Czy płatność NFC jest bezpieczna i jak ją skonfigurować?

Kupując zupełnie nowy telefon lub tablet, użytkownik z reguły otrzymuje urządzenie obsługujące NFC, ale często nawet nie zdając sobie sprawy z zalet tej technologii. Warto wiedzieć, czy płatność NFC jest bezpieczna i jak ją skonfigurować, aby móc płacić za zakupy zbliżeniowo.

Co to jest NFC?

Jest to technologia przesyłania informacji na niewielkie odległości, łącząca czytnik i kartę inteligentną w jednym urządzeniu. Ta ostatnia to plastikowa karta ze znacznikiem typu RFID, dzięki której ludzie przechodzą przez bramki biurowe i otwierają drzwiczki dostępu.Bilety w komunikacji miejskiej stolicy lub karta bankowa z płatnością zbliżeniową to karta inteligentna.

Zainstalowany jest w nim mikroczip, który w momencie dotknięcia czytnika (bramka biurowego lub automatu jakiejś instytucji) wymienia informacje w ciągu kilku sekund. Mówiąc najprościej, przekazuje dane o swoim właścicielu do systemu bezpieczeństwa lub umożliwia wypłatę określonej kwoty środków.

Ten mikrochip nazywa się Secure Element i jest zintegrowany z telefonem przez producenta lub umieszczony na nośniku SD lub karcie SIM. Z kolei jednostka NFS jest instalowana wyłącznie w zakładzie producenta i pełni rolę opcji sterownika. Mówiąc najprościej, zarządza tym modułem.

Jak działa NFC?

Przymocowanie smartfona do maszyny, aby zapłacić za towary, jest znacznie wygodniejsze niż noszenie kilku kart kredytowych w kieszeni.

Technologia NFC (Near Field Communication lub Short Distance Communication) opiera się na połączeniu 2 cewek typu elektromagnetycznego, z których jedna znajduje się odpowiednio w smartfonie, a druga w maszynie. Aby rozpocząć relację, oba urządzenia muszą znajdować się w odległości nie większej niż 5 cm od siebie.

Jak włączyć NFC? Jak sprawdzić, czy w smartfonie jest moduł?

Wszystko jest całkiem proste. Aby zrozumieć, czy na telefonie lub tablecie z Androidem znajduje się moduł NFC i aktywować go, użytkownik musi przejść do „Konfiguracja” – „Komunikacja bezprzewodowa” – „NFC”.

Jeśli użytkownik nie ma tej wartości w menu, to NFC nie jest dostępne w jego smartfonie.

Metoda 1. Karta kredytowa Android

Jeśli użytkownik ma wszędzie zły nawyk i ciągle zapomina o własnej karcie kredytowej, to w tej sytuacji, jeśli jego gadżet jest wyposażony w moduł NFC, ma możliwość uczynienia własnego telefonu prawdziwą kartą kredytową. Odbywa się to w następujący sposób:

• Po pierwsze, potrzebujesz karty kredytowej obsługującej technologię paypass;
• Konieczne jest zainstalowanie na smartfonie programu (klienta) banku użytkownika, w którym została wykonana karta;
• Otwórz zainstalowany program, znajdź opcję odpowiedzialną za NFC i wybierz ją. Następnie musisz umieścić kartę kredytową z tyłu telefonu lub tabletu, aby została uwzględniona;
• Po pomyślnym odczytaniu użytkownik otrzyma SMS-em hasło składające się z 4 cyfr, które należy zapisać. Ten kod PIN trzeba będzie wprowadzić, gdy użytkownik dokona płatności za pomocą telefonu lub tabletu.

Twórcy modułu twierdzą, że jego użycie jest bezpieczne, ponieważ:

1. Użytkownik musi zawsze przed zakupem wpisać kod PIN.
2. Zasięg działania mikroprocesora NFC to zaledwie 10 cm (w rzeczywistości jeszcze mniej).

