NFC và sao chép thẻ: rủi ro thực sự và cách chặn thanh toán không tiếp xúc

Công nghệ tiệm cận đã làm cho cuộc sống của chúng ta thuận tiện hơn, nhưng chúng cũng mở ra những cánh cửa mới cho những kẻ lừa đảo; đó là lý do tại sao điều quan trọng là phải hiểu những hạn chế của chúng và Thực hiện các biện pháp an toàn trước khi thiệt hại thực sự xảy ra.

Trong bài viết này, bạn sẽ tìm hiểu, không vòng vo, cách thức hoạt động của NFC/RFID, những thủ đoạn mà tội phạm sử dụng tại các sự kiện và nơi đông người, những mối đe dọa nào đã xuất hiện trên điện thoại di động và thiết bị đầu cuối thanh toán, và trên hết là, Cách chặn hoặc giảm thiểu thanh toán không tiếp xúc khi bạn thấy phù hợpChúng ta hãy bắt đầu với hướng dẫn đầy đủ về: NFC và sao chép thẻ: rủi ro thực sự và cách chặn thanh toán không tiếp xúc.

RFID là gì và NFC bổ sung thêm những gì?

Nói một cách dễ hiểu: RFID là nền tảng của tất cả. Đây là một hệ thống sử dụng tần số vô tuyến để nhận dạng thẻ hoặc thẻ từ ở khoảng cách gần, và có thể hoạt động theo hai cách. Ở dạng thụ động, thẻ không có pin và Nó được kích hoạt bởi năng lượng của người đọc.Thẻ này thường được sử dụng cho thẻ vận chuyển, nhận dạng hoặc dán nhãn sản phẩm. Ở phiên bản chủ động, thẻ tích hợp pin và có thể hoạt động ở khoảng cách xa hơn, phổ biến trong lĩnh vực hậu cần, an ninh và ô tô.

Nói một cách đơn giản, NFC là một cải tiến được thiết kế để sử dụng hàng ngày với điện thoại di động và thẻ: cho phép giao tiếp hai chiều, được tối ưu hóa cho khoảng cách rất ngắn và đã trở thành tiêu chuẩn cho thanh toán, truy cập và trao đổi dữ liệu nhanh chóng. Điểm mạnh nhất của nó là tính tức thời.: bạn đưa nó lại gần và thế là xong, không cần phải đưa thẻ vào khe cắm.

Khi bạn thanh toán bằng thẻ không tiếp xúc, chip NFC/RFID sẽ truyền thông tin cần thiết đến thiết bị đầu cuối thanh toán của người bán. Tuy nhiên, nếu bạn thanh toán bằng điện thoại di động hoặc đồng hồ, mọi chuyện sẽ khác: thiết bị đóng vai trò trung gian và bổ sung các lớp bảo mật (sinh trắc học, mã PIN, mã thông báo), giúp... Nó làm giảm khả năng lộ dữ liệu thực tế của thẻ..

Thẻ không tiếp xúc so với thanh toán bằng thiết bị

• Thẻ vật lý không tiếp xúc: Chỉ cần mang chúng lại gần máy thanh toán; đối với số tiền nhỏ, có thể không cần nhập mã PIN, tùy thuộc vào hạn mức do ngân hàng hoặc quốc gia quy định.
• Thanh toán bằng điện thoại di động hoặc đồng hồ: Họ sử dụng ví điện tử (Apple Pay, Google Wallet, Samsung Pay) thường yêu cầu dấu vân tay, khuôn mặt hoặc mã PIN và thay thế số thực bằng mã thông báo một lần, điều này ngăn cản người bán hàng nhìn thấy thẻ thật của bạn.

Việc cả hai phương pháp đều sử dụng chung nền tảng NFC không có nghĩa là chúng có cùng rủi ro. Sự khác biệt nằm ở phương tiện (nhựa so với thiết bị) và các rào cản bổ sung do điện thoại thông minh tạo ra. đặc biệt là xác thực và mã hóa.

Gian lận không tiếp xúc xảy ra ở đâu và như thế nào?

