Nfc опасно

Миф 3: Если телефон утерян или украден, я не смогу заблокировать свои счета.

Если на банковской карте или POS-терминале имеется такой рисунок — значит эти устройства поддерживают технологию бесконтактных платежей.

Устройства с NFC могут одновременно и получать, и передавать данные, что позволяет им обнаруживать противоречия, если полученный сигнал не соответствует переданному.

Риск перехвата ваших данных крайне мал, особенно учитывая минимальный радиус действия технологии. Тот же Bluetooth, работающий в пределах десятков метров, куда более уязвим для внешнего вмешательства.

Касается это и платёжных реквизитов: сгенерированный для бесконтактной оплаты токен не позволит злоумышленникам получить доступ к вашей карте. Да и сам факт перехвата зашифрованного идентификатора выглядит нереалистичным.

Кроме того, при бесконтактной оплате требуется подтверждение через считывание отпечатка пальца, пароль или сканирование лица. Без всего этого покупку не осуществить. А значит, даже если смартфон будет украден, воспользоваться им как платёжным инструментом никто не сможет.

Nfc опасно

Существует некий парадокс, касающийся мобильных устройств с поддержкой NFC. С одной стороны, многие обзоры рынка ясно показывают, что потребители не хотят платить с помощью своих смартфонов. Основной причиной этому они называют отсутствие безопасности. Также пользователи опасаются потери или кражи телефона.

С другой стороны, те, кто уже протестировал NFC-платежи, в восторге от этой функции. По данным Gemalto, многие партнеры компании по всему миру после запуска NFC-решений отмечают высокий уровень удовлетворенности потребителей (аж до 90%), благодаря разнообразным программам лояльности, бонусам и т.д.

Мобильный платеж с помощью NFC и защищенных элементов (таких как встроенные чипы и SIM-карты) является таким же безопасным, как оплата с помощью банковской карты. Операция NFC-платежа с помощью мобильного использует те же механизмы логической и физической безопасности, которые используются для бесконтактных карт.

Основные функции безопасности мобильной NFC:

  • для подтверждения транзакций потребители могут выбрать опцию ввода PIN-кода в приложении, даже для операций на очень маленькую сумму, таким образом, они будут контролировать все транзакции;
  • платформы удаленного управления могут мгновенно блокировать любые платежные приложения так же, как банки блокируют платежные карты;
  • в последнее время развивается тренд мобильных кошельков, разработанных эмитентами на базе технологии хост эмуляции карты (Host Card Emulation — HCE). Эти мобильные кошельки генерируют одноразовые токены (наподобие номера карты), необходимые для одноразового проведения операции.

Это не так. На самом деле, процесс блокировки мобильного кошелька достаточно прост. Прежде всего, если на вашем телефоне установлен PIN-код, никто не сможет воспользоваться им. Тем не менее, вы всегда можете обратиться к провайдеру вашего мобильного кошелька с просьбой заблокировать все ваши приложения.

Согласно тому же отчету Juniper Research, в конце 2015 года в мире насчитывалось 68,5 млн POS-терминалов, поддерживающих бесконтактную оплату, что на 8,1% больше по сравнению с предыдущим годом. Такие гиганты, как Apple и Samsung также вошли в мир NFC-платежей, представив свои решения Apple Pay и Samsung Pay.

Криптографическая защита бесконтактные банковские NFC карты

Бесконтактные банковские карты используют для передачи данных технологию NFC: на карте размещены чип и антенна, которые «откликаются» на запрос платежного терминала на радиочастоте 13,56 МГц.

Разные платежные системы используют собственные стандарты: Visa payWave, MasterCard PayPass, American Express ExpressPay и так далее. Но устроены они похожим образом.

Дальность передачи данных через NFC составляет несколько сантиметров. Поэтому первый барьер защиты – физический. Считыватель, по сути, необходимо приложить вплотную к карте, что довольно сложно сделать незаметно.

Зато можно сделать нестандартный ридер, который работает на большей дистанции. Например, исследователи из британского Университета Суррей продемонстрировали возможность считывания по NFC данных на расстоянии до 80 см с помощью компактного сканера. Такое устройство вполне может незаметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и тому подобных местах скопления людей. 

Можно обойтись и без ридера. На конференции Hack In The Box испанские хакеры Рикардо Родригес и Хосе Вилла создали концепт Android-троянца, который превращает смартфон жертвы во что-то вроде ретранслятора NFC-сигнала.

Как только зараженный телефон оказывается возле бесконтактной карты (смартфоны нередко оказываются физически рядом с бумажником — например, в одной сумке), он отправляет через Интернет злоумышленникам сигнал о доступности транзакции. Мошенники активируют обычный платежный терминал, подносят к нему свой NFC-смартфон. Таким образом создается «мост» через Интернет между NFC-карточкой и NFC-терминалом, удаленными друг от друга на любое расстояние.

Nfc опасно

Троянец может распространяться стандартным способом, например в комплекте со «взломанным» платным приложением.

