Nfc security

Смартфон как способ оплаты

NFC совместима со стандартом ISO 14443 и объединяет множество бесконтактных карт, в том числе банковские карты, поддерживающее MasterCard PayPass или VISA PayWave. Пластиковая карта содержит микропроцессор с ОС и платежным приложением для взаимодействия с данными конкретного клиента. Как только карту вставляют в терминал или проводят по нему, она получает энергию для запуска операционной системы. В случае с бесконтактными картами питание, как мы уже говорили, получается при помощи электромагнитного поля считывателя.

С появлением бесконтактных карт платежным инструментом по сути может выступать не обязательно карта, а смартфон, часы, брелок и так далее — важна не форма, а наличие необходимого набора функций. Ведь в смартфонах с поддержкой NFC так же, как и в пластиковых картах, есть микропроцессор. Начиная с Android 4.

Чтобы управлять бесконтактными приложениями удаленно, производители смартфонов и поставщики услуг подключаются к TSM — службе, которая обеспечивает доступ к защищенным данным на терминалах с поддержкой NFC. Она удаленно управляет чипами Secure Element в смартфонах, сам смартфон при этом является своего рода модемом, работающим через безопасный канал связи.

При совершении покупок свыше 1000 рублей вас могут попросить ввести PIN-код или поставить подпись на чеке — здесь уже все зависит от банка.

Расстояние, на котором срабатывают бесконтактные банковские NFC карты

Как работает NFC в смартфонах и банковских картах

Бесконтактные банковские карты используют для передачи данных технологию NFC: на карте размещены чип и антенна, которые «откликаются» на запрос платежного терминала на радиочастоте 13,56 МГц.

Разные платежные системы используют собственные стандарты: Visa payWave, MasterCard PayPass, American Express ExpressPay и так далее. Но устроены они похожим образом.

Дальность передачи данных через NFC составляет несколько сантиметров. Поэтому первый барьер защиты — физический. Считыватель, по сути, необходимо приложить вплотную к карте, что довольно сложно сделать незаметно.

Зато можно сделать нестандартный ридер, который работает на большей дистанции. Например, исследователи из британского Университета Суррей продемонстрировали возможность считывания по NFC данных на расстоянии до 80 см с помощью компактного сканера. Такое устройство вполне может незаметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и тому подобных местах скопления людей. 

Можно обойтись и без ридера. На конференции Hack In The Box испанские хакеры Рикардо Родригес и Хосе Вилла создали концепт Android-троянца, который превращает смартфон жертвы во что-то вроде ретранслятора NFC-сигнала.

Как только зараженный телефон оказывается возле бесконтактной карты (смартфоны нередко оказываются физически рядом с бумажником — например, в одной сумке), он отправляет через Интернет злоумышленникам сигнал о доступности транзакции. Мошенники активируют обычный платежный терминал, подносят к нему свой NFC-смартфон. Таким образом создается «мост» через Интернет между NFC-карточкой и NFC-терминалом, удаленными друг от друга на любое расстояние.

Читайте ещё про NFC:  Samsung pay снять деньги

Троянец может распространяться стандартным способом, например в комплекте со «взломанным» платным приложением.

Бесконтактные транзакции защищены стандартом EMV (тем же что и банковские карты с чипом). В отличие от магнитной дорожки, которую можно просто скопировать, с чипом этот фокус не проходит. По запросу терминала микросхема каждый раз генерирует одноразовый ключ. Этот ключ можно перехватить, но он уже не подойдет для следующей транзакции.

Исследователи безопасности неоднократно ставили под сомнение защищенность EMV, но до сих пор реально работающих на практике сценариев взлома обнародовано не было… Или я таких не нашёл.

Но есть одна деталь. В стандартной реализации защита чиповых банковских карт строится на комбинации криптоключей и ввода пользователем PIN-кода. При бесконтактных транзакциях PIN-код обычно не запрашивается, так что остаются только криптоключи чипа карты и терминала.

Nfc security

Сделать терминал, который будет считывать данные карты «из кармана» клиента возможно. Но этот терминал должен иметь криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Что тоже получить не просто.

Метки NFC

Это еще один распространенный способ применения NFC в смартфоне. Метки NFC получили большую популярность в торговых и рекламных зонах: их встраивают в афиши, рекламные щиты, помещают на товары в магазинах. Обычно это небольшие стикеры, стоимость которых не превышает 50 рублей. Затраты минимальные, зато какой эффект! От получения более подробной информации о концерте или товаре до ссылки на трейлер нового фильма.

Вы можете создавать собственные NFC-метки, модернизировать их и затем использовать в повседневной жизни. Как правило, для этого используется сторонний софт вроде NFC TagWriter. Приложение довольно простое и позволяет записать на метку множество типов данных — от контакта и телефонного номера до закладки веб-браузера.

На самом деле NFC-метки — настоящий подарок, когда речь заходит об автоматизации. Например, можно наклеить метку на ноутбук и при помощи приложения Trigger настроить включение точки доступа, выбрав в качестве действия «Беспроводные и локальные сети». Решение попроще — записать пароль от Wi-Fi на метку, наклеить ее на роутер, и потом всякий раз, когда гости спросят пароль, отправлять их к NFC-метке. Или еще: установить метку около кровати и сделать так, чтобы при прикосновении на смартфоне включался авиарежим (опять же с помощью Trigger).