Tội phạm lợi dụng việc đọc NFC ở phạm vi rất ngắn. Ở những nơi đông người—phương tiện giao thông công cộng, hòa nhạc, sự kiện thể thao, hội chợ—máy đọc thẻ cầm tay có thể tiếp cận túi quần hoặc túi xách mà không gây nghi ngờ và thu thập thông tin. Phương pháp này, được gọi là skimming (lấy cắp thông tin), cho phép sao chép dữ liệu, sau đó được sử dụng để mua hàng hoặc sao chép. mặc dù họ thường cần các bước bổ sung để thực hiện gian lận hiệu quả.

Một phương thức khác là thao túng thiết bị đầu cuối. Một thiết bị đầu cuối thanh toán được sửa đổi với đầu đọc NFC độc hại có thể lưu trữ dữ liệu mà bạn không hề hay biết, và nếu kết hợp với camera ẩn hoặc quan sát trực quan đơn giản, kẻ tấn công có thể lấy được thông tin quan trọng như số điện thoại và ngày hết hạn. Điều này hiếm khi xảy ra ở các cửa hàng uy tín, nhưng nguy cơ lại tăng lên ở các quầy hàng tạm bợ..

Chúng ta cũng không nên quên vấn nạn trộm cắp danh tính: với đủ dữ liệu, tội phạm có thể sử dụng chúng cho các giao dịch mua sắm trực tuyến hoặc các giao dịch không yêu cầu yếu tố xác thực thứ hai. Một số thực thể cung cấp khả năng bảo vệ tốt hơn những thực thể khác - sử dụng mã hóa và mã thông báo mạnh - nhưng, như các chuyên gia cảnh báo, Khi chip truyền dữ liệu, dữ liệu cần thiết cho giao dịch sẽ có mặt..

Song song đó, các cuộc tấn công xuất hiện không nhằm mục đích đọc thẻ của bạn trên đường phố, mà nhằm mục đích kết nối từ xa với ví di động của tội phạm. Đây chính là lúc các hoạt động lừa đảo quy mô lớn, trang web giả mạo và nỗi ám ảnh về việc lấy mật khẩu dùng một lần (OTP) phát huy tác dụng. đó là chìa khóa để cho phép các hoạt động.

Nhân bản, mua sắm trực tuyến và lý do tại sao đôi khi nó hiệu quả

Đôi khi, dữ liệu thu thập được bao gồm số sê-ri đầy đủ và ngày hết hạn. Điều này có thể đủ cho các giao dịch mua hàng trực tuyến nếu người bán hoặc ngân hàng không yêu cầu xác minh thêm. Trong thế giới thực, mọi thứ phức tạp hơn do chip EMV và các biện pháp kiểm soát chống gian lận, nhưng một số kẻ tấn công Họ thử vận ​​may của mình bằng cách giao dịch tại các thiết bị đầu cuối cho phép hoặc với số tiền nhỏ.

Từ mồi nhử đến thanh toán: liên kết thẻ bị đánh cắp với ví điện tử

Một chiến thuật ngày càng phổ biến là thiết lập mạng lưới các trang web lừa đảo (phạt tiền, vận chuyển, hóa đơn, cửa hàng giả) yêu cầu "xác minh" hoặc thanh toán bằng token. Nạn nhân nhập thông tin thẻ và đôi khi là mã OTP (Thanh toán một lần). Trên thực tế, không có khoản phí nào được tính vào thời điểm đó: dữ liệu được gửi đến kẻ tấn công, sau đó chúng sẽ cố gắng... liên kết thẻ đó với Apple Pay hoặc Google Wallet của bạn càng sớm càng tốt

Để đẩy nhanh tiến độ, một số nhóm tạo ra hình ảnh kỹ thuật số sao chép thẻ bằng dữ liệu của nạn nhân, "chụp ảnh" thẻ từ ví và hoàn tất việc liên kết nếu ngân hàng chỉ yêu cầu số thẻ, ngày hết hạn, chủ thẻ, CVV và OTP. Mọi thứ có thể xảy ra chỉ trong một buổi học..

Điều thú vị là họ không phải lúc nào cũng chi tiêu ngay lập tức. Họ tích lũy hàng chục thẻ liên kết trên điện thoại và bán lại trên dark web. Vài tuần sau, người mua sẽ sử dụng thiết bị đó để thanh toán tại các cửa hàng thực tế thông qua phương thức không tiếp xúc hoặc để thu tiền cho các sản phẩm không tồn tại trong cửa hàng của họ trên một nền tảng hợp pháp. Trong nhiều trường hợp, máy POS không yêu cầu nhập mã PIN hoặc OTP..

