האם תשלום NFC מאובטח וכיצד להגדיר אותו?

בעת רכישת טלפון או טאבלט חדשים לגמרי, המשתמש, ככלל, מקבל מכשיר התומך ב-NFC, אך לעתים קרובות אפילו מבלי להבין אילו יתרונות טכנולוגיה זו מספקת. כדאי לדעת אם תשלום NFC מאובטח וכיצד להגדיר אותו כך שתוכל לשלם עבור רכישות ללא מגע.

מה זה NFC?

מדובר בטכנולוגיה להעברת מידע למרחקים קצרים, בשילוב קורא וכרטיס חכם למכשיר אחד. האחרון הוא כרטיס פלסטיק עם סימן מסוג RFID, שבזכותו אנשים עוברים דרך קרוסלות משרדיות ודלתות גישה פתוחות.כרטיסים בתחבורה הציבורית של הבירה או כרטיס בנק עם תשלום ללא מגע הוא כרטיס חכם.

מותקן בו שבב, שברגע הנגיעה במכשיר הקריאה (קרוסלה משרדית או מכונה אוטומטית של מוסד כלשהו), מחליף מידע תוך שניות. במילים פשוטות, הוא מעביר נתונים על בעליו למערכת האבטחה או מאפשר למשוך סכום מסוים של כספים.

מיקרו-שבב זה נקרא Secure Element והוא משולב בטלפון על ידי היצרן או ממוקם על מדיה SD או כרטיס SIM. יחידת ה-NFS, מצידה, מותקנת אך ורק במפעל היצרן וממלאת תפקיד של אופציית בקר. במילים פשוטות, הוא מנהל את המודול הזה.

איך NFC עובד?

הצמדת סמארטפון למכונה כדי לשלם עבור סחורה היא הרבה יותר נוחה בהשוואה לנשיאת כמה כרטיסי אשראי בכיס.

הטכנולוגיה של NFC (Near Field Communication או Short Distance Communication) מבוססת על חיבור בין 2 סלילים מהסוג האלקטרומגנטי, שאחד מהם ממוקם בסמארטפון, והשני בהתאמה במכונה. כדי להתחיל את הקשר, שני המכשירים חייבים להיות ממוקמים במרחק של לא יותר מ-5 ס"מ אחד מהשני.

כיצד להפעיל NFC? איך לגלות אם יש מודול בסמארטפון?

הכל די קל. כדי להבין אם יש מודול NFC בטלפון או בטאבלט האנדרואיד של המשתמש ולהפעיל אותו, המשתמש צריך לעבור ל"תצורה" - "תקשורת אלחוטית" - "NFC".

אם למשתמש אין ערך זה בתפריט, אז NFC אינו זמין בסמארטפון שלו.

שיטה 1. כרטיס אשראי אנדרואיד

אם למשתמש יש הרגל רע בכל מקום ושוכח כל הזמן את כרטיס האשראי שלו, אז במצב זה, אם הגאדג'ט שלו מצויד במודול NFC, ניתנת לו ההזדמנות להפוך את הטלפון שלו לכרטיס אשראי אמיתי. זה נעשה באופן הבא:

• ראשית, אתה צריך כרטיס אשראי התומך בטכנולוגיית Paypass;
• יש צורך להתקין בסמארטפון את התוכנית (הלקוח) של בנק המשתמש שבו נעשה הכרטיס;
• פתח את התוכנית המותקנת, מצא את האפשרות האחראית על NFC ובחר בה. לאחר מכן, אתה צריך לשים כרטיס אשראי בחלק האחורי של הטלפון או הטאבלט כדי שזה ייחשב;
• לאחר קריאה מוצלחת תשלח למשתמש סיסמה המורכבת מ-4 מספרים באמצעות SMS, אותה יש לשמור. קוד PIN זה יהיה צורך להזין כאשר המשתמש מבצע תשלום באמצעות טלפון או טאבלט.

מפתחי המודול טוענים שהשימוש בו בטוח מכיוון:

1. המשתמש חייב תמיד, לפני רכישת משהו, להזין את קוד ה-PIN.
2. טווח הפעולה של המיקרו-מעבד NFC הוא 10 ס"מ בלבד (במציאות אפילו פחות).

