NFC ödemesi güvenli mi ve nasıl ayarlarım?

Yepyeni bir telefon veya tablet satın alırken, kullanıcı, kural olarak, NFC'yi destekleyen, ancak çoğu zaman bu teknolojinin ne gibi avantajlar sağladığını fark etmeden bir cihaz alır. NFC ödemesinin güvenli olup olmadığını ve satın alımlar için temassız ödeme yapacak şekilde nasıl ayarlanacağını bilmek yararlıdır.

NFC nedir?

Bu, bir okuyucu ve bir akıllı kartı tek bir cihazda birleştirerek kısa mesafelerde bilgi aktarmak için kullanılan bir teknolojidir. İkincisi, insanların ofis turnikelerinden ve açık garaj yollarından geçtiği RFID tipi işaretli plastik bir karttır. Başkentin toplu taşıma araçlarındaki biletler veya temassız ödemeli bir banka kartı akıllı karttır.

Bir okuma cihazına (bir ofis turnike veya bir kurumun makinesi) dokunduğu anda, birkaç saniye içinde bilgi alışverişinde bulunan bir mikroçip takılıdır. Basitçe söylemek gerekirse, sahibiyle ilgili verileri güvenlik sistemine aktarır veya belirli bir miktarda fon çekmeyi mümkün kılar.

Bu mikroçipe Güvenli Öğe adı verilir ve üretici tarafından telefona entegre edilir veya bir SD kart veya SIM kart üzerine yerleştirilir. NSF ünitesi, kendi adına, yalnızca üreticinin fabrikasına kurulur ve bir kontrolör seçeneği rolünü oynar. Basitçe söylemek gerekirse, bu modülü o yönetiyor.

NFC nasıl çalışır?

Malları ödemek için otomat makinesine bir akıllı telefon takmak, cebinizde birkaç kredi kartı taşımaktan çok daha rahattır.

NFC teknolojisi (Yakın Alan İletişimi), biri akıllı telefonda, diğeri ise makinede olmak üzere 2 elektromanyetik bobinin birbirine bağlanmasına dayanır. İlişkiyi başlatmak için her iki cihaz da birbirinden en fazla 5 cm mesafede konumlandırılmalıdır.

NFC'yi nasıl etkinleştiririm? Bir akıllı telefonda bir modül olup olmadığını nasıl öğrenebilirim?

Her şey oldukça kolay. Android çalıştıran bir kullanıcının telefonunda veya tabletinde bir NFC modülü olup olmadığını anlamak ve etkinleştirmek için kullanıcının "Yapılandırma" - "Kablosuz İletişim" - "NFC" ye gitmesi gerekir.

Kullanıcı menüde bu değere sahip değilse, akıllı telefonunda NFC yoktur.

Yöntem 1. Android kredi kartı

Kullanıcının her yerde kötü bir alışkanlığı varsa ve sürekli olarak kendi kredi kartını unutuyorsa, bu durumda, cihazında bir NFC modülü varsa, kendi telefonunu gerçek bir kredi kartı yapma fırsatı verilir. Bu şu şekilde yapılır:

• Öncelikle, paypass teknolojisini destekleyen bir kredi kartına ihtiyacınız var;
• Akıllı telefona, kartın yapıldığı kullanıcı bankasının programını (müşterisi) kurmak gerekir;
• Yüklü programı açın, NFC'den sorumlu olan parametreyi bulun ve seçin. Bundan sonra, dikkate alınması için telefonun veya tabletin arkasına bir kredi kartı yerleştirilmelidir;
• Başarılı okumadan sonra kullanıcıya SMS ile kaydedilmesi gereken 4 numaradan oluşan bir şifre gönderilecektir. Kullanıcı, telefon veya tablet kullanarak ödeme yaptığında bu PIN kodunun girilmesi gerekecektir.

Modülün geliştiricileri, kullanımının güvenli olduğunu iddia ediyor çünkü:

1. Kullanıcının bir şey satın almadan önce her zaman PIN kodunu girmesi gerekir.
2. NFC mikroişlemcinin menzili yalnızca 10 cm'dir (aslında daha da azdır).

