Il pagamento NFC è sicuro e come posso configurarlo?

Quando si acquista un telefono o un tablet nuovo di zecca, l'utente, di regola, ottiene un dispositivo che supporta NFC, ma spesso, senza nemmeno sapere quali vantaggi offre tale tecnologia. È utile sapere se il pagamento NFC è sicuro e come configurarlo per pagare gli acquisti senza contatto.

Cos'è l'NFC?

Questa è una tecnologia per trasferire informazioni a brevi distanze, combinando un lettore e una smart card in un unico dispositivo. Quest'ultima è una tessera plastificata con marchio di tipo RFID, grazie alla quale le persone passano attraverso i tornelli degli uffici e le strade aperte. I biglietti dei mezzi pubblici della capitale o una carta bancaria con pagamento contactless sono una smart card.

Al suo interno è installato un microchip che, al momento di toccare un dispositivo di lettura (un tornello di un ufficio o una macchina automatica di qualche istituzione), scambia informazioni in pochi secondi. In poche parole, trasferisce i dati sul suo proprietario al sistema di sicurezza o consente di prelevare un importo specifico di fondi.

Questo microchip è chiamato Secure Element ed è integrato nel telefono dal produttore o posizionato su una scheda SD o SIM. Il blocco NFS, da parte sua, è installato esclusivamente presso lo stabilimento del produttore e svolge il ruolo di opzione controller. In poche parole, amministra questo modulo.

Come funziona NFC?

Collegare uno smartphone alla macchina per pagare la merce è molto più comodo rispetto al portare in tasca un paio di carte di credito.

La tecnologia NFC (Near Field Communication) si basa sull'interconnessione di 2 bobine elettromagnetiche, una delle quali è nello smartphone e l'altra, rispettivamente, nella macchina. Per avviare la relazione, entrambi i dispositivi devono essere posizionati a una distanza non superiore a 5 cm l'uno dall'altro.

Come si abilita l'NFC? Come scoprire se c'è un modulo su uno smartphone?

È abbastanza facile. Per capire se è presente un modulo NFC sul telefono o tablet di un utente con sistema operativo Android e per attivarlo, l'utente deve andare su "Configurazione" - "Comunicazioni wireless" - "NFC".

Se l'utente non ha questo valore nel menu, allora non c'è NFC nel suo smartphone.

Metodo 1. Carta di credito Android

Se l'utente ha una cattiva abitudine ovunque e dimentica costantemente la propria carta di credito, in questa situazione, se il suo gadget è dotato di un modulo NFC, gli viene data l'opportunità di rendere il proprio telefono una vera carta di credito. Questo viene fatto come segue:

• Innanzitutto, è necessaria una carta di credito che supporti la tecnologia paypass;
• È necessario installare sullo smartphone il programma (client) della banca utente in cui è realizzata la carta;
• Apri il programma installato, trova il parametro responsabile dell'NFC e selezionalo. Dopodiché, una carta di credito deve essere posizionata sul retro del telefono o del tablet affinché possa essere presa in considerazione;
• A seguito di una corretta lettura, all'utente verrà inviata una password composta da 4 numeri tramite SMS, che dovrà essere salvata. Questo codice PIN dovrà essere inserito quando l'utente effettua un pagamento utilizzando un telefono o un tablet.

Gli sviluppatori del modulo affermano che il suo utilizzo è sicuro perché:

1. L'utente deve sempre inserire il codice PIN prima di acquistare qualcosa.
2. La portata del microprocessore NFC è di soli 10 cm (in realtà anche meno).

Metodo 2. Tag NFC

Una situazione tipica: una persona si è svegliata, ha fatto colazione, ha guardato il brodo nel frigorifero e ha aperto il programma Buy Baton o Google Keep per aggiungere ciò che deve essere acquistato alla lista. Dopodiché, lascia l'appartamento e accende la rete mobile, sale in macchina e attiva il GPS, il Bluetooth per raggiungere in sicurezza il luogo di lavoro. Lì passa lo smartphone in modalità vibrazione e apre "Evernote".

Oggi tutte queste azioni possono essere effettivamente eseguite non meccanicamente, ma in modalità automatica grazie ai tag NFC.

Cosa è necessario per questo:

1. Installa il software NFC ReTAG.
2. Trova i tag NFC o, se l'utente ha carte di pagamento contactless per la metropolitana o i mezzi pubblici, o forse carte bancarie dimenticate o inutilizzate che supportano Pay Pass.
3. Apri NFC ReTAG, scansiona una carta o un tag, aggiungilo e assegnagli un nome come vuole l'utente.
4. Dopodiché, è necessario selezionare l'azione che verrà eseguita sullo smartphone quando l'utente lo allega al tag e premere il pulsante "Azione".
5. Crea un'azione, ad esempio, avvia il programma Acquista Baton.

Dopo che l'utente ha creato l'azione, puoi attaccare una scheda o un'etichetta al frigorifero (o metterla accanto a). D'ora in poi, ogni volta che l'utente entra in cucina, ha la possibilità di avviare immediatamente il programma Acquista Baton e salvare un promemoria con un elenco degli acquisti richiesti.

