişlerinizde sanal kartları tercih edin: Ödeme yapmadan hemen önce bakiyenizi doldurun ve bankanız çevrimdışı ödemeleri destekliyorsa bunu devre dışı bırakın.
• Sanal kartınızı sık sık yenileyin: Yılda en az bir kez değiştirilmesi, sızıntı durumunda maruziyeti azaltır.
• Çevrimiçi kullandığınızdan farklı bir kartı cüzdanınıza bağlayın: Fiziksel ve çevrimiçi ödemeler arasındaki riskleri ayırır.
• ATM'lerde NFC özellikli telefonları kullanmaktan kaçının: Para çekme veya yatırma işlemlerinizde lütfen fiziksel kartınızı kullanınız.
• Güvenilir bir güvenlik paketi yükleyin: Mobil ve bilgisayarınızda ödeme koruması ve kimlik avı engelleme özelliklerini arayın.
• Uygulamaları yalnızca resmi mağazalardan indirin: ve geliştiriciyi onaylayın; SMS veya mesajlaşma yoluyla gelen bağlantılara karşı dikkatli olun.
• Kalabalık ortamlarda: Kartlarınızı korumalı bir iç cepte veya cüzdanda saklayın ve görünürde olmasını önleyin.
• İşletmeler için: BT, kurumsal mobil cihazları incelemesini, cihaz yönetimi uygulamasını ve bilinmeyen kurulumları engellemesini istiyor.

Kuruluşlardan öneriler ve en iyi uygulamalar

• Ödeme yapmadan önce tutarı kontrol edin: Terminalde tutarı doğrulayana kadar kartınızı yaklaştırmayın.
• Fişleri saklayın: Ücretleri karşılaştırmanıza ve tutarsızlıklar varsa delillerle birlikte talepte bulunmanıza yardımcı olurlar.
• Bankacılık uygulamasından bildirimleri etkinleştirin: Bunlar, tanınmayan bir suçlamanın ilk uyarı işaretleridir.
• Beyanlarınızı düzenli olarak kontrol edin: Erken tespit, hasarı azaltır ve bankanın müdahalesini hızlandırır.

Kartınızın kopyalandığından veya hesabınızın bağlandığından şüpheleniyorsanız

İlk şey, engellemektir klonlanmış kredi kartı Uygulamadan veya bankayı arayarak yeni bir numara talep edin. Kartı veren kuruluştan, tanımadığınız tüm ilişkili mobil cüzdanların bağlantısını kaldırmasını ve gelişmiş izlemeyi etkinleştirmesini isteyin. şifreleri değiştirmenin ve cihazlarınızı kontrol etmenin yanı sıra.

Mobil cihazınızda, yüklediğinizi hatırlamadığınız uygulamaları kaldırın, güvenlik çözümünüzle bir tarama çalıştırın ve enfeksiyon belirtileri devam ederse, yedekleme yaptıktan sonra fabrika ayarlarına geri yükleyin. Resmi olmayan kaynaklardan yeniden yükleme yapmaktan kaçının.

Gerekirse bir rapor oluşturun ve kanıt toplayın (mesajlar, ekran görüntüleri, makbuzlar). Ne kadar erken bildirirseniz, bankanız geri ödemeleri o kadar erken başlatabilir ve ödemeleri o kadar erken bloke edebilir. Domino etkisini durdurmanın anahtarı hızdır.

Temassız kolaylığın dezavantajı, saldırganların yakın mesafede faaliyet göstermesidir. Kitlesel veri kopyalamadan kartları mobil cüzdanlara bağlamaya, Ghost Tap aktarımından NFC'yi engelleyen kötü amaçlı yazılımlara kadar nasıl çalıştıklarını anlamak, bilinçli kararlar alınmasını sağlar: kısıtlamaları sıkılaştırmak, güçlü kimlik doğrulaması gerektirmek, belirteç kullanmak, kullanılmadığında özellikleri kapatmak, hareketleri izlemek ve dijital hijyeni iyileştirmek. Birkaç sağlam bariyerin uygulanmasıyla, Riski en aza indirirken temassız ödemelerin keyfini çıkarmak kesinlikle mümkün.