Полезно будет и автомобилистам — записали на метку алгоритм запуска навигатора, наклеили ее на держатель для смартфона, и всякий раз, когда вы будете устанавливать устройство на это место, навигатор будет запускаться автоматически.

Читайте ещё про NFC:  Huawei с nfc модулем

Nfc security

И таких примеров применения NFC-меток еще очень и очень много. Зачастую появление новых кейсов ограничивается вовсе не технологией, а фантазией пользователя.

Открываем все двери

Кто-то реализовывает подобное и в домашних условиях, но в основном использование NFC для идентификации и контроля пользователя характерно для предприятий и организаций. Турникеты и замки настраиваются таким образом, что при помощи метки, которая является пропуском, решают, стоит давать ее обладателю разрешение на вход или нет.

С NFC в смартфоне действительно открываются все двери — если не в буквальном смысле, то в переносном точно. Фактически пользователь получает универсальный инструмент, который, несмотря на скоростные ограничения, находит себе применение в самых разных ситуациях. Здесь мы сталкиваемся с другой проблемой — степенью распространенности технологии среди поставщиков услуг. Единственное, что в данном случае может сделать обычный пользователь — как можно чаще задействовать NFC, чтобы показать ее востребованность.

Расстояние, на котором срабатывают бесконтактные банковские NFC карты

Есть еще один уровень защиты — ограничение максимальной суммы бесконтактной транзакции. Этот предел в настройках терминального оборудования задает банк-эквайер, руководствуясь рекомендациями платежных систем.

В России максимальный порог платежа составляет 1000 рублей

С 13 апреля 2019 Visa увеличила такие платежи до 3000 рублей.

Nfc security

Платеж на большую сумму будет отклонен или потребует дополнительного подтверждения (подпись, PIN) в зависимости от настроек банка-эмитента карты. При попытке последовательно снять несколько сумм ниже порога также должна срабатывать система дополнительной защиты.

Но команда британских исследователей из Университета Ньюкасла, в 2014 что ли году, сообщала, что обнаружила брешь в защите бесконтактных транзакций платежной системы Visa. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает. А если платежный терминал не подключен к Интернету, то максимальная сумма мошеннической транзакции может составить до миллиона евро.

Как с этим сейчас — не знаю.

Через NFC можно узнать информацию о банковской карте: стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система). Эти данные можно считать с помощью NFC-смартфона, установив на него вполне легальное приложение… А потом оплатить покупки.

К примеру, британское издание для потребителей «Which?» с помощью доступного NFC-ридера и бесплатного ПО декодировали номер и дату истечения срока действия для всех тестируемых десяти карт. И сделали заказ в магазине по этой карте. Возможность такого заказа связано с тем, что не все магазины требуют CVV-код карты.

Читайте ещё про NFC:  Android Pay в России: первые проблемы и их решение


В общем мое мнение такое. Использование бесконтактных банковских NFC карт более-менее безопасно (как и обычных карт). Самое плохой вариант — если у вас украдут данную карту. Тогда ничего не помешает снимать деньги… Даже если это будут не мошенники/воры а друг, жена/муж, ребенок… В общем, если речь не идет о злом умысле, как в случае ребенка… (хоть за картами нужен постоянный присмотр, но чего в жизни не бывает)

Немного про защиту NFC карт напишу ниже

Защита бесконтактных банковских NFC карт

Мне в голову приходят следующие варианты защиты бесконтактных карт от несанкционированного списания:

  • экранирующий чехол/кейс/кошелек… Говорят что даже можно сделать самому из фольги.
  • две бесконтактных карты рядом в кошельке или бумажнике

При попытке считывания данных аппарат мошенников не сможет правильно скопировать информацию, так как входящий сигнал будет направляться одновременно с нескольких карт и он обработается некорректно.

Попадалась информация, что в этом случае карты могут звенеть на рамках в супермаркетах, как будто метки на товаре. Кончено не всегда. В этом случае помогает положить карточку другой стороной.

  • суточный лимит
  • подключение СМС уведомления об снятии средств (что бы вы успели заблокировать карту при списании)

Мне в голову приходят следующие варианты защиты бесконтактных карт от несанкционированного списания:

  • экранирующий чехол/кейс/кошелек… Говорят что даже можно сделать самому из фольги.
  • две бесконтактных карты рядом в кошельке или бумажнике

Вместо заключения

NFC security: what is a man in middle attack

Пожалуй, самое приятное в NFC — то, что эта технология доступна широкому кругу пользователей. Все больше производителей не оставляют свои смартфоны без NFC, поэтому она есть как в устройствах типа

(за $321.99 по коду Mi5SGBS до 31.12) и

, так и во флагманах вроде

. Радует также разнообразие

Что с Apple и ее iPhone 7, спросите вы? Увы, но компания-производитель ограничивает работу чипа NFC в своем смартфоне, и его можно использовать только для платежной системы Apple Pay. Осенью, впрочем, она запустилась в России, так что хоть какой-то плюс.

А как вы используете NFC в повседневной жизни? Поделитесь с нами своим опытом в комментариях.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Adblock
detector