שיטה 2: תגי NFC

מצב אופייני: אדם התעורר, אכל ארוחת בוקר, הסתכל במלאי במקרר ופתח את התוכנית "קנה שרביט" או "גוגל קיפ" כדי להוסיף את מה שצריך לקנות לרשימה. לאחר מכן הוא יוצא מהדירה ומדליק את הרשת הסלולרית, נכנס לרכב ומפעיל את ה-GPS, בלוטות', על מנת להגיע בבטחה למקום העבודה. שם הוא מעביר את הסמארטפון למצב רטט ופותח את Evernote.

כיום, כל הפעולות הללו יכולות להתבצע לא בצורה מכנית, אלא אוטומטית הודות לתגיות NFC.

מה צריך בשביל זה:

1. התקן את תוכנית NFC ReTAG.
2. מצא תגי NFC או, אם למשתמש יש כרטיסי תשלום במטרו או תחבורה ציבורית ללא מגע, או אולי כרטיסי בנק שנשכחו מזמן או לא בשימוש התומכים ב-Pay Pass.
3. פתחו את NFC ReTAG, סרוק כרטיס או תג, הוסיפו אותו ושמו לו איך שהמשתמש רוצה.
4. לאחר מכן, עליך לבחור את הפעולה שתתבצע בסמארטפון כאשר המשתמש יצמיד אותה לתווית, וללחוץ על מקש "פעולה".
5. צור פעולה, למשל, הפעל את התוכנית "קנה שרביט".

לאחר שהמשתמש יצר פעולה, ניתן לצרף כרטיס או תג למקרר (או לשים אותו ליד). מעתה, בכל פעם שהמשתמש נכנס למטבח, ניתנת לו האפשרות להפעיל מיידית את תוכנית "קניית שרביט" ולשמור תזכורת עם רשימת רכישות חובה.

דוגמא! כאשר אדם נכנס לרכב, יש בו סימון, סריקה אשר מפעילה GPS אוטומטית ופותחת בלוטות'.

איך לעשות?

1. יש צורך לסרוק כרטיס או תווית, שם זה.
2. קבע פעולה - הפעל את תוכנית ה-GPS, ופתח גם את שידור המידע האלחוטי של Bluetooth.

עֵצָה! עדיף להשאיר את התג ברכב כדי שלא תשכחו לסרוק אותו בכל פעם שאתם נכנסים לרכב.

אם לסמארטפון יש זכויות Root, זה גם יגדיל את האפשרות להשתמש בתגי NFC ולאדם יהיו יותר "שבבים" כדי להפוך את התהליכים של טלפון או טאבלט לאוטומטי.

שיטה 3. Android Beam

זוהי שיטת העברת נתונים (בדומה ל-Bluetooth) באמצעות המיקרו-מעבד NFC. חשוב לזכור ששער החלפת הנתונים ב-Android Beam הוא נמוך מאוד, ולכן יהיה מומלץ להשתמש בו רק להעברת כמות קטנה של טקסט או קישורים.

בשביל זה אתה צריך:

• הקש על מקש "הרחב";
• הביאו את שני המכשירים זה לזה;
• כאשר התמונה בצג של המכשיר המשדר הופכת קטנה יותר, לחץ עליה כדי להתחיל את השידור.

שיטה 4: טבעת או צמיד NFC

צמיד חכם או טבעת עם אפשרות NFC הוא פרויקט חדשני של מפתחים מסין, המתאים לטלפונים הפועלים על מערכות הפעלה שונות. ניתן לבחור את הצמיד לכל גודל יד (מצב דומה עם הטבעת). משקלו של המכשיר קטן מאוד, אך העיקר שהוא תומך באופן מלא בטכנולוגיית NFC.

את תפקיד השבב, למשל, במכשיר Band 3 BFC, ממלאת ערכת שבבים מיוחדת. בעזרת העדכנית, הצמיד החכם עוזר לטלפון להעביר מידע בערוץ מסוג ללא מגע ובכך שומר על אבטחה גבוהה. מידע על המכשיר ניתן לשכתב מספר בלתי מוגבל של פעמים.

הצמיד מאחסן פרטי תשלום, רישומים ונתונים אישיים אחרים. הצפייה במידע אינה קשה - פשוט הנח את הצמיד על תצוגת הטלפון. תוך שניות הוא ייצור חיבור עם הסמארטפון ותנטרל את נעילת התצוגה, וגם ישחק את התפקיד של מקש חם. למשל, בזמן הבאת הצמיד לטלפון, המצלמה, הרשת או הרשת החברתית מופעלת באותו רגע.

