Il pagamento NFC è sicuro e come configurarlo?

Quando si acquista un telefono o un tablet nuovo di zecca, l'utente, di norma, riceve un dispositivo che supporta NFC, ma spesso senza nemmeno rendersi conto dei vantaggi offerti da questa tecnologia. È utile sapere se il pagamento NFC è sicuro e come configurarlo in modo da poter pagare gli acquisti senza contatto.

Cos'è l'NFC?

Questa è una tecnologia per il trasferimento di informazioni su brevi distanze, combinando un lettore e una smart card in un unico dispositivo. Quest'ultima è una tessera plastificata con marchio di tipo RFID, grazie alla quale le persone passano attraverso i tornelli degli uffici e le porte di accesso aperte.I biglietti dei mezzi pubblici della capitale o una carta bancaria con pagamento contactless sono una smart card.

Al suo interno è installato un microchip che, al momento di toccare il dispositivo di lettura (tornello per ufficio o macchina automatica di qualche istituzione), scambia informazioni in pochi secondi. In poche parole, trasmette i dati sul suo proprietario al sistema di sicurezza o consente di prelevare un determinato importo di fondi.

Questo microchip è chiamato Secure Element ed è integrato nel telefono dal produttore o posizionato su un supporto SD o una scheda SIM. L'unità NFS, dal canto suo, è installata esclusivamente presso lo stabilimento del produttore e svolge il ruolo di opzione di controllo. In poche parole, amministra questo modulo.

Come funziona NFC?

Attaccare uno smartphone alla macchina per pagare la merce è molto più comodo rispetto a portare un paio di carte di credito in tasca.

La tecnologia NFC (Near Field Communication o Short Distance Communication) si basa sull'interconnessione di 2 bobine di tipo elettromagnetico, una delle quali si trova rispettivamente nello smartphone, e l'altra, rispettivamente, nella macchina. Per avviare la relazione, entrambi i dispositivi devono trovarsi a una distanza non superiore a 5 cm l'uno dall'altro.

Come abilitare NFC? Come scoprire se c'è un modulo su uno smartphone?

Tutto è abbastanza facile. Per capire se è presente un modulo NFC sul telefono o tablet Android dell'utente e attivarlo, l'utente deve andare su "Configurazione" - "Comunicazioni wireless" - "NFC".

Se l'utente non ha questo valore nel menu, l'NFC non è disponibile nel suo smartphone.

Metodo 1. Carta di credito Android

Se l'utente ha una cattiva abitudine ovunque e dimentica costantemente la propria carta di credito, in questa situazione, se il suo gadget è dotato di un modulo NFC, gli viene data l'opportunità di trasformare il proprio telefono in una vera carta di credito. Questo viene fatto come segue:

• Innanzitutto, è necessaria una carta di credito che supporti la tecnologia paypass;
• E' necessario installare sullo smartphone il programma (client) della banca utente in cui è stata realizzata la carta;
• Apri il programma installato, trova l'opzione responsabile di NFC e selezionala. Successivamente, è necessario inserire una carta di credito sul retro del telefono o del tablet in modo che venga considerata;
• A lettura avvenuta, all'utente verrà inviata tramite SMS una password composta da 4 numeri, che dovrà essere salvata. Questo PIN dovrà essere inserito quando l'utente effettua un pagamento utilizzando un telefono o un tablet.

Gli sviluppatori del modulo affermano che il suo utilizzo è sicuro perché:

1. L'utente deve sempre, prima di acquistare qualcosa, inserire il codice PIN.
2. Il raggio di azione del microprocessore NFC è di soli 10 cm (in realtà anche meno).

Metodo 2: tag NFC

Una situazione tipica: una persona si è svegliata, ha fatto colazione, ha guardato le scorte nel frigorifero e ha aperto il programma "Buy a Baton" o "Google Keep" per aggiungere ciò che deve essere acquistato alla lista. Dopodiché esce dall'appartamento e accende la rete mobile, sale in macchina e attiva il GPS, il Bluetooth, per raggiungere in sicurezza il luogo di lavoro. Lì, imposta lo smartphone in modalità vibrazione e apre Evernote.

Oggi tutte queste azioni possono essere eseguite non meccanicamente, ma automaticamente grazie ai tag NFC.

Cosa è necessario per questo:

1. Installa il programma NFC ReTAG.
2. Trova i tag NFC o, se l'utente ha carte di pagamento contactless della metropolitana o dei trasporti pubblici, o forse carte bancarie dimenticate da tempo o non utilizzate che supportano Pay Pass.
3. Apri NFC ReTAG, scansiona una carta o un tag, aggiungilo e nominalo come vuole l'utente.
4. Successivamente, è necessario selezionare l'azione che verrà eseguita sullo smartphone quando l'utente lo allegherà all'etichetta e premere il tasto "Azione".
5. Crea un'azione, ad esempio avvia il programma "Compra una bacchetta".

Dopo che l'utente ha creato un'azione, puoi allegare una scheda o un tag al frigorifero (o metterlo accanto ad esso). D'ora in poi, ogni volta che l'utente entra in cucina, gli viene data la possibilità di lanciare istantaneamente il programma "Compra una bacchetta" e di salvare un promemoria con un elenco di acquisti obbligatori.