Бесконтактные транзакции защищены стандартом EMV (тем же что и банковские карты с чипом). В отличие от магнитной дорожки, которую можно просто скопировать, с чипом этот фокус не проходит. По запросу терминала микросхема каждый раз генерирует одноразовый ключ. Этот ключ можно перехватить, но он уже не подойдет для следующей транзакции.

Исследователи безопасности неоднократно ставили под сомнение защищенность EMV, но до сих пор реально работающих на практике сценариев взлома обнародовано не было… Или я таких не нашёл.

Но есть одна деталь. В стандартной реализации защита чиповых банковских карт строится на комбинации криптоключей и ввода пользователем PIN-кода. При бесконтактных транзакциях PIN-код обычно не запрашивается, так что остаются только криптоключи чипа карты и терминала.

Сделать терминал, который будет считывать данные карты «из кармана» клиента возможно. Но этот терминал должен иметь криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Что тоже получить не просто.

Ограничение максимальной суммы бесконтактной транзакции бесконтактных банковских NFC карт

Есть еще один уровень защиты – ограничение максимальной суммы бесконтактной транзакции. Этот предел в настройках терминального оборудования задает банк-эквайер, руководствуясь рекомендациями платежных систем.

В России максимальный порог платежа составляет 1000 рублей

Nfc опасно

С 13 апреля 2019 Visa увеличила такие платежи до 3000 рублей.

Платеж на большую сумму будет отклонен или потребует дополнительного подтверждения (подпись, PIN) в зависимости от настроек банка-эмитента карты. При попытке последовательно снять несколько сумм ниже порога также должна срабатывать система дополнительной защиты.

Но команда британских исследователей из Университета Ньюкасла, в 2014 что ли году, сообщала, что обнаружила брешь в защите бесконтактных транзакций платежной системы Visa. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает. А если платежный терминал не подключен к Интернету, то максимальная сумма мошеннической транзакции может составить до миллиона евро.

Как с этим сейчас – не знаю.

Через NFC можно узнать информацию о банковской карте: стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система). Эти данные можно считать с помощью NFC-смартфона, установив на него вполне легальное приложение… А потом оплатить покупки.

К примеру, британское издание для потребителей «Which?» с помощью доступного NFC-ридера и бесплатного ПО декодировали номер и дату истечения срока действия для всех тестируемых десяти карт. И сделали заказ в магазине по этой карте. Возможность такого заказа связано с тем, что не все магазины требуют CVV-код карты.


В общем мое мнение такое. Использование бесконтактных банковских NFC карт более-менее безопасно (как и обычных карт). Самое плохой вариант – если у вас украдут данную карту. Тогда ничего не помешает снимать деньги… Даже если это будут не мошенники/воры а друг, жена/муж, ребенок… В общем, если речь не идет о злом умысле, как в случае ребенка… (хоть за картами нужен постоянный присмотр, но чего в жизни не бывает)

Немного про защиту NFC карт напишу ниже

Защита бесконтактных банковских NFC карт

Мне в голову приходят следующие варианты защиты бесконтактных карт от несанкционированного списания:

  • экранирующий чехол/кейс/кошелек… Говорят что даже можно сделать самому из фольги.
  • две бесконтактных карты рядом в кошельке или бумажнике

При попытке считывания данных аппарат мошенников не сможет правильно скопировать информацию, так как входящий сигнал будет направляться одновременно с нескольких карт и он обработается некорректно.

Попадалась информация, что в этом случае карты могут звенеть на рамках в супермаркетах, как будто метки на товаре. Кончено не всегда. В этом случае помогает положить карточку другой стороной.

  • суточный лимит
  • подключение СМС уведомления об снятии средств (что бы вы успели заблокировать карту при списании)

Nfc опасно

Мне в голову приходят следующие варианты защиты бесконтактных карт от несанкционированного списания:

  • экранирующий чехол/кейс/кошелек… Говорят что даже можно сделать самому из фольги.
  • две бесконтактных карты рядом в кошельке или бумажнике

Миф 6: Через 10 лет мобильные кошельки заменят наличные и карты.

Сложно себе представить, как будет выглядеть рынок через 10 лет, но совершенно очевидно, что смартфоны с поддержкой NFC и бесконтактные карты будут сосуществовать. Мобильный платеж предназначен больше для операций на небольшие суммы и может постепенно заменить наличные расчеты, на которые до сих пор приходится около 80% операций.

Миф 7: Мобильные NFC системы: я слышал об этом, но звучит это пока нереально.

Технология NFC уже используется в 70 странах по всему миру, в том числе во Франции, Испании, Германии, Италии, Нидерландах, Польше, Канаде, Японии, Китае, Сингапуре, Украине. Пользователи нуждаются в удобстве и безопасности, а это именно то, что предоставляет технология NFC.

Справка Payspace Magazine

Еще до конца текущего 2016 года, по разным прогнозам, NFC будут поддерживать более половины (52,4%) всех проданных смартфонов. А количество пользователей NFC-платежей достигнет 148 млн человек.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *