Uważaj na kradzież bezdotykową dzięki technologiom NFC i RFID
Technologie Near Field Communication (NFC) i RFID (Radio Frequency Identification) umożliwiają bezprzewodową komunikację między urządzeniami i ułatwiają bezdotykowe płatności, śledzenie produktów i kontrolę dostępu.
Technologie te stały się częścią codziennego życia; Mogą jednak również posłużyć do kradzieży ważnych danych . Może się to zdarzyć bez Twojej wiedzy w miejscach takich jak imprezy sportowe, koncerty, transport publiczny czy supermarkety.
Jak to działa? Według Davida Gonzáleza, specjalisty ds. cyberbezpieczeństwa w ESET Latin America, systemy RFID są przydatne w środowiskach logistycznych do organizowania ładunków, paczek i zapasów, a także do gromadzenia statystyk i istotnych informacji. Stosuje się je również w sklepach odzieżowych do identyfikacji ubrań i ich lokalizacji, co usprawnia codzienne funkcjonowanie sklepów i zapewnia dodatkowe bezpieczeństwo.
W przypadku systemów NFC stanowią one podstawę urządzeń zbliżeniowych, tak powszechnych jak telefony komórkowe i karty płatnicze zbliżeniowe. To samo dotyczy kart, które umożliwiają osobom upoważnionym wejście do budynków poprzez systemy kontroli dostępu i czasu.
Karty zbliżeniowe NFC służą również do otwierania zamków elektronicznych w pokojach hotelowych, apartamentach turystycznych i wynajmowanych obiektach wakacyjnych, umożliwiając gościom wygodny dostęp do pokoju poprzez proste zbliżenie karty do czytnika. Chip z danymi identyfikacyjnymi można umieścić na innych przedmiotach, np. bransoletkach czy brelokach, co pozwoli na jeszcze większą personalizację doświadczenia gości.
„ Systemy NFC są więc w rzeczywistości częścią technologii RFID, co oznacza, że można je uznać za podzbiór technik RFID. Główną różnicą jest to, że komponenty RFID mogą działać i komunikować się ze sobą na znacznie większe odległości. Dzięki temu są szeroko stosowane w różnych dziedzinach” — zauważa González.
Zaleca się korzystanie z zabezpieczonego portfela NFC/RFID oraz wyłączenie opcji zakupów zbliżeniowych w telefonie. Zdjęcie: PEXELS: Zdjęcie autorstwa Michaiła Nilova
Dzięki rozwojowi obu technologii złodzieje zaczęli szukać nowych form oszustw zbliżeniowych, przechwytując dane kart lub wykonując nieautoryzowane transakcje.
Jednym z nich jest skimming, rodzaj oszustwa polegający na kopiowaniu danych karty płatniczej ofiary. Po przechwyceniu danych konieczne jest wykonanie dodatkowego kroku, takiego jak klonowanie karty lub wykorzystanie skradzionych danych podczas transakcji online w celu popełnienia oszustwa.
Według specjalisty „ oszust używa ukrytego czytnika NFC lub RFID do przechwytywania danych z bezstykowej karty płatniczej, gdy ktoś trzyma ją zbyt blisko . Chociaż skradzione dane zazwyczaj nie obejmują kodu PIN, niektórzy atakujący mogą go wykorzystać do zakupów online w sklepach o niskim poziomie bezpieczeństwa”.
Jako środek zapobiegawczy możesz użyć portfeli blokujących sygnał RFID lub nawet owinąć kartę folią aluminiową . Zaleca się włączenie powiadomień o zakupach w czasie rzeczywistym, korzystanie z wirtualnych lub tymczasowych kart przy zakupach online i monitorowanie transakcji.
Innym rodzajem ataku jest atak przekaźnikowy: w tym przypadku atakujący przechwytuje sygnał między kartą NFC a terminalem płatniczym i wzmacnia go, aby sprawiać wrażenie, że karta znajduje się gdzie indziej. Dzięki temu płatności mogą być dokonywane bez wiedzy właściciela.
Aby tego uniknąć, zaleca się korzystanie z zabezpieczonego portfela NFC/RFID, wyłączenie opcji zakupów zbliżeniowych w telefonie, gdy z niego nie korzystasz, oraz korzystanie z uwierzytelniania biometrycznego przy płatnościach (odcisk palca lub Face ID).
