Предпазните мерки за сигурност на плащанията по NFC
Идеята да плащате за нещо, без да използвате своя ПИН номер, не е нещо ново. Въпреки това концепцията ви излага на толкова много уязвимости (ако не и повече), отколкото преди.
Преди това писах за мобилната платежна система с Android без заплащане на ПИН и негативните последици, които хората могат да понасят, като заменят своите ПИН номера с биометрична идентификация. Сега съществуват устройства като платежни пръстени за NFC, които още повече изострят предишните проблеми с уязвимостта на други подобни решения. Оказва се, че има няколко неща, които трябва да знаете, преди да се включите в комфорта, който предлагат безплатните плащания.
Хората могат да слушат транзакциите
Подслушването на радиосигнали е далеч една от най-старите практики в съвременната история. Правехме го още от Първата световна война и разчитахме силно на нея за втори път. Устройствата може да са станали по-напреднали, но техниката е все още относително недокоснати. Направихте устройство за слушане, което следи в една и съща радиочестота, която използват две други партии, и ги слуша.
Хакерите и изследователите знаят, че NFC подслушва поне от 2013 г., когато някои хора изработиха пазарска количка, която лесно можеше да се вмъкне и да "слуша" сделките, извършвани чрез безконтактно плащане. За да се предотврати подобно явление, читателите трябва да шифроват връзките си от край до край. Дори и тогава все още съществува възможност за подслушване. За да бъдат потребителите надеждно безопасни, е по-добре да избягвате използването на NFC в претъпканите места.
Данните могат да бъдат невалидни
Този конкретен проблем дразни търговците на дребно, както и купувачите. Един хакер може да постави устройство близо до читателя, което корумпира данните, които влизат в четеца, което прави невъзможно извършването на покупка на конкретния брояч. Хакерите може да имат стимул да правят това заедно с подслушване, за да се уверят, че клиентът не изпразва баланса си, преди да имат възможност да го използват.
Решението на този проблем е същото както при подслушването. Търговците на дребно трябва да използват защитени канали за предаване и получаване на данни за своите NFC четци. Въпреки че тази конкретна атака не представлява особена заплаха нито за търговеца на дребно, нито за клиента (много фрустрация), си струва да се повтори фактът, че може да е особено опасно за клиента, когато хакерите решат да комбинират това с подслушване.
Атаката "Човекът в средата"
Описан по-подробно тук, атака на човек в средата (MiM) е сложна форма на подслушване, при която хакерът ще пресече разговора между устройството NFC и четеца, който обработва плащането и изпраща фалшива информация и на двете. По този начин хакерите могат да анулират данните (изпращайки информацията за боклука на четеца, както описах по-горе) и да получавам плащането по NFC въз основа на това, което устройството NFC се опита да изпрати на четеца.
Поради тяхната сложност подобни атаки са много редки, но уязвимостите, които понастоящем присъстват в сделките с НФП, създават стимул за хакерите да започнат да инвестират повече време в създаването на инструменти, които ще извършат тези атаки. За да направят нещата по-лоши, хакерите могат активно да слушат връзката, преди криптирането "handshake" да е завършило, което прави криптирането по-скоро безполезна в този момент. Но едно нещо, което търговците на дребно може да направи, е да имат активен пасивен стил на комуникация, където устройството NFC просто изпраща данните си, а читателят просто обработва информацията и изпраща потвърждение за покупката.
Никога не подценявайте Pickpocketers
Разбира се, когато не сте изрязани за интелигентно нахлуване в порталите за плащане, най-добрият вариант е просто да вземете каквото и да са хората, които използват, за да платят за нещата в наши дни. Една карта е малко по-трудна за кражба, тъй като обикновено трябва да откраднете целия портфейл, който седи вътре в джоба по-голямата част от времето (някои хора използват джоба си за портфейли, което прави това по-предизвикателно).
Но телефоните често се държат извън джобовете и лесно се губят. Дори и да са в джоба си, повечето хора няма да се грижат за телефоните си с такава грижа, каквато правят портфейлите си. Платежните пръстени на NFC предприемат това малко повече, тъй като е дори по-лесно да изгубите пръстени. Кражбата им е само въпрос на намиране на подходящ момент, когато някой извади пръстените си, за да мие ръцете си.
Моето предложение за хора, използващи телефони, е да се уверите, че имат някакъв начин да заключат отдалечено устройството, ако е изгубено. Освен това, трябва изцяло да избягвате плащанията по NFC, ако е много важно да минимизирате шансовете за открадване на парите си по някой от лошите начини, които описах по-горе.
Използвате ли NFC плащания? Как защитавате финансите си? Кажете ни в коментар!