El pagament NFC és segur i com el puc configurar?

En comprar un telèfon o una tauleta nous, l’usuari, per regla general, obté un dispositiu compatible amb NFC, però sovint sense adonar-se quins avantatges aporta aquesta tecnologia. És útil saber si el pagament NFC és segur i com configurar-lo per pagar les compres sense contacte.

Què és NFC?

Aquesta és una tecnologia per transferir informació a distàncies curtes, combinant un lector i una targeta intel·ligent en un sol dispositiu. Aquesta última és una targeta de plàstic amb una marca de tipus RFID, gràcies a la qual la gent passa pels torniquets de l’oficina i les entrades obertes. Els bitllets al transport públic de la capital o una targeta bancària amb pagament sense contacte és una targeta intel·ligent.

S'hi instal·la un microxip que, en el moment de tocar un dispositiu de lectura (un torniquet d'oficina o una màquina d'alguna institució), intercanvia informació en qüestió de segons. En poques paraules, transfereix dades sobre el seu propietari al sistema de seguretat o permet retirar una quantitat específica de fons.

Aquest microxip s’anomena element segur i el fabricant l’integra al telèfon o el col·loca en una targeta SD o targeta SIM. La unitat NSF, per la seva banda, s’instal·la exclusivament a la planta del fabricant i té el paper d’opció de controlador. En poques paraules, administra aquest mòdul.

Com funciona l'NFC?

Connectar un telèfon intel·ligent a la màquina expenedora per pagar la mercaderia és molt més còmode si es compara amb portar un parell de targetes de crèdit a la butxaca.

La tecnologia NFC (Near Field Communication) es basa en la interconnexió de 2 bobines electromagnètiques, una de les quals es troba al telèfon intel·ligent i l’altra, respectivament, a la màquina. Per iniciar la relació, els dos dispositius s’han de situar a una distància no superior a 5 cm l’un de l’altre.

Com puc habilitar NFC? Com esbrinar si hi ha un mòdul en un telèfon intel·ligent?

És força fàcil. Per entendre si hi ha un mòdul NFC al telèfon o la tauleta d’un usuari que utilitza Android i per activar-lo, l’usuari ha d’anar a "Configuració" - "Comunicacions sense fils" - "NFC".

Si l'usuari no té aquest valor al menú, no hi ha cap NFC al seu telèfon intel·ligent.

Mètode 1. Targeta de crèdit Android

Si l'usuari té un mal hàbit a tot arreu i oblida constantment la seva pròpia targeta de crèdit, en aquesta situació, si el seu gadget està equipat amb un mòdul NFC, se li dóna l'oportunitat de convertir el seu propi telèfon en una targeta de crèdit real. Això es fa de la següent manera:

• En primer lloc, necessiteu una targeta de crèdit que admeti la tecnologia de passpass;
• Cal instal·lar al telèfon intel·ligent el programa (client) del banc d’usuaris en què es fa la targeta;
• Obriu el programa instal·lat, cerqueu el paràmetre responsable de NFC i seleccioneu-lo. Després, s’ha de col·locar una targeta de crèdit a la part posterior del telèfon o de la tauleta perquè es pugui considerar;
• Després de la lectura correcta, s’enviarà a l’usuari una contrasenya formada per 4 números mitjançant SMS, que hauria de ser guardada. Aquest codi PIN s’haurà d’introduir quan l’usuari pagui mitjançant un telèfon o una tauleta.

Els desenvolupadors del mòdul afirmen que el seu ús és segur perquè:

1. L'usuari sempre ha d'introduir el codi PIN abans de comprar alguna cosa.
2. L’abast del microprocessador NFC és de només 10 cm (en realitat encara menys).

Mètode 2. Etiquetes NFC

Una situació típica: una persona es va despertar, va esmorzar, va mirar les existències a la nevera i va obrir el programa Buy Baton o Google Keep per afegir el que s’ha de comprar a la llista. Després d’això, surt de l’apartament i encén la xarxa mòbil, puja al cotxe i activa el GPS, Bluetooth, per arribar amb seguretat al lloc de treball. Allà canvia el telèfon intel·ligent al mode de vibració i obre "Evernote".

Avui en dia, totes aquestes accions es poden dur a terme de manera no mecànica, sinó en mode automàtic gràcies a les etiquetes NFC.

Què cal per a això:

1. Instal·leu el programari NFC ReTAG.
2. Cerqueu etiquetes NFC o, si l’usuari té targetes de pagament sense contacte per al metro o el transport públic, o potser targetes bancàries oblidades o no utilitzades que suporten Pay Pass.
3. Obriu NFC ReTAG, escanegeu una targeta o una etiqueta, afegiu-la i nomeneu-la com vulgui l'usuari.
4. Després d'això, heu de seleccionar l'acció que es durà a terme al telèfon intel·ligent quan l'usuari l'afegeixi a l'etiqueta i premeu el botó "Acció".
5. Creeu una acció, per exemple, llanceu el programa Buy Baton.

