NFC ödemesi güvenli midir ve nasıl kurulur?

Yepyeni bir telefon veya tablet satın alırken, kullanıcı, kural olarak, NFC'yi destekleyen bir cihaz alır, ancak çoğu zaman bu teknolojinin hangi avantajları sağladığını bile fark etmez. NFC ödemesinin güvenli olup olmadığını ve satın alma işlemleri için temassız ödeme yapabilmeniz için nasıl kurulacağını bilmek faydalıdır.

NFC nedir?

Bu, bir okuyucu ve bir akıllı kartı tek bir cihazda birleştirerek kısa mesafelerde bilgi aktarımı için bir teknolojidir. İkincisi, insanların ofis turnikelerinden geçmesi ve erişim kapılarını açması sayesinde RFID tipi işaretli plastik bir karttır.Başkentin toplu taşıma araçlarındaki biletler veya temassız ödeme ile banka kartı akıllı karttır.

İçinde, okuma cihazına (bazı kurumların ofis turnikeleri veya otomatik makineleri) dokunma anında, saniyeler içinde bilgi alışverişi yapan bir mikroçip takılıdır. Basitçe söylemek gerekirse, sahibiyle ilgili verileri güvenlik sistemine iletir veya belirli bir miktarda para çekmeyi mümkün kılar.

Bu mikroçipe Güvenli Öğe adı verilir ve üretici tarafından telefona entegre edilir veya SD ortamına veya SIM karta yerleştirilir. NFS ünitesi, kendi adına, yalnızca üreticinin fabrikasına kurulur ve bir kontrolör seçeneği rolünü oynar. Basitçe söylemek gerekirse, bu modülü yönetir.

NFC nasıl çalışır?

Malları ödemek için makineye bir akıllı telefon takmak, cebinizde birkaç kredi kartı taşımakla karşılaştırıldığında çok daha rahat.

NFC (Yakın Alan İletişimi veya Kısa Mesafe İletişimi) teknolojisi, biri akıllı telefonda, diğeri makinede bulunan elektromanyetik tipte 2 bobinin birbirine bağlanmasına dayanır. İlişkiyi başlatmak için her iki cihaz da birbirinden 5 cm'den fazla olmayan bir mesafeye yerleştirilmelidir.

NFC nasıl etkinleştirilir? Bir akıllı telefonda bir modül olup olmadığını nasıl öğrenebilirim?

Her şey oldukça kolay. Kullanıcının Android telefonunda veya tabletinde bir NFC modülü olup olmadığını anlamak ve etkinleştirmek için kullanıcının "Yapılandırma" - "Kablosuz İletişim" - "NFC"ye gitmesi gerekir.

Kullanıcı menüde bu değere sahip değilse, akıllı telefonunda NFC mevcut değildir.

Yöntem 1. Android kredi kartı

Kullanıcının her yerde kötü bir alışkanlığı varsa ve sürekli olarak kendi kredi kartını unutuyorsa, bu durumda gadget'ında bir NFC modülü varsa, kendi telefonunu gerçek bir kredi kartı yapma fırsatı verilir. Bu şu şekilde yapılır:

• Öncelikle paypass teknolojisini destekleyen bir kredi kartına ihtiyacınız var;
• Kartın yapıldığı kullanıcı bankasının programını (istemcisini) akıllı telefona yüklemek gerekir;
• Yüklü programı açın, NFC'den sorumlu seçeneği bulun ve seçin. Bundan sonra, dikkate alınması için telefonun veya tabletin arkasına bir kredi kartı koymanız gerekir;
• Başarılı bir okumanın ardından, kullanıcıya SMS yoluyla kaydedilmesi gereken 4 rakamdan oluşan bir şifre gönderilecektir. Kullanıcı bir telefon veya tablet kullanarak ödeme yaptığında bu PIN'in girilmesi gerekecektir.

Modülün geliştiricileri, kullanımının güvenli olduğunu iddia ediyor çünkü:

1. Kullanıcı bir şey satın almadan önce daima PIN kodunu girmelidir.
2. NFC mikroişlemcisinin çalışma aralığı sadece 10 cm'dir (gerçekte daha da az).