Eksperci ds. cyberbezpieczeństwa poruszają również kwestię hakowania portfeli elektronicznych i kradzieży danych płatności mobilnych. W tej metodzie cyberprzestępcy wykorzystują luki w zabezpieczeniach aplikacji płatniczych (takich jak Apple Pay lub Google Pay) lub przechwytują dane w publicznych sieciach Wi-Fi, co umożliwia im dokonywanie nieautoryzowanych płatności, jeśli uzyskają dostęp do konta użytkownika.
Firma zajmująca się bezpieczeństwem cybernetycznym Kaspersky twierdzi, że cyberprzestępcy kupują kilka smartfonów, zakładają na nich konta Apple lub Google i instalują aplikacje do płatności zbliżeniowych. Kiedy ofiara odwiedza fałszywą stronę internetową, proszona jest o podanie danych swojej karty lub dokonanie niewielkiej, obowiązkowej płatności. Wymaga to podania danych karty i potwierdzenia jej posiadania poprzez podanie jednorazowego hasła (OTP).
Skimming to rodzaj oszustwa polegający na kopiowaniu danych kart. Zdjęcie: PEXELS: Zdjęcie autorstwa iMin Technology
Nawet jeśli opłata nie zostanie zarejestrowana na karcie od razu, dane te są niemal natychmiast przesyłane do cyberprzestępców, którzy próbują powiązać je z portfelem mobilnym w smartfonie. „Aby przyspieszyć i uprościć proces, atakujący używają specjalnego oprogramowania, które pobiera dane dostarczone przez ofiarę i generuje idealną replikę karty. Następnie wystarczy zrobić zdjęcie tego obrazu z Apple Pay lub Google Wallet.
Aby przeciwdziałać temu procederowi , zaleca się ustawienie silnych haseł oraz włączenie dwuetapowego uwierzytelniania, nigdy nie dokonywanie płatności za pośrednictwem publicznych sieci Wi-Fi, a także korzystanie z wirtualnych kart do transakcji online , które działają na zasadzie doładowywania karty przed jej użyciem. Zaleca się również, aby unikać przechowywania dużych kwot pieniędzy na kartach wirtualnych i doładowywać je dopiero przed dokonaniem zakupu online. Jeśli wystawca Twojej karty na to pozwala, wyłącz dla tych kart płatności offline i wypłaty gotówki. Należy również zawsze zachować czujność i monitorować transakcje.
Inną formą kradzieży jest instalacja fałszywych czytników NFC: oszust umieszcza zmodyfikowany czytnik NFC na terminalach płatniczych lub bankomatach, który po przeciągnięciu karty lub telefonu komórkowego przechwytuje dane użytkownika.
W takim przypadku należy zawsze sprawdzić, czy do terminala płatniczego nie przymocowano niczego podejrzanego lub nie zmodyfikowano. Zamiast NFC, gdy jest to możliwe, można używać także kart z chipem i kodem PIN. Płatności NFC nie będą akceptowane na nieznanych urządzeniach.
Innym zagrożeniem jest phishing NFC: technika, w której oszust lub cyberprzestępca próbuje nakłonić użytkowników do zbliżenia telefonu do fałszywego układu NFC, który przekierowuje ich do złośliwej witryny.
W związku z tym firma Kaspersky ostrzega, że jeśli użytkownik zbliży swoje urządzenie do zmodyfikowanego czytnika NFC, może zostać przekierowany na strony phishingowe lub na jego urządzeniu mogą zostać podjęte niepożądane działania, a nawet może zostać wysłane złośliwe oprogramowanie. W swoim ostrzeżeniu firma stwierdziła, że w miejscach o dużym natężeniu ruchu, takich jak węzły komunikacyjne, kawiarnie czy sklepy detaliczne, złodzieje mogą podmienić oryginalny czytnik na czytnik, który wywołuje szkodliwe zachowania.
Zaleca się, aby nie skanować tagów NFC w podejrzanych miejscach oraz ustawić telefon tak, aby pytał o potwierdzenie przed otwarciem połączeń NFC.
„Liczba ofiar tego typu ataków różni się w zależności od kraju, choć faktem jest, że liczba oszustw związanych z kartami bezprocesorowymi wzrasta, zwłaszcza w okresach szczytowych wydatków, takich jak Boże Narodzenie, Walentynki czy Nowy Rok, żeby wymienić tylko kilka” — podsumował David González, specjalista ds. bezpieczeństwa IT w ESET Latin America.
Dzielnica Diego Mendoza (*)
(*) Z dodatkowymi informacjami od EL TIEMPO.
eltiempo