Després que l'usuari hagi creat l'acció, podeu adjuntar una targeta o una etiqueta a la nevera (o posar-la al costat). A partir d’ara, cada vegada que l’usuari entra a la cuina, se li dóna l’oportunitat de llançar instantàniament el programa Buy Baton i guardar un recordatori amb una llista de les compres necessàries.

Exemple! Quan una persona entra al cotxe, hi ha una etiqueta, després d’escanejar-lo, el GPS s’activa automàticament i s’obre el Bluetooth.

Com fer-ho?

1. Necessiteu escanejar una targeta o una etiqueta, anomenar-la.
2. Indiqueu l'acció: inicieu el programa GPS i obriu també la transmissió sense fils d'informació Bluetooth.

Consells! El millor és deixar l’etiqueta al cotxe perquè no us oblideu d’escanejar-la cada vegada que pugueu al cotxe.

Si el telèfon intel·ligent té drets d’arrel, això també augmentarà les possibilitats d’utilitzar etiquetes NFC i la persona tindrà més "xips" per automatitzar els processos del telèfon o la tauleta.

Mètode 3. Android Beam

És un mètode de transferència de dades (similar al Bluetooth) que utilitza un microprocessador NFC. És important recordar que la velocitat d’intercanvi de dades mitjançant Android Beam és molt baixa i, per tant, serà recomanable utilitzar-la exclusivament per transferir una petita quantitat de text o enllaços.

Això requereix:

• Premeu la tecla "Amplia";
• Porteu els dos dispositius entre si;
• Quan la imatge de la pantalla del dispositiu transmissor sigui més petita, feu-hi clic per iniciar la transmissió.

Mètode 4. Anell o polsera NFC

Una polsera intel·ligent o un anell amb opció NFC és un projecte innovador de desenvolupadors de la Xina, que és adequat per a telèfons que funcionen amb diversos sistemes operatius. El braçalet es pot triar per a qualsevol mida de la mà (una situació similar amb un anell). El pes del dispositiu és molt petit, però el més important és que admet totalment la tecnologia NFC.

El paper del xip, per exemple, en el dispositiu BFC Band 3, el té un chipset especialitzat. Amb l'ajut d'aquest últim, la polsera intel·ligent ajuda el telèfon a transmetre informació a través d'un canal sense contacte, mantenint així una alta seguretat. La informació del dispositiu es pot reescriure un nombre il·limitat de vegades.

La polsera emmagatzema informació de facturació, registres i altra informació personal. No serà difícil veure la informació, tot el que heu de fer és connectar la polsera a la pantalla del telèfon. En qüestió de segons, establirà una connexió amb el telèfon intel·ligent i desactivarà el bloqueig de la pantalla i també actuarà com a tecla "activa". Per exemple, quan porteu la polsera al telèfon, la càmera, la xarxa o el programa de xarxes socials s'activen al mateix moment.

Altres opcions

Els mòduls NFC es troben a les etiquetes de les botigues o als museus de les plaques informatives, durant les quals l’usuari es dirigirà a un lloc amb informació completa sobre el producte o el bastidor.

Seguretat NFC

Per als usuaris que utilitzen targetes sense contacte durant molt de temps, no té sentit parlar de què és la tecnologia NFC. Aquest mètode de pagament és més segur que el mètode habitual d’activar una targeta PIN en una màquina, perquè ningú no veu el codi. Fins i tot si es roba el telèfon, el lladre no podrà retirar més de mil rubles de la targeta a causa dels límits efectius a nivell mundial en la limitació d’imports en les transaccions sense contacte.

En alguns mitjans hi ha informació sobre pirates informàtics creats terminals, que s’utilitzen en llocs concorreguts, robant furtivament fons. Però això és real només quan el telèfon està desbloquejat.

Recomanació Si l'atacant encara va aconseguir retirar fons de manera il·legal, el propietari del compte sempre té l'oportunitat d'anar a una institució bancària i contactar-hi amb una sol·licitud per fer un seguiment del moviment de diners. El saldo del pirata informàtic es trobarà a l'instant i els fons es retornaran al propietari, si el lladre encara no els ha esgotat.

Mites i investigacions sobre seguretat NFC

Per entendre-ho tot a continuació, es mostren tot tipus de mites, rumors i situacions reals relacionades amb la seguretat de la tecnologia NFC.

Distància

Les targetes sense contacte s’utilitzen per transferir informació tecnologia NFC, subcategoria RFID. La targeta de crèdit conté un processador i una antena que responen a una sol·licitud d'un terminal de pagament a una freqüència de ràdio de 13,56 MHz. Diversos sistemes de pagament utilitzen els seus propis estàndards, com ara Visa Pay Wave o MasterCard Pay Pass. Però tots es basen en gairebé el mateix principi.

La distància per transmetre informació mitjançant NFC varia en uns pocs cm. En aquest sentit, la primera etapa de seguretat és física. De fet, el lector s’ha d’acostar a la targeta de crèdit, que és bastant difícil de dur a terme en secret.