Yöntem 2: NFC etiketleri

Tipik bir durum: Bir kişi uyandı, kahvaltı yaptı, buzdolabındaki stoğuna baktı ve satın alınması gerekenleri listeye eklemek için “Baton Satın Al” veya “Google Keep” programını açtı. Bundan sonra daireyi terk eder ve mobil ağı açar, arabaya girer ve iş yerine güvenli bir şekilde ulaşmak için GPS, Bluetooth'u etkinleştirir. Orada akıllı telefonu titreşim moduna geçirir ve Evernote'u açar.

Günümüzde tüm bu işlemler mekanik olarak değil, NFC etiketleri sayesinde otomatik olarak gerçekleştirilebilmektedir.

Bunun için gerekenler:

1. NFC ReTAG programını yükleyin.
2. NFC etiketlerini veya kullanıcının temassız metro veya toplu taşıma ödeme kartları varsa veya Pay Pass'ı destekleyen uzun süredir unutulmuş veya kullanılmamış banka kartları varsa bulun.
3. NFC ReTAG'i açın, bir kart veya etiket tarayın, ekleyin ve kullanıcı ne isterse onu adlandırın.
4. Bundan sonra, kullanıcı etikete eklediğinde akıllı telefonda gerçekleştirilecek eylemi seçmeniz ve "Eylem" tuşuna basmanız gerekir.
5. Bir eylem oluşturun, örneğin "Baton Satın Al" programını başlatın.

Kullanıcı bir eylem oluşturduktan sonra, buzdolabına bir kart veya etiket ekleyebilir (veya yanına koyabilirsiniz). Bundan böyle, kullanıcı mutfağa her girdiğinde, "Baton Al" programını anında başlatma ve zorunlu satın alımlar listesiyle bir hatırlatma kaydetme fırsatı verilir.

Örnek! Bir kişi araca bindiğinde, içinde GPS'i otomatik olarak etkinleştiren ve Bluetooth'u açan tarama yapan bir işaret vardır.

Nasıl yapılır?

1. Bir kartı veya etiketi taramak, adlandırmak gerekir.
2. Bir eylem belirleyin - GPS programını başlatın ve ayrıca Bluetooth kablosuz bilgi iletimini açın.

Tavsiye! Arabaya her bindiğinizde taramayı unutmamak için etiketi arabada bırakmak en iyisidir.

Akıllı telefonun Kök hakları varsa, bu aynı zamanda NFC etiketlerini kullanma olasılığını da artıracak ve bir kişinin telefon veya tablet işlemlerini otomatikleştirmek için daha fazla "çip" olacaktır.

Yöntem 3. Android Işını

Bu, NFC mikroişlemci kullanan bir veri iletim yöntemidir (Bluetooth'a benzer). Android Beam'i kullanan veri değişim oranının çok düşük olduğunu unutmamak önemlidir ve bu nedenle yalnızca az miktarda metin veya bağlantı aktarmak için kullanılması tavsiye edilir.

Bunun için ihtiyacınız olan:

• "Genişlet" tuşuna basın;
• Her iki cihazı da birbirine getirin;
• Verici cihazın ekranındaki görüntü küçüldüğünde, aktarımı başlatmak için üzerine tıklayın.

Yöntem 4: NFC yüzük veya bilezik

NFC seçeneğine sahip bir akıllı bilezik veya yüzük, çeşitli işletim sistemlerinde çalışan telefonlar için uygun, Çin'den geliştiricilerin yenilikçi bir projesidir. Bilezik herhangi bir el ölçüsü için seçilebilir (yüzük ile benzer bir durum). Cihazın ağırlığı çok küçük ancak asıl mesele NFC teknolojisini tam olarak desteklemesi.

Çipin, örneğin Band 3 BFC cihazındaki rolü, özel bir yonga seti tarafından oynanır. Akıllı bileklik, en son teknolojinin yardımıyla telefonun temassız tip bir kanal üzerinden bilgi iletmesine yardımcı olarak yüksek güvenlik sağlıyor. Cihazdaki bilgiler sınırsız sayıda yeniden yazılabilir.

Bilezik ödeme bilgilerini, kayıtları ve diğer kişisel verileri saklar. Bilgileri görüntülemek zor değil - sadece bileziği telefon ekranına koyun. Birkaç saniye içinde akıllı telefonla bağlantı kuracak ve ekran kilidini devre dışı bırakacak ve ayrıca bir kısayol tuşu rolünü oynayacaktır. Örneğin bileklik telefona getirilirken aynı anda kamera, ağ veya sosyal ağ programı devreye giriyor.

