Остерегайтесь бесконтактной кражи с технологиями NFC и RFID

Технологии беспроводной связи ближнего действия (NFC) и радиочастотной идентификации (RFID) обеспечивают беспроводную связь между устройствами и упрощают процессы бесконтактной оплаты, отслеживания продуктов и контроля доступа.

Эти технологии стали частью повседневной жизни; Однако их также можно использовать для кражи важных данных , и это может произойти незаметно для вас в обычных местах, таких как спортивные мероприятия, концерты, общественный транспорт или супермаркеты.

Как это работает?

По словам Дэвида Гонсалеса, специалиста по кибербезопасности компании ESET Latin America, системы RFID полезны в логистических средах для организации грузов, упаковок и инвентаризации, а также сбора статистики и соответствующей информации. Их также используют в магазинах одежды для идентификации предметов одежды и их местонахождения, что упрощает ежедневные операции и обеспечивает дополнительную меру безопасности.

В случае систем NFC они являются основой для таких распространенных бесконтактных устройств, как мобильные телефоны и бесконтактные платежные карты. То же самое относится к картам, которые позволяют уполномоченным лицам входить в здания через системы контроля доступа и времени.

Бесконтактные карты NFC также используются для открытия электронных замков в гостиничных номерах, туристических апартаментах и домах для отпуска, что позволяет гостям легко попасть в свои номера, просто приложив карту к считывателю. Чип с идентификационной информацией можно встроить в другие предметы, например, браслеты или брелоки, что еще больше персонализирует обслуживание гостя.

«Таким образом, системы NFC фактически являются частью технологии RFID, то есть их можно считать подмножеством методов RFID. Главное отличие заключается в том, что компоненты RFID могут работать и взаимодействовать друг с другом на гораздо больших расстояниях. Это делает их широко используемыми в самых разных областях», — отмечает Гонсалес.

Желательно использовать защищенный NFC/RFID-кошелек и отключить бесконтактные покупки на телефоне. Фото: PEXELS: Фото Михаила Нилова

Растущие угрозы

С развитием обеих технологий воры освоили новые формы бесконтактного мошенничества, перехватывая данные карт или совершая несанкционированные транзакции.

Одним из них является скимминг — вид мошенничества, при котором преступники копируют данные карты жертвы. После сбора данных требуется дополнительный шаг, например, клонирование карты или использование украденных данных в онлайн-транзакциях для совершения мошенничества.

По словам специалиста, « мошенник использует скрытый считыватель NFC или RFID для перехвата данных бесконтактной платежной карты, когда кто-то подносит ее слишком близко . Хотя украденные данные обычно не включают PIN-код, некоторые злоумышленники могут использовать его для онлайн-покупок в магазинах с низким уровнем безопасности».

В качестве профилактической меры вы можете использовать кошельки с функцией блокировки RFID или даже обернуть карту алюминиевой фольгой . Рекомендуется включить уведомления о покупках в режиме реального времени, использовать виртуальные или временные карты для онлайн-покупок и отслеживать транзакции.

Другой тип атаки — ретрансляционная атака: в этом случае злоумышленник перехватывает сигнал между NFC-картой и платежным терминалом, усиливая его, чтобы создать впечатление, что карта находится в другом месте. Это позволяет производить платежи без уведомления владельца.

Чтобы избежать этого, рекомендуется использовать защищенный кошелек NFC/RFID, отключать бесконтактные покупки на телефоне, когда он не используется, и использовать биометрическую аутентификацию для платежей (отпечаток пальца или Face ID).

Эксперты по кибербезопасности также говорят о взломе электронных кошельков или краже данных мобильных платежей. При этом методе киберпреступники используют уязвимости в платежных приложениях (таких как Apple Pay или Google Pay) или перехватывают данные в общедоступных сетях Wi-Fi, что позволяет им совершать несанкционированные платежи, если они получат доступ к учетной записи пользователя.

В связи с этим компания по кибербезопасности «Лаборатория Касперского» утверждает, что киберпреступники покупают несколько смартфонов, создают на них учетные записи Apple или Google и устанавливают приложения для бесконтактных платежей. Когда жертва посещает поддельный сайт, ее просят привязать свою карту или внести небольшой обязательный платеж. Для этого необходимо ввести данные карты и подтвердить право собственности на карту, введя одноразовый пароль (OTP).

Скимминг — это вид мошенничества, при котором преступники копируют данные карт. Фото: PEXELS: Фото iMin Technology

Даже если платежи по карте не регистрируются сразу, данные практически мгновенно передаются киберпреступникам, которые затем пытаются привязать их к мобильному кошельку на своем смартфоне. «Чтобы ускорить и упростить процесс, злоумышленники используют специальное программное обеспечение, которое берет данные, предоставленные жертвой, и генерирует точную копию карты. Затем просто сфотографируйте это изображение из Apple Pay или Google Wallet.

Чтобы противостоять этой схеме , рекомендуется устанавливать надежные пароли и активировать двухэтапную аутентификацию, никогда не совершать платежи в публичных сетях Wi-Fi и использовать виртуальные карты для онлайн-транзакций , которые работают по принципу пополнения счета карты перед ее использованием. Также рекомендуется избегать хранения крупных сумм денег на виртуальных картах и пополнять их только непосредственно перед совершением онлайн-покупки. Если эмитент вашей карты это разрешает, отключите для этих карт возможность офлайн-платежей и снятия наличных. Кроме того, всегда будьте бдительны и следите за транзакциями.

Еще одной формой кражи является установка поддельных считывателей NFC: мошенник размещает на платежных терминалах или банкоматах модифицированный считыватель NFC, который при проведении по карте или мобильному телефону считывает данные пользователя.

В этом случае всегда важно проверить, не прикреплено ли к платежному терминалу что-либо подозрительное или измененное. По возможности вместо NFC можно использовать карты с чипом и PIN-кодом, а на неизвестных устройствах нельзя принимать платежи с использованием NFC.

В том же духе еще одной опасностью является NFC-фишинг: метод, при котором мошенник или киберпреступник пытается обманом заставить пользователей поднести свой телефон к поддельному NFC-чипу , который перенаправляет их на вредоносный веб-сайт.

В связи с этим компания «Лаборатория Касперского» предупреждает, что как только пользователи подносят свои устройства к измененному считывателю NFC, они могут быть перенаправлены на фишинговые сайты, или на их устройствах могут быть инициированы нежелательные действия, или даже может быть отправлено вредоносное программное обеспечение. В своем предупреждении компания заявила, что воры могут подменить настоящее считывающее устройство в местах с интенсивным движением, таких как транспортные узлы, кафе или розничные магазины, на считывающее устройство, провоцирующее вредоносное поведение.

Рекомендуется не сканировать NFC-метки в подозрительных местах и настроить телефон на запрос подтверждения перед открытием NFC-ссылок.

«Число жертв такого типа атак различается от страны к стране, хотя фактом является рост мошенничества, связанного с картами без чипа, особенно в периоды пиковых расходов, такие как Рождество, День святого Валентина и Новый год », — заключил Дэвид Гонсалес, специалист по ИТ-безопасности в ESET Latin America.

Диего Баррио де Мендоса (*)

(*) С дополнительной информацией от EL TIEMPO.