אפשרויות אחרות

מודולי NFC נמצאים על תוויות בחנויות או במוזיאונים על לוחות מידע, שבמהלך הסריקה יובא המשתמש לאתר עם נתונים מלאים על המוצר או המתלה.

אבטחת NFC

לא הגיוני שמשתמשים שמשתמשים בכרטיסים ללא מגע במשך זמן רב ידברו על מהי טכנולוגיית NFC. אמצעי תשלום זה בטוח יותר מהשיטה הרגילה של הפעלת כרטיס PIN במכונה, כי אף אחד לא רואה את הקוד. גם אם הטלפון ייגנב, הגנב לא יוכל למשוך יותר מאלף רובל מהכרטיס בגלל מגבלות גלובליות על הגבלת סכומים בעסקאות ללא מגע.

יש דיווחים בכמה כלי תקשורת שהאקרים יצרו מסופים, המשמשים במקומות צפופים, גונבים כספים בסתר. אבל זה אמיתי רק כשהטלפון לא נעול.

המלצה! אם התוקף בכל זאת הצליח למשוך את הכספים שלא כדין, אז לבעל החשבון תמיד יש הזדמנות ללכת למוסד בנקאי וליצור איתו קשר בבקשה לעקוב אחר תנועת הכסף. היתרה של ההאקר תימצא מיידית והכספים יוחזרו לבעלים אם החוטף עדיין לא בילה אותם.

מיתוסים ומחקרים על אבטחת NFC

כדי להבין הכל לעומק, להלן כל מיני מיתוסים, שמועות ומצבים אמיתיים הקשורים לאבטחת טכנולוגיית NFC.

מֶרְחָק

כרטיסים ללא מגע משמשים להעברת מידע טכנולוגיית NFC, תת-קטגוריה של RFID. בכרטיס האשראי יש מעבד ואנטנה הנותנים מענה לבקשת מסוף ההתנחלות בתדר רדיו של 13.56 מגה-הרץ. מערכות תשלום שונות משתמשות בסטנדרטים משלהן, כגון Visa Pay Wave או MasterCard Pay Pass. אבל כולם מבוססים כמעט על אותו עיקרון.

מרחק העברת המידע באמצעות NFC משתנה תוך ס"מ בודדים. בהקשר זה, השלב הראשון של האבטחה הוא פיזי. למעשה יש לקרב את הקורא לכרטיס האשראי, דבר שדי קשה לעשות זאת בדיסקרטיות.

עם זאת, אפשר ליצור קורא יוצא דופן שעובד למרחקים ארוכים. לדוגמה, מדענים מאוניברסיטת סארי בבריטניה הראו את הטכנולוגיה של קריאת מידע NFC במרחק של כ-80 ס"מ הודות לסורק מעשי.

גאדג'ט זה באמת מסוגל "לחקור" בחשאי כרטיסים ללא מגע במיניבוסים, קניונים, שדות תעופה ומקומות ציבוריים אחרים. למרבה המזל, במדינות רבות, כרטיסי האשראי המתאימים כבר נמצאים בארנקו של כל אדם שני.

בכל זאת, אפשר ללכת הרבה יותר רחוק ולהסתדר בלי סורק ונוכחות אישית. פתרון יוצא דופן נוסף לבעיית הטווח הוצג על ידי האקרים מספרד. ר' רודריגז וה' וילה שהציגו את ההרצאה במפגש Hack In The Box.

רוב מכשירי האנדרואיד החדשים מצוידים ב-NFC.יחד עם זאת, גאדג'טים ממוקמים לרוב בסמיכות לארנק - למשל בתרמיל אחד. וילה ורודריגז פיתחו את הקונספט של טרויאני (וירוס) באנדרואיד שהופך את הטלפון של הקורבן למעין משחזר אותות NFC.

ברגע שסמארטפון נגוע נמצא ליד כרטיס אשראי ללא מגע, הוא משדר אות להאקרים דרך הרשת לגבי טווח הפעולה. תוקפים משיקים מסוף תשלום רגיל ומצרפים אליו טלפון NFC משלהם. לכן, "נבנה" גשר באמצעות רשת בין הטרמינל לכרטיס ה-NFC, שיכולה להיות ממוקמת בכל מרחק זה מזה.