Yöntem 2. NFC etiketleri

Tipik bir durum: Bir kişi uyandı, kahvaltı etti, buzdolabındaki stoklara baktı ve satın alınması gerekenleri listeye eklemek için Baton Satın Al veya Google Keep programını açtı. Bundan sonra, daireyi terk eder ve mobil ağı açar, arabaya girer ve iş yerine güvenli bir şekilde ulaşmak için GPS, Bluetooth'u etkinleştirir. Orada akıllı telefonu titreşim moduna geçirir ve "Evernote" u açar.

Günümüzde tüm bu işlemler aslında mekanik olarak değil, NFC etiketleri sayesinde otomatik modda gerçekleştirilebilmektedir.

Bunun için gerekli olan:

1. NFC ReTAG yazılımını kurun.
2. NFC etiketlerini bulun veya kullanıcının metro veya toplu taşıma için temassız ödeme kartları veya Pay Pass'i destekleyen uzun süredir unutulmuş veya kullanılmamış banka kartları varsa.
3. NFC ReTAG'ı açın, bir kart veya etiketi tarayın, ekleyin ve kullanıcının istediği şekilde adlandırın.
4. Bundan sonra, kullanıcı onu etikete eklediğinde akıllı telefonda gerçekleştirilecek eylemi seçmeniz ve "Eylem" düğmesine basmanız gerekir.
5. Bir eylem oluşturun, örneğin, Baton Satın Al programını başlatın.

Kullanıcı eylemi oluşturduktan sonra, buzdolabına bir kart veya etiket iliştirebilir (veya yanına koyabilirsiniz). Şu andan itibaren, kullanıcı mutfağa her girdiğinde, kendisine Baton Satın Al programını anında başlatma ve gerekli satın alımların bir listesini içeren bir hatırlatıcı kaydetme fırsatı verilir.

Misal! Bir kişi araca bindiğinde, içinde bir etiket bulunur, tarandıktan sonra GPS otomatik olarak etkinleştirilir ve Bluetooth açılır.

Nasıl yapılır?

1. Bir kart veya etiketi taramanız, adlandırmanız gerekir.
2. Eylemi belirtin - GPS programını başlatın ve ayrıca Bluetooth bilgilerinin kablosuz iletimini açın.

Tavsiye! Etiketi arabada bırakmak en iyisidir, böylece arabaya her bindiğinizde taramayı unutmazsınız.

Akıllı telefonun Kök hakları varsa, bu aynı zamanda NFC etiketlerini kullanma olasılığını da artıracak ve kişinin telefon veya tabletin işlemlerini otomatikleştirmek için daha fazla "çipi" olacaktır.

Yöntem 3. Android Beam

NFC mikroişlemci kullanan bir veri aktarım yöntemidir (Bluetooth'a benzer). Android Beam kullanarak veri alışverişi hızının çok düşük olduğunu unutmamak önemlidir ve bu nedenle, yalnızca az miktarda metin veya bağlantı aktarmak için kullanılması tavsiye edilir.

Bu gerektirir:

• "Genişlet" tuşuna basın;
• Her iki cihazı da birbirine getirin;
• Gönderen cihazdaki ekran küçüldüğünde, iletimi başlatmak için üzerine tıklayın.

Yöntem 4. NFC halkası veya bilezik

NFC seçeneğine sahip bir akıllı bileklik veya yüzük, çeşitli işletim sistemlerinde çalışan telefonlar için uygun olan, Çin'den geliştiricilerin yenilikçi bir projesidir. Bilezik, herhangi bir el boyutu için seçilebilir (bir yüzük ile benzer bir durum). Cihazın ağırlığı çok küçük, ancak asıl önemli olan NFC teknolojisini tam olarak desteklemesi.

Çipin, örneğin Band 3 BFC cihazındaki rolü, özel bir yonga seti tarafından oynanır. İkincisinin yardımıyla akıllı bileklik, telefonun temassız bir kanal üzerinden bilgi aktarmasına yardımcı olur, böylece yüksek güvenlik sağlar. Cihazdaki bilgiler sınırsız sayıda yeniden yazılabilir.

Bileklik fatura bilgilerini, kayıtları ve diğer kişisel bilgileri depolar. Bilgileri izlemek zor olmayacak - tek yapmanız gereken bileziği telefon ekranına takmak. Birkaç saniye içinde akıllı telefon ile bağlantı kuracak ve ekran kilidini devre dışı bırakacak ve ayrıca bir "kısayol" tuşu olarak işlev görecek. Örneğin bilekliği telefona getirdiğinizde aynı anda kamera, ağ veya sosyal ağ programı devreye giriyor.