Esempio! Quando una persona entra in macchina, si trova un tag al suo interno, dopo averlo scansionato, il GPS si attiva automaticamente e si apre il Bluetooth.

Come farlo?

1. Devi scansionare una carta o un tag, dargli un nome.
2. Indica l'azione: avvia il programma GPS e apri anche la trasmissione wireless delle informazioni Bluetooth.

Consigli! È meglio lasciare l'etichetta in macchina in modo da non dimenticarti di scansionarla ogni volta che sali in macchina.

Se lo smartphone ha i diritti di root, aumenterà anche le possibilità di utilizzare tag NFC e la persona avrà più "chip" per automatizzare i processi del telefono o del tablet.

Metodo 3. Android Beam

È un metodo di trasferimento dati (simile al Bluetooth) che utilizza un microprocessore NFC. È importante ricordare che la velocità di scambio dati utilizzando Android Beam è molto bassa, e quindi sarà consigliabile utilizzarlo esclusivamente per trasferire una piccola quantità di testo o link.

Questo richiede:

• Premere il tasto "Espandi";
• Porta entrambi i dispositivi l'uno con l'altro;
• Quando il display sul dispositivo di trasmissione diventa più piccolo, fare clic su di esso per avviare la trasmissione.

Metodo 4. Anello o braccialetto NFC

Un braccialetto intelligente o un anello con opzione NFC è un progetto innovativo di sviluppatori cinesi, adatto per telefoni che operano su vari sistemi operativi. Il braccialetto può essere scelto per qualsiasi dimensione della mano (una situazione simile con un anello). Il peso del dispositivo è molto ridotto, ma la cosa principale è che supporta pienamente la tecnologia NFC.

Il ruolo del chip, ad esempio, nel dispositivo Band 3 BFC, è svolto da un chipset specializzato. Con l'aiuto di quest'ultimo, il braccialetto intelligente aiuta il telefono a trasmettere informazioni su un canale contactless, mantenendo così un'elevata sicurezza. Le informazioni sul dispositivo possono essere riscritte un numero illimitato di volte.

Il braccialetto memorizza le informazioni di fatturazione, i record e altre informazioni personali. Non sarà difficile guardare le informazioni: tutto ciò che devi fare è attaccare il braccialetto al display del telefono. In pochi secondi, stabilirà una connessione con lo smartphone e disabiliterà il blocco del display e fungerà anche da tasto "rapido". Ad esempio, quando si porta il braccialetto al telefono, la fotocamera, il network o il programma di social network vengono attivati ​​contemporaneamente.

Altre opzioni

I moduli NFC si trovano sulle etichette nei negozi o nei musei su targhette informative, durante le quali l'utente verrà portato in un sito con informazioni complete sul prodotto o rack.

Sicurezza NFC

Per gli utenti che utilizzano carte contactless da molto tempo, non ha senso parlare di cosa sia la tecnologia NFC. Questo metodo di pagamento è più sicuro del solito metodo di attivazione di una carta PIN in una macchina, perché nessuno vede il codice. Anche se il telefono viene rubato, il ladro non sarà in grado di prelevare più di mille rubli dalla carta a causa dei limiti globali effettivi sulla limitazione degli importi nelle transazioni senza contatto.

In alcuni mass media, ci sono informazioni che gli hacker terminali creati, che vengono utilizzati in luoghi affollati, rubando furtivamente fondi. Ma questo è possibile solo quando il telefono è sbloccato.

Raccomandazione! Se l'attaccante è ancora riuscito a prelevare fondi illegalmente, il proprietario del conto ha sempre la possibilità di recarsi presso un istituto bancario e contattarlo con una richiesta per monitorare il movimento di denaro. Il saldo dell'hacker verrà immediatamente trovato ei fondi verranno restituiti al proprietario, se il ladro non li ha ancora utilizzati.

Miti e ricerca sulla sicurezza NFC

Per comprendere appieno il tutto, di seguito sono riportati tutti i tipi di miti, voci e situazioni reali legate alla sicurezza della tecnologia NFC.

Distanza

Le carte contactless vengono utilizzate per trasferire informazioni con tecnologia NFC, sottocategoria RFID. La carta di credito contiene un processore e un'antenna che rispondono a una richiesta da un terminale di pagamento a una frequenza radio di 13,56 MHz. Vari sistemi di pagamento utilizzano i propri standard, come Visa Pay Wave o MasterCard Pay Pass. Ma sono tutti basati quasi sullo stesso principio.

La distanza per la trasmissione delle informazioni tramite NFC varia entro pochi cm, a questo proposito la prima fase della sicurezza è fisica. Il lettore, infatti, va avvicinato alla carta di credito, cosa piuttosto difficile da eseguire in segreto.

Tuttavia, è possibile creare un lettore straordinario che lavori a lunga distanza. Ad esempio, scienziati dell'Università del Surrey in Gran Bretagna hanno mostrato la tecnologia per leggere le informazioni NFC a una distanza di circa 80 cm grazie a un pratico scanner.