Metoda 2: Tagi NFC

Typowa sytuacja: osoba obudziła się, zjadła śniadanie, spojrzała na zapasy w lodówce i uruchomiła program „Kup Batutę” lub „Google Keep”, aby dodać do listy to, co trzeba kupić. Następnie wychodzi z mieszkania i włącza sieć komórkową, wsiada do samochodu i aktywuje GPS, Bluetooth, aby bezpiecznie dotrzeć do miejsca pracy. Tam przełącza smartfon w tryb wibracji i otwiera Evernote.

Dziś wszystkie te czynności można wykonywać nie mechanicznie, ale automatycznie dzięki tagom NFC.

Co jest do tego potrzebne:

1. Zainstaluj program NFC ReTAG.
2. Znajdź tagi NFC lub, jeśli użytkownik ma zbliżeniowe karty płatnicze do metra lub transportu publicznego, a może dawno zapomniane lub nieużywane karty bankowe obsługujące Pay Pass.
3. Otwórz NFC ReTAG, zeskanuj kartę lub tag, dodaj go i nazwij go, jak chce użytkownik.
4. Następnie musisz wybrać akcję, która zostanie wykonana na smartfonie, gdy użytkownik dołączy ją do etykiety, i nacisnąć klawisz „Akcja”.
5. Stwórz akcję, na przykład uruchom program „Kup batutę”.

Po utworzeniu przez użytkownika akcji możesz dołączyć do lodówki kartę lub tag (lub umieścić go obok). Od teraz za każdym razem, gdy użytkownik wejdzie do kuchni, ma możliwość natychmiastowego uruchomienia programu „Kup Batutę” i zapisania przypomnienia z listą obowiązkowych zakupów.

Przykład! Gdy osoba wsiada do samochodu, znajduje się w nim znak skanujący, który automatycznie aktywuje GPS i otwiera Bluetooth.

Jak zrobić?

1. Konieczne jest zeskanowanie karty lub etykiety, nazwanie jej.
2. Wyznacz akcję - uruchom program GPS, a także otwórz bezprzewodową transmisję informacji Bluetooth.

Rada! Najlepiej jest zostawić zawieszkę w samochodzie, aby nie zapomnieć o zeskanowaniu jej za każdym razem, gdy wsiadasz do samochodu.

Jeśli smartfon ma prawa roota, zwiększy to również możliwość korzystania z tagów NFC, a osoba będzie miała więcej „chipów” do automatyzacji procesów telefonu lub tabletu.

Metoda 3. Wiązka Androida

Jest to metoda transmisji danych (podobna do Bluetooth) za pomocą mikroprocesora NFC. Należy pamiętać, że kurs wymiany danych za pomocą Android Beam jest bardzo niski, dlatego wskazane byłoby używanie go tylko do przesyłania niewielkiej ilości tekstu lub linków.

Do tego potrzebujesz:

• Naciśnij klawisz „Rozwiń”;
• Połącz oba urządzenia;
• Gdy obraz na wyświetlaczu urządzenia nadawczego zmniejszy się, kliknij go, aby rozpocząć transmisję.

Metoda 4: Pierścień lub bransoletka NFC

Inteligentna bransoletka lub pierścionek z opcją NFC to innowacyjny projekt deweloperów z Chin, który nadaje się do telefonów działających na różnych systemach operacyjnych. Bransoletkę można dobrać do dowolnej wielkości dłoni (podobna sytuacja z pierścionkiem). Waga urządzenia jest bardzo niewielka, ale najważniejsze jest to, że w pełni obsługuje technologię NFC.

Rolę chipa, na przykład w urządzeniu Band 3 BFC, pełni wyspecjalizowany chipset. Z pomocą najnowszej, inteligentnej bransoletki pomaga telefonowi przesyłać informacje za pośrednictwem kanału typu zbliżeniowego, zachowując w ten sposób wysokie bezpieczeństwo. Informacje o urządzeniu można przepisywać nieograniczoną liczbę razy.

Bransoletka przechowuje informacje o płatnościach, zapisy i inne dane osobowe. Przeglądanie informacji nie jest trudne – wystarczy położyć bransoletkę na wyświetlaczu telefonu. W ciągu kilku sekund nawiąże połączenie ze smartfonem i wyłączy blokadę wyświetlacza, a także będzie pełnił rolę klawisza skrótu. Na przykład, przynosząc bransoletkę do telefonu, w tym samym momencie aktywowany jest aparat, sieć lub program społecznościowy.