Esempio! Quando una persona sale in macchina, c'è un segno al suo interno, la scansione che attiva automaticamente il GPS e apre il Bluetooth.

Come fare?

1. È necessario scansionare una carta o un'etichetta, nominarla.
2. Designa un'azione: avvia il programma GPS e apri anche la trasmissione di informazioni wireless Bluetooth.

Consiglio! È meglio lasciare il tag in macchina in modo da non dimenticare di scansionarlo ogni volta che sali in macchina.

Se lo smartphone dispone dei diritti di root, ciò aumenterà anche la possibilità di utilizzare i tag NFC e una persona avrà più "chip" per automatizzare i processi di un telefono o tablet.

Metodo 3. Android Beam

Questo è un metodo di trasmissione dati (simile al Bluetooth) che utilizza il microprocessore NFC. È importante ricordare che il tasso di scambio dati utilizzando Android Beam è molto basso, e quindi sarebbe consigliabile utilizzarlo solo per trasferire una piccola quantità di testo o link.

Per questo hai bisogno di:

• Premere il tasto "Espandi";
• Porta entrambi i dispositivi l'uno verso l'altro;
• Quando l'immagine sul display del dispositivo trasmittente diventa più piccola, fare clic su di essa per avviare la trasmissione.

Metodo 4: anello o braccialetto NFC

Un braccialetto o un anello intelligente con opzione NFC è un progetto innovativo di sviluppatori cinesi, adatto a telefoni che funzionano su vari sistemi operativi. Il braccialetto può essere scelto per qualsiasi dimensione della mano (una situazione simile con l'anello). Il peso del dispositivo è molto contenuto, ma la cosa principale è che supporta pienamente la tecnologia NFC.

Il ruolo del chip, ad esempio, nel dispositivo Band 3 BFC, è svolto da un chipset specializzato. Con l'aiuto delle ultime novità, il braccialetto intelligente aiuta il telefono a trasmettere informazioni tramite un canale di tipo contactless, mantenendo così un'elevata sicurezza. Le informazioni sul dispositivo possono essere riscritte un numero illimitato di volte.

Il braccialetto memorizza informazioni di pagamento, record e altri dati personali. Visualizzare le informazioni non è difficile: basta mettere il braccialetto sul display del telefono. In pochi secondi stabilirà una connessione con lo smartphone e disabiliterà il blocco del display, e svolgerà anche il ruolo di hot key. Ad esempio, mentre si avvicina il braccialetto al telefono, si attiva contemporaneamente il programma della fotocamera, della rete o del social network.

Altre opzioni

I moduli NFC si trovano sulle etichette dei negozi o nei musei su targhe informative, durante la scansione della quale l'utente verrà portato in un sito con i dati completi sul prodotto o sul rack.

Sicurezza NFC

Non ha senso per gli utenti che utilizzano le carte contactless da molto tempo parlare di cosa sia la tecnologia NFC. Questo metodo di pagamento è più sicuro del solito metodo di attivazione di una carta PIN in una macchina, perché nessuno vede il codice. Anche se il telefono viene rubato, il ladro non sarà in grado di prelevare più di mille rubli dalla carta a causa dei limiti globali agli importi limite nelle transazioni contactless.

Ci sono rapporti in alcuni media che hacker terminali creati, che vengono utilizzati in luoghi affollati, rubando segretamente fondi. Ma questo è reale solo quando il telefono è sbloccato.

Raccomandazione! Se l'attaccante è comunque riuscito a prelevare i fondi illegalmente, il titolare del conto ha sempre la possibilità di recarsi presso un istituto bancario e contattarlo con una richiesta per tracciare il movimento di denaro. Il saldo dell'hacker verrà immediatamente trovato e i fondi verranno restituiti al proprietario se il rapitore non li ha ancora spesi.

Miti e ricerche sulla sicurezza NFC

Per capire tutto a fondo, di seguito sono riportati tutti i tipi di miti, voci e situazioni reali relative alla sicurezza della tecnologia NFC.

Distanza

Le carte contactless vengono utilizzate per trasferire informazioni sulla tecnologia NFC, una sottocategoria di RFID. Sulla carta di credito è presente un processore e un'antenna che rispondono alla richiesta del terminale di regolamento ad una frequenza radio di 13,56 MHz. Diversi sistemi di pagamento utilizzano i propri standard, come Visa Pay Wave o MasterCard Pay Pass. Ma sono tutti basati quasi sullo stesso principio.

La distanza di trasferimento delle informazioni tramite NFC varia di pochi cm, a questo proposito il primo passo della sicurezza è quello fisico. Il lettore, infatti, va avvicinato alla carta di credito, cosa abbastanza difficile da fare con discrezione.

Tuttavia, è possibile creare un lettore straordinario che funzioni a lunga distanza. Ad esempio, gli scienziati dell'Università del Surrey in Gran Bretagna hanno mostrato la tecnologia per leggere le informazioni NFC a una distanza di circa 80 cm grazie a un pratico scanner.