Diğer seçenekler

NFC modülleri, mağazalardaki veya müzelerdeki etiketlerde, tarama sırasında kullanıcının ürün veya raf hakkında tam veri içeren bir siteye götürüleceği bilgi plakalarında bulunur.

NFC Güvenliği

Uzun süre temassız kart kullanan kullanıcılar için NFC teknolojisinin ne olduğundan bahsetmenin bir anlamı yok. Bu ödeme yöntemi, bir makinede PIN kartını etkinleştirmenin olağan yönteminden daha güvenlidir çünkü kodu kimse görmez. Telefon çalınsa bile, temassız işlemlerde limit limitleri ile ilgili global limitler nedeniyle hırsız karttan bin rubleden fazla çekemeyecek.

Bazı medyada bilgisayar korsanlarının oluşturulan terminaller, kalabalık yerlerde kullanılan, gizlice para çalmak. Ancak bu yalnızca telefonun kilidi açıldığında gerçektir.

Öneri! Saldırgan yine de parayı yasa dışı olarak çekmeyi başardıysa, hesap sahibi her zaman bir bankacılık kurumuna gitme ve para hareketini izleme talebi ile onlarla iletişim kurma fırsatına sahiptir. Bilgisayar korsanının bakiyesi anında bulunacak ve kaçıran kişi henüz harcamadıysa fonlar sahibine iade edilecektir.

NFC güvenliği ile ilgili mitler ve araştırmalar

Her şeyi iyice anlamak için, NFC teknolojisinin güvenliği ile ilgili her türlü efsane, söylenti ve gerçek durum aşağıdadır.

Mesafe

Temassız kartlar, RFID'nin bir alt kategorisi olan NFC teknolojisi ile bilgi aktarımı için kullanılır. Kredi kartı üzerinde 13.56 MHz radyo frekansında yerleşim terminalinin talebine cevap veren işlemci ve anten bulunmaktadır. Farklı ödeme sistemleri Visa Pay Wave veya MasterCard Pay Pass gibi kendi standartlarını kullanır. Ancak hepsi hemen hemen aynı prensibe dayanmaktadır.

NFC kullanılarak bilgi aktarımının mesafesi birkaç cm içinde değişmektedir.Bu konuda güvenliğin ilk adımı fizikseldir. Okuyucu aslında kredi kartına yakınlaştırılmalıdır ki bu da ihtiyatlı bir şekilde yapılması oldukça zordur.

Ancak, uzun bir mesafe üzerinde çalışan olağanüstü bir okuyucu yaratmak mümkündür. Örneğin, İngiltere'deki Surrey Üniversitesi'nden bilim adamları, pratik bir tarayıcı sayesinde NFC bilgilerini yaklaşık 80 cm mesafeden okuma teknolojisini gösterdiler.

Bu gadget, minibüslerde, alışveriş merkezlerinde, havaalanlarında ve diğer halka açık yerlerde temassız kartları gizlice "sorgulayabilir". Neyse ki, birçok eyalette uygun kredi kartları zaten her ikinci kişinin çantasında.

Bununla birlikte, tarayıcı ve kişisel varlık olmadan çok daha ileri gitmek ve yapmak mümkündür. Menzil sorununa alışılmadık bir başka çözüm de İspanya'dan bilgisayar korsanları tarafından sunuldu. Hack In The Box toplantısında dersi sunan R. Rodriguez ve H. Villa.

Yeni Android telefonların çoğu NFC ile donatılmıştır.Aynı zamanda, gadget'lar genellikle bir çantaya yakın bir yerde bulunur - örneğin, bir sırt çantasında. Villa ve Rodriguez, Android'de kurbanın telefonunu bir tür NFC sinyal tekrarlayıcıya dönüştüren bir Truva Atı (virüs) konseptini geliştirdi.

Virüs bulaşmış bir akıllı telefon, temassız bir kredi kartının yanında olduğu anda, ağ üzerinden bilgisayar korsanlarına operasyonun erişimi hakkında bir sinyal iletir. Saldırganlar sıradan bir ödeme terminali başlatır ve ona kendi NFC telefonlarını bağlar. Bu nedenle, terminal ile NFC kartı arasında birbirinden herhangi bir mesafede bulunabilen bir ağ kullanılarak bir köprü “inşa edilir”.