Inne opcje

Moduły NFC znajdują się na etykietach w sklepach lub w muzeach na tabliczkach informacyjnych, podczas skanowania których użytkownik zostanie przeniesiony na stronę z pełnymi danymi o produkcie lub stojaku.

Bezpieczeństwo NFC

Dla użytkowników, którzy od dłuższego czasu korzystają z kart zbliżeniowych, nie ma sensu mówić o tym, czym jest technologia NFC. Ta metoda płatności jest bezpieczniejsza niż zwykła metoda aktywacji karty PIN w maszynie, ponieważ nikt nie widzi kodu. Nawet jeśli telefon zostanie skradziony, złodziej nie będzie mógł wypłacić z karty więcej niż tysiąca rubli ze względu na globalne limity na limitowanie kwot w transakcjach zbliżeniowych.

W niektórych mediach pojawiają się doniesienia, że ​​hakerzy utworzone terminale, które są używane w zatłoczonych miejscach, potajemnie kradnąc fundusze. Ale dzieje się tak tylko wtedy, gdy telefon jest odblokowany.

Rekomendacje! Jeśli mimo to napastnikowi udało się wypłacić środki nielegalnie, właściciel konta zawsze ma możliwość udania się do instytucji bankowej i skontaktowania się z nią z prośbą o śledzenie przepływu pieniędzy. Saldo hakera zostanie natychmiast znalezione, a środki zostaną zwrócone właścicielowi, jeśli porywacz jeszcze ich nie wydał.

Mity i badania dotyczące bezpieczeństwa NFC

Aby dokładnie wszystko zrozumieć, poniżej znajdują się wszelkiego rodzaju mity, plotki i prawdziwe sytuacje związane z bezpieczeństwem technologii NFC.

Dystans

Karty zbliżeniowe służą do przesyłania informacji w technologii NFC, podkategorii RFID. Na karcie kredytowej znajduje się procesor i antena, które odpowiadają na żądanie terminala rozliczeniowego na częstotliwości radiowej 13,56 MHz. Różne systemy płatności stosują własne standardy, takie jak Visa Pay Wave czy MasterCard Pay Pass. Ale wszystkie opierają się na prawie tej samej zasadzie.

Odległość przesyłania informacji za pomocą NFC waha się w granicach kilku cm.W związku z tym pierwszy krok bezpieczeństwa jest fizyczny. Czytnik w rzeczywistości należy zbliżyć do karty kredytowej, co jest dość trudne do zrobienia dyskretnie.

Możliwe jest jednak stworzenie niezwykłego czytnika, który działa na duże odległości. Na przykład naukowcy z University of Surrey w Wielkiej Brytanii pokazali technologię odczytu informacji NFC z odległości około 80 cm dzięki praktycznemu skanerowi.

Ten gadżet jest naprawdę zdolny do potajemnego „przesłuchiwania” kart zbliżeniowych w minibusach, centrach handlowych, lotniskach i innych miejscach publicznych. Na szczęście w wielu stanach właściwe karty kredytowe są już w portfelu co druga osoba.

Niemniej jednak można pójść znacznie dalej i obejść się bez skanera i osobistej obecności. Kolejne nietypowe rozwiązanie problemu zasięgu przedstawili hakerzy z Hiszpanii. R. Rodriguez i H. Villa, którzy wygłosili wykład na spotkaniu Hack In The Box.

Większość nowych telefonów z Androidem jest wyposażona w NFC.Jednocześnie gadżety często znajdują się w bliskim sąsiedztwie torebki – na przykład w jednym plecaku. Villa i Rodriguez opracowali koncepcję trojana (wirusa) na Androida, który zamienia telefon ofiary w swego rodzaju wzmacniacz sygnału NFC.

W momencie, gdy zainfekowany smartfon znajduje się w pobliżu zbliżeniowej karty kredytowej, przesyła hakerom sygnał za pośrednictwem sieci o zasięgu operacji. Atakujący uruchamiają zwykły terminal płatniczy i podłączają do niego własny telefon NFC. Dlatego most jest „budowany” za pomocą sieci między terminalem a kartą NFC, które mogą znajdować się w dowolnej odległości od siebie.