הנגיף מסוגל להיות מועבר בדרך הרגילה, למשל, כאשר הוא כרוך עם תוכנית בתשלום "פרוץ". כל מה שאתה צריך הוא מערכת ההפעלה אנדרואיד גרסה 4.4 ואילך. אין צורך בזכויות שורש, עם זאת, הן מומלצות כדי שהנגיף יוכל לתפקד גם לאחר נעילת מסך המכשיר.

קריפטוגרפיה

כמובן שגישה למפה היא 50% הצלחה. בעקבות זאת, יש צורך לשבור מחסום הרבה יותר חזק, המבוסס על קריפטוגרפיה.

עסקאות ללא מגע מוגנות באותו תקן EMV כמו כרטיסי מעבד. בהשוואה למסלול של המגנט, שאותו ניתן למעשה להעתיק, מהלך כזה לא יעבוד עם המעבד. לבקשת הטרמינל, השבב יוצר מפתח חד פעמי בכל פעם. אפשר ליירט מפתח כזה, אבל הוא כבר לא יתאים לפעולה שלאחר מכן.

מדעני אבטחה פקפקו שוב ושוב באבטחה של EMV, אך עד היום לא נמצאו דרכים ישימות לעקוף את ההגנה.

יש, אגב, ניואנס אחד.ביישום הרגיל, אבטחת כרטיסי המעבד מבוססת על שילוב של מפתחות קריפטו והזנת קוד PIN. בתהליך של עסקאות ללא מגע, לרוב אין צורך בקוד PIN, ולכן נותרו רק מפתחות ההצפנה של מעבד הכרטיס והמסוף.

סכום רכישה

ישנה רמת אבטחה נוספת - מגבלת הגבול לעסקאות ללא מגע. מגבלה זו בתצורת ציוד הקצה נקבעת על ידי הרוכש (בנק), אשר מונחה על ידי ייעוץ של מערכות תשלום. בפדרציה הרוסית, סכום התשלום המרבי הוא אלף רובל, ובאמריקה הסף הוא 25 דולר.

תשלום עבור סכום גדול יסרב או שהמכונה תתחיל לדרוש זיהוי עזר (חתימה או קוד PIN), הכל תלוי בתצורה של הרוכש - מנפיק הכרטיס. במהלך ניסיונות למשוך לסירוגין כמה סכומים הנמוכים מהמגבלה, יש להפעיל גם את מערכת האבטחה העזרית.

אבל גם כאן יש ספציפיות. קבוצה אחרת של מדענים מאוניברסיטת ניוקאסל מבריטניה אמרה כמעט שנה קודם לכן כי מצאו פרצה באבטחת עסקאות ללא מגע של מערכת התשלומים של ויזה.

אם אתה מבקש תשלום שלא בלירות שטרלינג, אלא במטבע חוץ אחר, אזי המגבלה על הסכום אינה כלולה. ואם הטרמינל אינו מחובר ל-World Wide Web, אז הסכום המקסימלי של פעולת האקרים יכול להגיע למיליון יורו.

עובדי מערכת התשלומים ויזה הכחישו יישום פריצה כזו בפועל, ואמרו כי הפעולה תישלל על ידי מערכות האבטחה של הבנק. אם אתה מאמין לדבריו של Taratorin מ- Raiffeisenbank, אז הטרמינל שולט בסכום הסף של התשלום, ללא קשר למטבע שבו הוא בוצע.

סיכום

לסיכום, ראוי לציין כי הטכנולוגיה של תשלומים ללא מגע, למעשה, סגורה על ידי הגנה רב-שלבית מעולה, אבל זה בכלל לא אומר שכספי המשתמש בטוחים איתה. יותר מדי בכרטיסים של מוסדות בנקאיים קשור בטכנולוגיות "ישנות" מאוד (רצועת מגנט, תשלום ברשת ללא אימות עזר וכו')

בנוסף, הרבה טמון בתשומת הלב של התצורה של מוסדות פיננסיים ושקעים מסוימים. ראוי לציין כי האחרונים, במרוץ לרכישות מהירות ואחוז קטן של "עגלות נטושות", מזניחים מאוד את אבטחת העסקאות.