תוֹכֶן

  1. מה זה NFC?
  2. איך NFC עובד?
  3. כיצד אוכל להפעיל NFC? איך לברר אם יש מודול בסמארטפון?
  4. אבטחת NFC
  5. מיתוסי אבטחה ומחקר אבטחה
  6. סיכום

האם תשלום NFC מאובטח וכיצד להגדיר אותו?

האם תשלום NFC מאובטח וכיצד להגדיר אותו?

בקניית טלפון או טאבלט חדשים לגמרי, המשתמש, ככלל, מקבל מכשיר התומך ב- NFC, אך לעיתים קרובות, מבלי לדעת אפילו אילו יתרונות טכנולוגיה כזו מעניקה. כדאי לדעת אם תשלום NFC מאובטח וכיצד להגדיר אותו לתשלום עבור רכישות ללא קשר.

מה זה NFC?

זוהי טכנולוגיה להעברת מידע למרחקים קצרים, המשלבת קורא וכרטיס חכם למכשיר אחד. האחרון הוא כרטיס פלסטיק עם סימן מסוג RFID, שבזכותו אנשים עוברים בקרוסלות משרדיות ובכבישים פתוחים. כרטיסים בתחבורה הציבורית של הבירה או כרטיס בנק בתשלום ללא מגע הם כרטיס חכם.

מותקן בתוכו שבב אשר ברגע נגיעה במכשיר קריאה (קרוסלת משרד או מכונה של מוסד כלשהו), מחליף מידע תוך שניות ספורות. במילים פשוטות, הוא מעביר נתונים אודות בעליו למערכת האבטחה או מאפשר למשוך סכום כספי ספציפי.

שבב זה נקרא Secure Element והוא משולב בטלפון על ידי היצרן או מונח על כרטיס SD או כרטיס SIM. בלוק ה- NFS, מצידו, מותקן אך ורק במפעל היצרן וממלא את התפקיד של אפשרות בקר. במילים פשוטות, הוא מנהל את המודול הזה.

איך NFC עובד?

הצמדת סמארטפון למכונה כדי לשלם עבור הסחורה היא הרבה יותר נוחה בהשוואה לסחיבת כמה כרטיסי אשראי בכיס.

טכנולוגיית NFC (Near Field Communication) מבוססת על חיבור הדדי של שני סלילים אלקטרומגנטיים, אחד מהם נמצא בסמארטפון, והשני בהתאמה, במכונה. כדי ליזום את הקשר, שני המכשירים חייבים להיות ממוקמים במרחק של לא יותר מ -5 ס"מ אחד מהשני.

האם אתה משתמש ב- NFC?

כיצד אוכל להפעיל NFC? איך לברר אם קיים מודול בסמארטפון?

זה די קל. כדי להבין אם קיים מודול NFC בטלפון או בטאבלט של המשתמש בו פועל אנדרואיד וכדי להפעיל אותו, המשתמש צריך לעבור אל "תצורה" - "תקשורת אלחוטית" - "NFC".

אם למשתמש אין ערך זה בתפריט, אז אין NFC בסמארטפון שלו.

שיטה 1. כרטיס אשראי אנדרואיד

אם למשתמש יש הרגל רע בכל מקום ושוכח כל הזמן את כרטיס האשראי שלו, במצב זה, אם הגאדג'ט שלו מצויד במודול NFC, ניתנת לו האפשרות להפוך את הטלפון שלו לכרטיס אשראי אמיתי. זה נעשה באופן הבא:

  • ראשית, אתה זקוק לכרטיס אשראי התומך בטכנולוגיית ה- paypass;
  • יש צורך להתקין בסמארטפון את התוכנית (לקוח) של בנק המשתמש בו יוצר הכרטיס;
  • פתח את התוכנית המותקנת, מצא את הפרמטר האחראי על NFC ובחר בו. לאחר מכן, יש להניח כרטיס אשראי בגב הטלפון או הטאבלט בכדי להיחשב;
  • לאחר קריאה מוצלחת, תישלח למשתמש סיסמה המורכבת מ -4 מספרים באמצעות SMS, אותה יש לשמור. יש להזין קוד PIN זה כאשר המשתמש מבצע תשלום באמצעות טלפון או טאבלט.

מפתחי המודול טוענים כי ניתן להשתמש בו בטוח מכיוון ש:

  1. על המשתמש להזין תמיד את קוד ה- PIN לפני שהוא קונה משהו.
  2. טווח המעבד NFC הוא 10 ס"מ בלבד (למעשה אפילו פחות).

שיטה 2. תגי NFC

מצב אופייני: אדם התעורר, אכל ארוחת בוקר, הביט במלאי במקרר ופתח את תוכנית Buy Baton או Google Keep כדי להוסיף את מה שצריך לקנות לרשימה. לאחר מכן הוא עוזב את הדירה ומדליק את הרשת הסלולרית, נכנס לרכב ומפעיל GPS, Bluetooth על מנת להגיע בבטחה למקום העבודה. שם הוא מעביר את הסמארטפון למצב רטט ופותח את "Evernote".