Có những quốc gia cho phép bạn thậm chí có thể rút tiền mặt từ máy ATM hỗ trợ NFC bằng điện thoại di động, thêm một phương thức kiếm tiền nữa. Trong khi đó, nạn nhân thậm chí có thể không nhớ mình đã thanh toán thất bại trên trang web đó và sẽ không nhận thấy bất kỳ khoản phí "lạ" nào cho đến khi quá muộn. bởi vì lần sử dụng gian lận đầu tiên xảy ra muộn hơn nhiều.

Ghost Tap: Kỹ thuật truyền tin đánh lừa máy đọc thẻ

Một kỹ thuật khác được thảo luận trên các diễn đàn bảo mật là chuyển tiếp NFC, biệt danh là Ghost Tap. Kỹ thuật này dựa trên hai điện thoại di động và các ứng dụng kiểm tra hợp lệ như NFCGate: một điện thoại giữ ví chứa thẻ bị đánh cắp; điện thoại còn lại, được kết nối internet, hoạt động như "bàn tay" trong cửa hàng. Tín hiệu từ điện thoại thứ nhất được chuyển tiếp theo thời gian thực, và con la sẽ đưa điện thoại thứ hai đến gần đầu đọc thẻ. không dễ dàng phân biệt giữa tín hiệu gốc và tín hiệu được truyền lại.

Chiêu trò này cho phép nhiều kẻ lừa đảo thanh toán gần như cùng lúc bằng cùng một thẻ, và nếu cảnh sát kiểm tra điện thoại của kẻ lừa đảo, họ chỉ thấy một ứng dụng hợp pháp mà không có số thẻ. Dữ liệu nhạy cảm nằm trên thiết bị còn lại, có lẽ ở một quốc gia khác. Kế hoạch này làm phức tạp thêm việc quy trách nhiệm và đẩy nhanh hoạt động rửa tiền..

Phần mềm độc hại di động và trường hợp NGate: khi điện thoại của bạn ăn cắp dữ liệu của bạn

Các nhà nghiên cứu bảo mật đã ghi nhận các chiến dịch ở Mỹ Latinh—chẳng hạn như vụ lừa đảo NGate ở Brazil—trong đó một ứng dụng ngân hàng Android giả mạo yêu cầu người dùng kích hoạt NFC và "đưa thẻ lại gần" điện thoại. Phần mềm độc hại sẽ chặn giao tiếp và gửi dữ liệu cho kẻ tấn công, sau đó kẻ tấn công sẽ giả mạo thẻ để thực hiện thanh toán hoặc rút tiền. Chỉ cần người dùng tin tưởng nhầm ứng dụng là được..

Rủi ro không chỉ giới hạn ở một quốc gia. Tại các thị trường như Mexico và các nước khác trong khu vực, nơi việc sử dụng thanh toán trực tiếp đang gia tăng và nhiều người dùng cài đặt ứng dụng từ các liên kết đáng ngờ, thì đây là một mảnh đất màu mỡ. Mặc dù các ngân hàng đang tăng cường kiểm soát, Những kẻ xấu lặp lại hành động rất nhanh và lợi dụng mọi sơ hở..

Những trò lừa đảo này hoạt động từng bước như thế nào

1. Một cảnh báo bẫy xuất hiện: một tin nhắn hoặc email "yêu cầu" bạn cập nhật ứng dụng của ngân hàng thông qua một liên kết.
2. Bạn cài đặt một ứng dụng được sao chép: Nó trông có vẻ thật, nhưng thực chất là độc hại và yêu cầu quyền truy cập NFC.
3. Nó yêu cầu bạn đưa thẻ lại gần: hoặc kích hoạt NFC trong khi thực hiện thao tác và thu thập dữ liệu tại đó.
4. Kẻ tấn công đang mô phỏng thẻ của bạn: và thực hiện thanh toán hoặc rút tiền, bạn sẽ khám phá sau.