Virüs, örneğin "saldırıya uğramış" ücretli bir programla birlikte paketlendiğinde olağan şekilde bulaşabilir. Tek ihtiyacınız olan Android işletim sistemi sürümü 4.4 veya üstü. Kök hakları gerekli değildir, ancak virüsün cihazın ekranı kilitlendikten sonra bile çalışabilmesi için önerilir.

kriptografi

Elbette haritaya yaklaşmak %50 başarıdır. Bunu takiben, kriptografiye dayalı çok daha güçlü bir engeli aşmak gerekiyor.

Temassız işlemler, işlemci kartlarıyla aynı EMV standardı tarafından korunmaktadır. Aslında kopyalanabilen mıknatısın izine kıyasla, böyle bir hareket işlemci ile çalışmayacaktır. Terminalin talebi üzerine çip, her seferinde bir kerelik bir anahtar üretir. Böyle bir anahtarı engellemek mümkündür, ancak daha sonraki bir işlem için artık uygun olmayacaktır.

Güvenlik bilim adamları, EMV'nin güvenliğinden defalarca şüphe ettiler, ancak bugüne kadar korumayı atlamanın uygulanabilir bir yolu bulunamadı.

Bu arada, bir nüans var.Olağan uygulamada, işlemci kartlarının güvenliği, kripto anahtarlarının ve bir kişinin PIN kodunu girmesinin birleşimine dayanır. Temassız işlemler sürecinde, çoğu zaman bir PIN koduna ihtiyaç duyulmaz, bu nedenle yalnızca kart işlemcisinin ve terminalin kripto anahtarları kalır.

Satın alma miktarı

Başka bir güvenlik seviyesi daha var - temassız işlemler için limit sınırı. Terminal ekipmanının konfigürasyonundaki bu sınırlama, ödeme sistemlerinin tavsiyesi tarafından yönlendirilen alıcı (banka) tarafından belirlenir. Rusya Federasyonu'nda maksimum ödeme tutarı bin ruble ve Amerika'da eşik 25 dolar.

Büyük miktarda bir ödeme reddedilecek veya makine yardımcı kimlik (imza veya PIN kodu) gerektirmeye başlayacak, bunların tümü alıcı - kartı veren kuruluşun yapılandırmasına bağlıdır. Dönüşümlü olarak limitten birkaç miktar daha az para çekme girişimleri sırasında yardımcı güvenlik sistemi de devreye girmelidir.

Ama burada bile bir özgüllük var. İngiltere'den bir başka Newcastle Üniversitesi bilim insanı grubu, neredeyse bir yıl önce Visa ödeme sisteminin temassız işlemlerinin güvenliğinde bir boşluk bulduklarını söyledi.

Sterlin olarak değil de başka bir yabancı para biriminde ödeme talep ederseniz, tutardaki limit dahil değildir. Ve terminal World Wide Web'e bağlı değilse, bir hacker operasyonunun maksimum miktarı bir milyon avroya ulaşabilir.

Visa ödeme sistemi çalışanları, işlemin bankanın güvenlik sistemleri tarafından reddedileceğini söyleyerek pratikte böyle bir hack'in uygulanmasını reddetti. Raiffeisenbank'tan Taratorin'in sözlerine inanıyorsanız, terminal, gerçekleştirildiği para biriminden bağımsız olarak ödemenin eşik tutarını kontrol eder.

Çözüm

Sonuç olarak, temassız ödeme teknolojisinin aslında mükemmel çok aşamalı koruma ile kapatıldığını belirtmekte fayda var, ancak bu, kullanıcı fonlarının onunla güvende olduğu anlamına gelmiyor. Bankacılık kurumlarının kartlarında çok fazla şey, çok “eski” teknolojilerle (mıknatıs şeridi, yardımcı doğrulama olmadan ağ ödemesi vb.)

Ek olarak, belirli finansal kurumların ve satış noktalarının konfigürasyonunun dikkatli olmasında çok şey var. İkincisinin, hızlı satın alma yarışında ve “terk edilmiş arabaların” küçük bir yüzdesinin, işlemlerin güvenliğini çok ihmal ettiğini belirtmekte fayda var.