Questo gadget è davvero in grado di "polling" segretamente carte contactless in minibus, centri commerciali, aeroporti e altri luoghi di massa. Fortunatamente, in molti paesi, una persona su due ha carte di credito adeguate nel portafoglio.

Tuttavia, c'è l'opportunità di andare molto oltre e fare a meno di uno scanner e di una presenza personale. Un'altra soluzione insolita al problema della portata è stata presentata dagli hacker spagnoli. R. Rodriguez e H. Villa, che hanno presentato una conferenza all'incontro Hack In The Box.

La maggior parte dei nuovi telefoni Android è dotata di un blocco NFC. Allo stesso tempo, i gadget si trovano spesso nelle immediate vicinanze di una borsa, ad esempio in uno zaino. Villa e Rodriguez hanno sviluppato su Android il concetto di Trojan (virus), che trasforma il telefono della vittima in una sorta di ripetitore di segnale NFC.

Nel momento in cui lo smartphone infetto si trova accanto alla carta di credito contactless, invia un segnale agli hacker tramite la rete sulla portata dell'operazione. Gli aggressori lanciano un normale terminale di pagamento e vi collegano il proprio telefono NFC. Pertanto, viene "costruito" un bridge utilizzando una rete tra il terminale e la scheda NFC, che possono essere a qualsiasi distanza l'una dall'altra.

Il virus può essere trasmesso nel solito modo, ad esempio, in combinazione con un programma a pagamento "hackerato". Tutto ciò che serve è Android 4.4 o successivo. I diritti di root non sono necessari, tuttavia, sono consigliati affinché il virus possa funzionare anche dopo che lo schermo del dispositivo è stato bloccato.

Crittografia

Ovviamente, avvicinarsi alla mappa ha successo del 50%. A seguito di ciò, è necessario rompere una barriera molto più potente, che si basa sulla crittografia.

Le transazioni senza contatto sono protette dallo stesso standard EMV delle carte processore. Rispetto alla traccia del magnete, che viene effettivamente copiata, una tale mossa non funzionerà con il processore. Su richiesta del terminale, il microcircuito crea ogni volta una chiave monouso. È possibile intercettare tale chiave, ma non sarà più adatta per l'operazione successiva.

Gli scienziati della sicurezza hanno dubitato della sicurezza degli EMV più di una volta, ma fino ad oggi non è stata trovata alcuna elusione nella vita reale.

C'è, a proposito, una sfumatura. Nella normale implementazione, la sicurezza dell'elaborazione delle carte si basa su una combinazione di chiavi crittografiche e un PIN di input umano. Nel processo di transazioni senza contatto, il codice PIN molto spesso non è necessario, quindi rimangono solo le chiavi crittografiche del processore della carta e del terminale.

Ammontare dell'acquisto

C'è un altro passaggio di sicurezza: il limite della quantità massima di transazioni contactless. Questa limitazione nella configurazione dell'apparecchiatura terminale è stabilita dall'acquirente (banca), che è guidato dalla consulenza dei sistemi di pagamento. Nella Federazione Russa, l'importo massimo del pagamento è di mille rubli e in America la soglia è di $ 25.

Un pagamento per un importo elevato verrà rifiutato o la macchina inizierà a richiedere un'identificazione ausiliaria (firma o codice PIN), tutto dipende dalla configurazione dell'acquirente, l'emittente della carta. Durante i tentativi di prelevare alternativamente un paio di quantità inferiori al limite, deve essere attivato anche il sistema di sicurezza ausiliario.

Ma anche qui c'è una specificità. Un altro gruppo di scienziati britannici dell'Università di Newcastle quasi un anno prima ha affermato di aver trovato una scappatoia nella sicurezza delle transazioni contactless del sistema di pagamento Visa.

Se richiedi un pagamento non in sterline, ma in un'altra valuta estera, il limite dell'importo non è incluso. E se il terminale non è connesso al World Wide Web, l'importo massimo di un'operazione di hacker può raggiungere un milione di euro.

I dipendenti del sistema di pagamento Visa hanno negato l'implementazione di un tale hack in pratica, affermando che l'operazione sarebbe stata rifiutata dai sistemi di sicurezza della banca. Se credi alle parole di Taratorin di Raiffeisenbank, il terminale controlla l'importo soglia del pagamento, indipendentemente dalla valuta in cui è stato effettuato.

Conclusione

In conclusione, vale la pena notare che la tecnologia di pagamento contactless è, in effetti, coperta da un'eccellente protezione multistadio, ma ciò non significa affatto che i fondi degli utenti siano al sicuro con essa. Troppo nelle carte degli istituti bancari è interconnesso con tecnologie molto "vecchie" (una striscia di un magnete, un pagamento in rete senza verifica aggiuntiva, ecc.)

Inoltre, molto sta nell'attenzione alla configurazione di alcuni istituti finanziari e punti vendita al dettaglio. Da notare che questi ultimi, nella corsa agli acquisti veloci e ad una piccola percentuale di "panieri abbandonati", trascurano la sicurezza delle transazioni.