Questo gadget è davvero in grado di "interrogare" segretamente le carte contactless in minibus, centri commerciali, aeroporti e altri luoghi pubblici. Fortunatamente, in molti stati, le carte di credito adeguate sono già nella borsa di una persona su due.

Tuttavia, è possibile andare molto oltre e fare a meno di uno scanner e della presenza personale. Un'altra soluzione insolita al problema della portata è stata presentata dagli hacker spagnoli. R. Rodriguez e H. Villa che hanno presentato la lezione all'incontro Hack In The Box.

La maggior parte dei nuovi telefoni Android sono dotati di NFC.Allo stesso tempo, i gadget si trovano spesso nelle immediate vicinanze di una borsa, ad esempio in uno zaino. Villa e Rodriguez hanno sviluppato il concetto di un Trojan (virus) su Android che trasforma il telefono della vittima in una sorta di ripetitore di segnale NFC.

Nel momento in cui uno smartphone infetto si trova vicino a una carta di credito contactless, trasmette un segnale agli hacker tramite la rete sulla portata dell'operazione. Gli aggressori avviano un normale terminale di pagamento e vi collegano il proprio telefono NFC. Si “costruisce” quindi un bridge utilizzando una rete tra il terminale e la scheda NFC, che possono essere posizionate a qualsiasi distanza l'una dall'altra.

Il virus può essere trasmesso nel modo consueto, ad esempio, quando viene fornito in bundle con un programma a pagamento "hackerato". Tutto ciò di cui hai bisogno è la versione del sistema operativo Android 4.4 o successiva. I diritti di root non sono richiesti, tuttavia sono consigliati in modo che il virus possa funzionare anche dopo che lo schermo del dispositivo è bloccato.

Crittografia

Naturalmente, avvicinarsi alla mappa è un successo del 50%. In seguito, è necessario infrangere una barriera molto più potente, che si basa sulla crittografia.

Le transazioni contactless sono protette dallo stesso standard EMV delle carte processore. Rispetto alla traccia del magnete, che può essere effettivamente copiata, una mossa del genere non funzionerà con il processore. Su richiesta del terminale, il chip genera ogni volta una chiave monouso. È possibile intercettare tale chiave, ma non sarà più adatta per un'operazione successiva.

Gli scienziati della sicurezza hanno ripetutamente dubitato della sicurezza di EMV, ma fino ad oggi non sono stati trovati modi praticabili per aggirare la protezione.

C'è, tra l'altro, una sfumatura.Nella normale implementazione, la sicurezza delle schede del processore si basa su una combinazione di chiavi crittografiche e una persona che inserisce un codice PIN. Nel processo di transazioni contactless, molto spesso non è necessario un codice PIN, quindi rimangono solo le chiavi crittografiche del processore di carte e del terminale.

Ammontare dell'acquisto

C'è un altro livello di sicurezza: il limite limite per le transazioni contactless. Questa limitazione nella configurazione dell'apparecchiatura terminale è stabilita dall'acquirente (banca), che è guidato dai consigli dei sistemi di pagamento. Nella Federazione Russa, l'importo massimo del pagamento è di mille rubli e in America la soglia è di $ 25.

Un pagamento per un importo elevato verrà rifiutato o la macchina inizierà a richiedere un'identificazione ausiliaria (firma o codice PIN), tutto dipende dalla configurazione dell'acquirente - emittente della carta. Durante i tentativi di prelevare alternativamente un paio di importi inferiori al limite, dovrebbe essere attivato anche il sistema di sicurezza ausiliaria.

Ma anche qui c'è una specificità. Un altro gruppo di scienziati britannici dell'Università di Newcastle ha affermato quasi un anno prima di aver trovato una scappatoia nella sicurezza delle transazioni contactless del sistema di pagamento Visa.

Se si richiede un pagamento non in sterline, ma in un'altra valuta estera, il limite di importo non è incluso. E se il terminale non è connesso al World Wide Web, l'importo massimo di un'operazione hacker può raggiungere il milione di euro.

I dipendenti del sistema di pagamento Visa hanno negato in pratica l'implementazione di un simile hack, affermando che l'operazione sarebbe stata negata dai sistemi di sicurezza della banca. Se credi alle parole di Taratorin della Raiffeisenbank, il terminale controlla l'importo soglia del pagamento, indipendentemente dalla valuta in cui è stato effettuato.

Conclusione

In conclusione, vale la pena notare che la tecnologia dei pagamenti contactless è, di fatto, chiusa da un'ottima protezione multi-stage, ma questo non significa affatto che i fondi degli utenti siano al sicuro con essa. Troppo nelle carte degli istituti bancari è interconnesso con tecnologie molto “vecchie” (banda magnetica, pagamento in rete senza verifica ausiliaria, ecc.)

Inoltre, molto sta nell'attenzione alla configurazione di alcune istituzioni e punti vendita finanziari. Vale la pena notare che questi ultimi, in corsa per acquisti veloci e una piccola percentuale di “carrelli abbandonati”, trascurano molto la sicurezza delle transazioni.