Hơn nữa, một biến tướng khác đã xuất hiện vào cuối năm 2024: các ứng dụng lừa đảo yêu cầu người dùng giữ thẻ gần điện thoại và nhập mã PIN "để xác minh". Sau đó, ứng dụng sẽ truyền thông tin cho tội phạm, kẻ gian sẽ thực hiện giao dịch mua hoặc rút tiền tại các máy ATM NFC. Khi các ngân hàng phát hiện ra sự bất thường về vị trí địa lý, một biến thể mới đã xuất hiện vào năm 2025: Chúng thuyết phục nạn nhân gửi tiền vào một tài khoản được cho là an toàn. Từ máy ATM, kẻ tấn công sẽ đưa thẻ của mình qua trung gian; khoản tiền gửi sẽ rơi vào tay kẻ gian và hệ thống chống gian lận sẽ coi đó là giao dịch hợp pháp.

Rủi ro gia tăng: thiết bị đầu cuối thanh toán bằng thẻ, camera và trộm cắp danh tính

Các thiết bị đầu cuối bị giả mạo không chỉ ghi lại những gì chúng cần thông qua NFC mà còn có thể lưu trữ nhật ký giao dịch và bổ sung hình ảnh từ camera ẩn. ​​Nếu chúng có được số sê-ri và ngày hết hạn, một số nhà bán lẻ trực tuyến vô đạo đức có thể chấp nhận giao dịch mua mà không cần yếu tố xác minh thứ hai. Sức mạnh của ngân hàng và doanh nghiệp tạo nên sự khác biệt.

Đồng thời, cũng có những tình huống được mô tả khi ai đó lén lút chụp ảnh hoặc ghi lại thẻ bằng điện thoại di động khi bạn lấy thẻ ra khỏi ví. Nghe có vẻ đơn giản, nhưng những rò rỉ hình ảnh này, kết hợp với các dữ liệu khác, có thể dẫn đến gian lận danh tính, đăng ký dịch vụ hoặc mua hàng trái phép. Kỹ thuật xã hội hoàn thiện công việc kỹ thuật.

Cách bảo vệ bản thân: các biện pháp thực tế có hiệu quả

• Đặt giới hạn thanh toán không tiếp xúc: Nó làm giảm số lượng tối đa để nếu có sử dụng sai mục đích thì tác động cũng ít hơn.
• Kích hoạt sinh trắc học hoặc mã PIN trên điện thoại di động hoặc đồng hồ của bạn: Bằng cách này, không ai có thể thanh toán từ thiết bị của bạn nếu không được bạn cho phép.
• Sử dụng ví được mã hóa: Họ thay thế số thực tế bằng một mã thông báo, tránh để lộ thẻ của bạn cho người bán hàng.
• Hủy kích hoạt thanh toán không tiếp xúc nếu bạn không sử dụng: Nhiều thực thể cho phép bạn tạm thời vô hiệu hóa chức năng đó trên thẻ.
• Tắt NFC trên điện thoại khi bạn không cần dùng đến: Nó làm giảm bề mặt tấn công của các ứng dụng độc hại hoặc các hành vi đọc không mong muốn.
• Bảo vệ thiết bị của bạn: Khóa bằng mật khẩu mạnh, hình vẽ bảo mật hoặc sinh trắc học và không để khóa trên bất kỳ quầy nào.
• Cập nhật mọi thứ: hệ thống, ứng dụng và chương trình cơ sở; nhiều bản cập nhật sửa lỗi khai thác các cuộc tấn công này.
• Kích hoạt cảnh báo giao dịch: Đẩy và nhắn tin SMS để phát hiện chuyển động theo thời gian thực và phản ứng ngay lập tức.
• Kiểm tra báo cáo của bạn thường xuyên: dành một chút thời gian hàng tuần để kiểm tra các khoản phí và xác định các khoản tiền nhỏ đáng ngờ.
• Luôn xác minh số tiền trên máy POS: Nhìn vào màn hình trước khi đưa thẻ lại gần và giữ lại biên lai.
• Xác định số tiền tối đa mà không cần mã PIN: Điều này buộc phải xác thực bổ sung khi mua một số lượng hàng nhất định.
• Sử dụng ống hoặc thẻ chặn RFID/NFC: Chúng không phải là hoàn hảo, nhưng chúng làm tăng nỗ lực của kẻ tấn công.
• Ưu tiên thẻ ảo khi mua hàng trực tuyến: Nạp tiền vào số dư ngay trước khi thanh toán và tắt tính năng thanh toán ngoại tuyến nếu ngân hàng của bạn có cung cấp.
• Gia hạn thẻ ảo thường xuyên: Thay ít nhất một lần một năm sẽ giảm thiểu nguy cơ rò rỉ.
• Liên kết một thẻ khác với thẻ bạn sử dụng trực tuyến vào ví của bạn: phân biệt rủi ro giữa thanh toán trực tiếp và thanh toán trực tuyến.
• Tránh sử dụng điện thoại có chức năng NFC tại các máy ATM: Để rút tiền hoặc gửi tiền, vui lòng sử dụng thẻ vật lý.
• Cài đặt bộ phần mềm bảo mật uy tín: Tìm kiếm tính năng bảo vệ thanh toán và chặn lừa đảo trên thiết bị di động và PC.
• Chỉ tải ứng dụng từ các cửa hàng chính thức: và xác nhận nhà phát triển; hãy cẩn thận với các liên kết qua SMS hoặc tin nhắn.
• Ở những nơi đông đúc: Cất thẻ của bạn trong túi hoặc ví có vật bảo vệ và tránh để lộ thẻ.
• Đối với doanh nghiệp: CNTT yêu cầu bộ phận CNTT xem xét các thiết bị di động của công ty, áp dụng quản lý thiết bị và chặn các cài đặt không xác định.

