Идея оплаты чего-либо без использования PIN-кода уже не нова. Несмотря на это, эта концепция подвергает вас такому же количеству уязвимостей (если не больше), чем раньше.
Ранее я писал о Система мобильных платежей без PIN-кода Android Pay и о негативных последствиях, с которыми могут столкнуться люди, заменив свои PIN-коды биометрической аутентификацией. Теперь появились такие устройства, как платёжные кольца NFC, которые ещё больше усугубляют предыдущие проблемы уязвимости других подобных решений. Оказывается, есть несколько вещей, которые вам следует знать, прежде чем вы войдете в число удобных бесконтактных платежей.
Люди могут прослушивать транзакции
Прослушивание радиосигналов — безусловно, одна из старейших практик в современной истории. Мы занимаемся этим со времен первой мировой войны и во многом полагались на это во второй раз. Устройства, возможно, стали более совершенными, но технология все еще относительно нетронута. Вы создаете подслушивающее устройство, которое настраивается на ту ж
Contents
Люди могут прослушивать транзакции
ие стороны, и слушаете их.Хакеры и исследователи знали о подслушивании NFC по крайней мере с 2013 года, когда некоторые люди создали корзину для покупок, в которую можно было легко вставить и «прослушивать» транзакции, совершаемые посредством бесконтактной оплаты. Чтобы такого явления не произошло, читателям необходимо шифровать свои соединения от начала до конца. Даже в этом случае возможность подслушивания все еще существует. Чтобы потребители были в полной безопасности, лучше избегать использования NFC в людных местах.
Данные могут быть признаны недействительными
Эта конкретная проблема раздражает ритейлеров не меньше, чем покупателей. Хакер может разместить рядом со считывателем устройство, которое повредит данные, поступающие в считыватель, и сделает невозможным совершение покупки на этом конкретном прилавке. У хакеров может быть стимул сделать это в сочетании с подслушиванием, чтобы убедиться, что клиент не опустошит свой баланс, прежде чем он сможет им воспользоваться.
Решение этой проблемы здесь такое же, как и для подслушивания. Розничным торговцам следует использовать защищенные каналы для передачи и получения данных на своих считывателях NFC. Хотя эта конкретная атака не представляет особой угрозы ни для розничного продавца, ни для покупателя (просто большое разочарование), стоит повторить тот факт, что она может быть особенно опасной для покупателя, когда хакеры решают совместить ее с подслушиванием.
Атака «Человек посередине»
Атака «человек посередине» (MiM), описанная более подробно здесь , представляет собой сложную форму подслушивания, при которой хакер перехватывает разговор между устройством NFC и считывателем, обрабатывающим платеж, и отправить ложную информацию обоим. Так
Данные могут быть признаны недействительными
ными (отправив считывателю мусорную информацию, как я описал выше) и самостоятельно получить платеж NFC на основе того, что устройство NFC пыталось отправить считывателю.Из-за своей сложности такие атаки очень редки, но уязвимости, присутствующие в настоящее время в транзакциях NFC, создают стимул для хакеров начать вкладывать больше времени в создание инструментов, которые будут осуществлять эти атаки. Что еще хуже, хакеры могут активно прослушивать соединение до того, как «рукопожатие» шифрования будет завершено, что делает шифрование на этом этапе совершенно бесполезным. Но розничные продавцы могли бы использовать активно-пассивный стиль общения, при котором устройство NFC просто отправляет свои данные, а считыватель просто обрабатывает информацию и отправляет обратно подтверждение покупки.
Никогда не недооценивайте карманников
Конечно, если вы не готовы ловко взламывать платежные порталы, лучший вариант — просто захватить все, что люди используют для оплаты вещей в наши дни. Карту украсть немного сложнее, поскольку обычно вам придется украсть весь кошелек, который большую часть времени находится в кармане (некоторые люди используют внутренний карман пальто для своих кошельков, что усложняет задачу).
Но телефоны часто держат вне карманов и легко теряются. Даже если они лежат в кармане, большинство людей не будут относиться к своим телефонам так бережно, как к кошелькам. Платежные кольца NFC идут немного дальше, поскольку потерять кольца еще проще. Украсть их — это всего лишь вопрос поиска подходящего момента, когда кто-нибудь снимет кольца, чтобы вымыть руки.
<Атака «Человек посередине»
ефоны, убедиться, что у них есть способ удаленно заблокировать устройство в случае его потери. Помимо этого, вам следует полностью избегать платежей NFC, если для вас очень важно свести к минимуму вероятность кражи ваших денег любым из неприятных способов, которые я описал выше.Используете ли вы платежи NFC? Как вы защищаете свои финансы? Расскажите нам в комментариях!