Wirus może być przenoszony w zwykły sposób, na przykład w pakiecie z „zhakowanym” płatnym programem. Wszystko czego potrzebujesz to system operacyjny Android w wersji 4.4 lub nowszej. Prawa roota nie są wymagane, jednak są zalecane, aby wirus mógł działać nawet po zablokowaniu ekranu urządzenia.

Kryptografia

Oczywiście dotarcie do mapy to 50% sukcesu. W ślad za tym konieczne jest przełamanie znacznie potężniejszej bariery, która opiera się na kryptografii.

Transakcje zbliżeniowe są chronione tym samym standardem EMV, co karty procesorowe. W porównaniu do toru magnesu, który faktycznie można skopiować, taki ruch nie zadziała z procesorem. Na żądanie terminala chip za każdym razem generuje jednorazowy klucz. Możliwe jest przechwycenie takiego klucza, ale nie będzie on już nadawał się do późniejszej operacji.

Naukowcy zajmujący się bezpieczeństwem wielokrotnie wątpili w bezpieczeństwo EMV, ale do dnia dzisiejszego nie znaleziono żadnych praktycznych sposobów na obejście ochrony.

Nawiasem mówiąc, jest jeden niuans.W zwykłej implementacji bezpieczeństwo kart procesorowych opiera się na kombinacji kluczy kryptograficznych i osoby wprowadzającej kod PIN. W procesie transakcji zbliżeniowych kod PIN najczęściej nie jest potrzebny, więc pozostają tylko klucze kryptograficzne procesora karty i terminala.

Kwota zakupu

Jest jeszcze jeden poziom bezpieczeństwa – limit na transakcje zbliżeniowe. To ograniczenie w konfiguracji urządzeń końcowych ustala agent rozliczeniowy (bank), który kieruje się radą systemów płatniczych. W Federacji Rosyjskiej maksymalna kwota płatności wynosi tysiąc rubli, aw Ameryce próg wynosi 25 USD.

Płatność za dużą kwotę zostanie odrzucona lub automat zacznie wymagać identyfikacji pomocniczej (podpisu lub kodu PIN), wszystko zależy od konfiguracji agenta rozliczeniowego - wydawcy karty. Przy próbach naprzemiennego wypłaty kilku kwot mniejszych niż limit, należy również aktywować pomocniczy system zabezpieczający.

Ale nawet tutaj jest specyfika. Inna grupa naukowców z Newcastle University z Wielkiej Brytanii powiedziała prawie rok wcześniej, że znalazła lukę w bezpieczeństwie transakcji zbliżeniowych systemu płatności Visa.

Jeśli żądasz płatności nie w funtach szterlingach, ale w innej walucie obcej, limit kwoty nie jest uwzględniany. A jeśli terminal nie jest podłączony do sieci WWW, maksymalna kwota operacji hakerskiej może osiągnąć milion euro.

Pracownicy systemu płatniczego Visa zaprzeczyli realizacji takiego włamania w praktyce, twierdząc, że operacja zostanie odrzucona przez systemy bezpieczeństwa banku. Jeśli wierzysz słowom Taratorina z Raiffeisenbank, terminal kontroluje próg kwoty płatności, niezależnie od waluty, w której została wykonana.

Wniosek

Podsumowując, warto zauważyć, że technologię płatności zbliżeniowych w rzeczywistości zamyka doskonała wieloetapowa ochrona, ale to wcale nie oznacza, że ​​środki użytkowników są z nią bezpieczne. Zbyt dużo w kartach instytucji bankowych jest powiązanych z bardzo „starymi” technologiami (pasek magnetyczny, płatność sieciowa bez weryfikacji pomocniczej itp.)

Ponadto wiele zależy od dbałości o konfigurację niektórych instytucji finansowych i placówek. Warto zauważyć, że ci ostatni w pogoni za szybkimi zakupami i niewielkim odsetkiem „porzuconych koszyków” bardzo zaniedbują bezpieczeństwo transakcji.