Diğer seçenekler

NFC modülleri, mağazalardaki veya müzelerdeki bilgi plakalarındaki etiketlerde bulunur; bu sırada kullanıcı, ürün veya raf hakkında eksiksiz bilgi içeren bir siteye götürülür.

NFC güvenliği

Uzun süredir temassız kart kullanan kullanıcılar için NFC teknolojisinin ne olduğundan bahsetmenin bir anlamı yok. Bu ödeme yöntemi, bir makinede bir PIN kartını etkinleştirmenin normal yolundan daha güvenlidir, çünkü kimse kodu görmez. Telefon çalınsa bile, temassız işlemlerde miktar sınırlamasına ilişkin global olarak geçerli limitler nedeniyle hırsız karttan bin ruble'den fazla para çekemeyecek.

Bazı medyalarda bilgisayar korsanlarının oluşturulan terminallerKalabalık yerlerde kullanılan, gizlice para çalıyor. Ancak bu yalnızca telefonun kilidi açıldığında gerçektir.

Öneri! Saldırgan hala yasadışı olarak para çekmeyi başardıysa, hesap sahibinin her zaman bir bankacılık kurumuna gitme ve paranın hareketini izlemek için onlarla iletişime geçme fırsatı olur. Bilgisayar korsanının bakiyesi anında bulunacak ve hırsız henüz kullanmadıysa para sahibine iade edilecektir.

NFC güvenlik efsaneleri ve araştırmaları

Her şeyi tam olarak anlamak için, aşağıda NFC teknolojisinin güvenliği ile ilgili her türlü efsane, söylenti ve gerçek durum bulunmaktadır.

Mesafe

Temassız kartlar, NFC teknolojisi, RFID alt kategorisi bilgileri aktarmak için kullanılır. Kredi kartı, 13.56 MHz radyo frekansında bir ödeme terminalinden gelen bir talebe yanıt veren bir işlemci ve bir anten içerir. Visa Pay Wave veya MasterCard Pay Pass gibi çeşitli ödeme sistemleri kendi standartlarını kullanır. Ama hepsi neredeyse aynı prensibe dayanıyor.

NFC kullanarak bilgi iletme mesafesi birkaç cm içinde dalgalanmaktadır Bu bağlamda, güvenliğin ilk aşaması fizikseldir. Aslında okuyucu, gizlice gerçekleştirmesi oldukça zor olan kredi kartına yaklaştırılmalıdır.

Ancak uzak mesafeden çalışan sıra dışı bir okuyucu yaratmak mümkün. Örneğin, İngiltere'deki Surrey Üniversitesi'nden bilim adamları, pratik bir tarayıcı sayesinde NFC bilgilerini yaklaşık 80 cm mesafeden okuma teknolojisini gösterdiler.

Bu aygıt, minibüsler, alışveriş merkezleri, hava alanları ve diğer toplu yerlerdeki temassız kartları gizlice "sorgulama" yeteneğine sahiptir. Neyse ki birçok ülkede her ikinci kişinin cüzdanında uygun kredi kartları vardır.

Yine de, tarayıcı ve kişisel mevcudiyet olmadan çok daha ileri gitme ve yapma fırsatı var. Menzil sorununa bir başka alışılmadık çözüm, İspanya'daki bilgisayar korsanları tarafından sunuldu. Hack In The Box toplantısında bir konferans veren R. Rodriguez ve H. Villa.

Yeni Android telefonların çoğu bir NFC ünitesi ile donatılmıştır. Aynı zamanda, gadget'lar genellikle bir çantanın yakınında bulunur - örneğin, bir sırt çantasında. Villa ve Rodriguez, Android'de kurbanın telefonunu bir tür NFC sinyal tekrarlayıcısına dönüştüren bir Truva atı (virüs) konseptini geliştirdi.

Virüs bulaşmış akıllı telefon temassız kredi kartının yanında olduğu anda, ağ üzerinden bilgisayar korsanlarına operasyonun kapsama alanı hakkında bir sinyal gönderir. Saldırganlar sıradan bir ödeme terminali başlatır ve kendi NFC telefonlarını ona bağlar. Bu nedenle, uçbirim ile NFC kartı arasında birbirinden herhangi bir mesafede olabilen bir ağ kullanılarak bir köprü "kurulur".