Khuyến nghị từ các tổ chức và thực tiễn tốt nhất

• Kiểm tra số tiền trước khi thanh toán: Không đưa thẻ lại gần cho đến khi bạn đã xác minh số tiền trên máy thanh toán.
• Giữ lại biên lai: Họ giúp bạn so sánh các khoản phí và nộp đơn khiếu nại kèm bằng chứng nếu có sự khác biệt.
• Kích hoạt thông báo từ ứng dụng ngân hàng: Chúng là dấu hiệu cảnh báo đầu tiên về khoản phí không xác định.
• Kiểm tra báo cáo của bạn thường xuyên: Phát hiện sớm giúp giảm thiểu thiệt hại và tăng tốc độ phản ứng của ngân hàng.

Nếu bạn nghi ngờ thẻ của mình đã bị sao chép hoặc tài khoản của bạn đã được liên kết

Điều đầu tiên là chặn thẻ tín dụng nhân bản Từ ứng dụng hoặc gọi điện đến ngân hàng, hãy yêu cầu một số điện thoại mới. Yêu cầu ngân hàng phát hành hủy liên kết với bất kỳ ví điện tử nào mà bạn không nhận ra và kích hoạt tính năng giám sát nâng cao. ngoài việc thay đổi mật khẩu và kiểm tra thiết bị của bạn.

Trên thiết bị di động, hãy gỡ cài đặt các ứng dụng mà bạn không nhớ đã cài đặt, chạy quét bằng giải pháp bảo mật và nếu dấu hiệu nhiễm trùng vẫn còn, hãy khôi phục cài đặt gốc sau khi sao lưu. Tránh cài đặt lại từ các nguồn không chính thức.

Nếu cần, hãy báo cáo và thu thập bằng chứng (tin nhắn, ảnh chụp màn hình, biên lai). Bạn báo cáo càng sớm, ngân hàng của bạn càng sớm có thể hoàn tiền và chặn thanh toán. Tốc độ là chìa khóa để ngăn chặn hiệu ứng domino.

Nhược điểm của sự tiện lợi không tiếp xúc là kẻ tấn công cũng hoạt động ở khoảng cách gần. Hiểu được cách thức hoạt động của chúng—từ việc đánh cắp thông tin từ đám đông đến việc liên kết thẻ với ví điện tử, chuyển tiếp Ghost Tap, hay phần mềm độc hại chặn NFC—cho phép đưa ra quyết định sáng suốt: thắt chặt các hạn chế, yêu cầu xác thực mạnh, sử dụng mã thông báo, tắt các tính năng khi không sử dụng, giám sát chuyển động và cải thiện vệ sinh kỹ thuật số. Với một vài rào cản vững chắc được đặt ra, Hoàn toàn có thể tận hưởng thanh toán không tiếp xúc trong khi giảm thiểu rủi ro.