Tot i això, és possible crear un lector extraordinari que funcioni a llarga distància. Per exemple, científics de la Universitat de Surrey, a Gran Bretanya, han mostrat la tecnologia de lectura d’informació NFC a una distància d’uns 80 cm gràcies a un pràctic escàner.

Aquest gadget és realment capaç d’enquestar secretament targetes sense contacte en minibusos, centres comercials, aeroports i altres llocs de masses. Afortunadament, en molts països, cada segona persona té les targetes de crèdit adequades a la cartera.

No obstant això, hi ha l'oportunitat d'anar molt més enllà i prescindir d'un escàner i de la presència personal. Una altra solució inusual al problema de l'abast va ser presentada per pirates informàtics d'Espanya. R. Rodriguez i H. Villa, que van presentar una conferència a la reunió Hack In The Box.

La majoria de telèfons Android nous estan equipats amb una unitat NFC. Al mateix temps, els aparells solen situar-se molt a prop de la cartera, per exemple, en una motxilla. Villa i Rodriguez han desenvolupat el concepte de troià (virus) a Android, que converteix el telèfon de la víctima en una mena de repetidor de senyal NFC.

En el moment en què el telèfon intel·ligent infectat es troba al costat de la targeta de crèdit sense contacte, envia un senyal als pirates informàtics a través de la xarxa sobre l’abast de l’operació. Els atacants llancen un terminal de pagament ordinari i hi connecten el seu propi telèfon NFC. Per tant, es "construeix" un pont mitjançant una xarxa entre el terminal i la targeta NFC, que pot estar a qualsevol distància l'un de l'altre.

El virus es pot transmetre de la manera habitual, per exemple, en combinació amb un programa de pagament "piratejat". Tot el que cal és Android 4.4 o posterior. No es requereixen drets d’arrel, però es recomana que el virus funcioni fins i tot després de bloquejar la pantalla del dispositiu.

Criptografia

Per descomptat, apropar-se al mapa té un 50% d’èxit. Després d'això, cal trencar una barrera molt més poderosa, que es basa en la criptografia.

Les transaccions sense contacte estan protegides pel mateix estàndard EMV que les targetes de processador. En comparació amb la pista de l’imant, que realment es copia, aquest moviment no funcionarà amb el processador. A petició del terminal, el microcircuit crea una clau única cada vegada. És possible interceptar aquesta clau, però ja no serà adequada per a l'operació posterior.

Els científics de la seguretat han dubtat de la seguretat dels vehicles electromagnètics més d’una vegada, però fins avui no s’ha trobat cap elusió a la vida real.

Per cert, hi ha un matís. En la implementació habitual, la seguretat del processament de targetes es basa en una combinació de claus criptogràfiques i un PIN d’entrada humà. En el procés de transaccions sense contacte, el codi PIN més sovint no és necessari, de manera que només queden les claus criptogràfiques del processador i del terminal de la targeta.

Import de la compra

Hi ha un altre pas de seguretat: el límit de la quantitat màxima de transaccions sense contacte. Aquesta limitació en la configuració de l’equip terminal la fixa l’adquirent (banc), que es guia per l’assessorament dels sistemes de pagament. A la Federació Russa, l'import màxim del pagament és de mil rubles i a Amèrica el llindar és de 25 dòlars.

Es rebutjarà un pagament per un import elevat o la màquina començarà a requerir una identificació auxiliar (signatura o codi PIN), tot depèn de la configuració de l’adquirent: l’emissor de la targeta. Durant els intents de retirar alternativament un parell d’imports inferiors al límit, també s’hauria d’activar el sistema auxiliar de seguretat.

Però també hi ha una especificitat. Un altre grup de científics de la Universitat de Newcastle (Gran Bretanya) gairebé un any abans van dir que havien trobat una escletxa en la seguretat de les transaccions sense contacte del sistema de pagament Visa.

Si sol·liciteu un pagament no en lliures esterlines, sinó en una altra moneda estrangera, no s’inclourà el límit de l’import. I si el terminal no està connectat a la World Wide Web, l’import màxim d’una operació de pirates informàtics pot arribar al milió d’euros.

Els empleats del sistema de pagament Visa van negar la implementació d’aquest hack a la pràctica, dient que els sistemes de seguretat del banc refusarien l’operació. Si creieu les paraules de Taratorin de Raiffeisenbank, el terminal controla l'import llindar del pagament, independentment de la moneda en què s'hagi realitzat.

Conclusió

En conclusió, val la pena assenyalar que la tecnologia de pagament sense contacte està coberta, de fet, per una excel·lent protecció en diverses etapes, però això no vol dir en absolut que els fons dels usuaris estiguin segurs amb ella. Massa en les targetes de les entitats bancàries està interconnectada amb tecnologies molt "antigues" (una tira d'un imant, un pagament per xarxa sense verificació addicional, etc.)

A més, hi ha molt en l’atenció de la configuració de determinades institucions financeres i punts de venda. Val a dir que aquest últim, en la cursa per les compres ràpides i un petit percentatge de "cistelles abandonades", descuida la seguretat de les transaccions.