Virüs, örneğin "saldırıya uğramış" ücretli bir programla birlikte olağan şekilde iletilebilir. Gereken tek şey Android 4.4 veya sonraki sürümlerdir. Kök hakları gerekli değildir, ancak cihaz ekranı engellendikten sonra bile virüsün çalışabilmesi için önerilirler.

Kriptografi

Elbette haritaya yaklaşmak% 50 başarılı. Bunu takiben kriptografiye dayalı çok daha güçlü bir engeli aşmak gerekiyor.

Temassız işlemler, işlemci kartlarıyla aynı EMV standardıyla korunur. Gerçekte kopyalanan mıknatıs izine kıyasla böyle bir hareket işlemcide çalışmayacaktır. Terminalin talebi üzerine mikro devre, her seferinde bir kerelik anahtar üretir. Böyle bir tuşa müdahale etmek mümkündür, ancak bundan sonraki işlem için artık uygun olmayacaktır.

Güvenlik bilimcileri, EMV'lerin güvenliğini bir kereden fazla sorguladılar, ancak bugüne kadar gerçek hayattan atlatma bulunmadı.

Bu arada, bir nüans var. Olağan uygulamada, işlem kartlarının güvenliği, kripto anahtarlarının bir kombinasyonuna ve PIN kodunun bir insan girişine dayanmaktadır. Temassız işlem sürecinde, PIN koduna çoğu zaman ihtiyaç duyulmaz, bu nedenle yalnızca kart işlemcisinin ve terminalin kripto anahtarları kalır.

Satın alma miktarı

Bir güvenlik adımı daha var - maksimum temassız işlem miktarı sınırı. Terminal ekipmanının konfigürasyonundaki bu sınırlama, ödeme sistemlerinin tavsiyesi ile yönlendirilen alıcı (banka) tarafından belirlenir. Rusya Federasyonu'nda maksimum ödeme tutarı bin ruble ve Amerika'da eşik 25 dolar.

Büyük bir miktar için bir ödeme reddedilecek veya makine bir yardımcı kimlik (imza veya PIN kodu) gerektirmeye başlayacak, bunların tümü alıcı kuruluşun - kartı veren kuruluşun yapılandırmasına bağlı. Değişimli olarak limitin altında birkaç meblağ çekme girişimleri sırasında, yardımcı güvenlik sistemi de etkinleştirilmelidir.

Ama burada da bir özgüllük var. Yaklaşık bir yıl önce İngiltere'den Newcastle Üniversitesi'nden bir başka bilim adamı grubu, Visa ödeme sisteminin temassız işlemlerinin güvenliğinde bir boşluk bulduklarını söyledi.

Sterlin değil, başka bir döviz cinsinden ödeme talep ederseniz, bu durumda miktar limiti dahil edilmez. Terminal World Wide Web'e bağlı değilse, bir hacker işleminin maksimum miktarı bir milyon Euro'ya ulaşabilir.

Visa ödeme sistemi çalışanları, operasyonun bankanın güvenlik sistemleri tarafından reddedileceğini söyleyerek pratikte böyle bir hack uygulamasına karşı çıktılar. Raiffeisenbank'tan Taratorin'in sözlerine inanıyorsanız, terminal, yapıldığı para birimine bakılmaksızın ödemenin eşik tutarını kontrol eder.

Sonuç

Sonuç olarak, temassız ödemeler teknolojisinin aslında mükemmel çok seviyeli koruma ile kaplandığına dikkat edilmelidir, ancak bu, kullanıcı fonlarının onunla güvende olduğu anlamına gelmez. Bankacılık kurumlarının kartlarının çok fazlası, çok "eski" teknolojilerle (mıknatıs şeridi, ek doğrulama olmadan ağ ödemesi, vb.)

Buna ek olarak, pek çok şey, belirli finansal kurumların ve perakende satış noktalarının konfigürasyonunun dikkatinde yatmaktadır. Hızlı alışveriş yarışında ve "terk edilmiş sepetlerin" küçük bir yüzdesinin işlem güvenliğini ihmal ettiği unutulmamalıdır.