כיום, כל הפעולות הללו למעשה יכולות להתבצע לא מכנית, אלא במצב אוטומטי בזכות תגי NFC.

מה דרוש לשם כך:

  1. התקן את תוכנת NFC ReTAG.
  2. מצא תגי NFC או אם למשתמש יש כרטיסי תשלום ללא מגע למטרו או לתחבורה הציבורית, או אולי כרטיסי בנק שכבר נשכחו או שאינם בשימוש התומכים ב- Pay Pass.
  3. פתח את NFC ReTAG, סרוק כרטיס או תג, הוסף אותו ושמו לו כל מה שהמשתמש רוצה.
  4. לאחר מכן, עליך לבחור את הפעולה שתבוצע בסמארטפון כאשר המשתמש מצמיד אותה לתג, ולחץ על כפתור "פעולה".
  5. צור פעולה, למשל, השיק את תוכנית Buy Baton.

לאחר שהמשתמש יצר את הפעולה, תוכלו לצרף כרטיס או תווית למקרר (או לשים אותו ליד). מעתה, בכל פעם שמשתמש נכנס למטבח, ניתנת לו האפשרות להשיק באופן מיידי את תוכנית Buy Baton ולשמור תזכורת עם רשימת הרכישות הנדרשות.

דוגמא! כשאדם נכנס למכונית, נמצא שם תג, לאחר סריקתו, ה- GPS מופעל אוטומטית וה- Bluetooth נפתח.

איך לעשות את זה?

  1. אתה צריך לסרוק כרטיס או תג, לתת לו שם.
  2. ציין פעולה - הפעל את תוכנית ה- GPS, ופתח גם את השידור האלחוטי של מידע Bluetooth.

עֵצָה! עדיף להשאיר את התג ברכב כדי שלא תשכח לסרוק אותו בכל פעם שאתה נכנס לרכב.

אם לטלפון החכם יש זכויות שורש, זה גם יגדיל את האפשרויות להשתמש בתגי NFC ולאדם יהיו יותר "שבבים" לאוטומציה של תהליכי הטלפון או הטאבלט.

שיטה 3. Beam אנדרואיד

זוהי שיטת העברת נתונים (בדומה ל- Bluetooth) באמצעות מעבד NFC. חשוב לזכור שמהירות החלפת הנתונים באמצעות Android Beam נמוכה מאוד, ולכן רצוי להשתמש בה אך ורק להעברת כמות קטנה של טקסט או קישורים.

זה דורש:

  • לחץ על מקש "הרחב";
  • הביאו את שני המכשירים זה לזה;
  • כאשר התמונה בתצוגת המכשיר המשדר הולכת וקטנה, לחץ עליה כדי להתחיל בהעברה.

שיטה 4. טבעת או צמיד NFC

צמיד חכם או טבעת עם אפשרות NFC הוא פרויקט חדשני של מפתחים מסין, שמתאים לטלפונים הפועלים במערכת הפעלה שונים. ניתן לבחור את הצמיד לכל מידת יד (מצב דומה עם טבעת). משקל המכשיר קטן מאוד, אך העיקר שהוא תומך באופן מלא בטכנולוגיית NFC.

את תפקיד השבב, למשל, במכשיר ה- BFC של Band 3, ממלא ערכת שבבים מיוחדת. בעזרת האחרון, הצמיד החכם עוזר לטלפון להעביר מידע בערוץ ללא מגע ובכך לשמור על אבטחה גבוהה. ניתן לשכתב מידע על המכשיר מספר פעמים בלתי מוגבל.

הצמיד מאחסן פרטי חיוב, רשומות ומידע אישי אחר. לא יהיה קשה לצפות במידע - כל שעליך לעשות הוא לחבר את הצמיד לתצוגת הטלפון. תוך שניות ספורות הוא יקים חיבור עם הסמארטפון ויבטל את נעילת התצוגה, וישמש גם כמפתח "חם". לדוגמא, כשאתה מביא את הצמיד לטלפון, המצלמה, הרשת או תוכנית הרשת החברתית מופעלים באותו הרגע.

אפשרויות אחרות

מודולי NFC נמצאים על תוויות בחנויות או במוזיאונים על לוחות מידע, במהלכם המשתמש יועבר לאתר עם מידע מלא אודות המוצר או המדף.

אבטחת NFC

למשתמשים המשתמשים בכרטיסים ללא מגע במשך זמן רב, אין טעם לדבר על מהי טכנולוגיית NFC. אמצעי תשלום זה בטוח יותר מהשיטה הרגילה להפעלת כרטיס PIN במכונה, מכיוון שאיש אינו רואה את הקוד. גם אם הטלפון ייגנב, הגנב לא יוכל למשוך יותר מאלף רובל מהכרטיס בשל המגבלות היעילות בעולם להגבלת הסכומים בעסקאות ללא מגע.

בכמה מדיות יש מידע על האקרים יצרו מסופים, המשמשים במקומות הומים, בגניבת כספים. אבל זה אפשרי רק כשהטלפון אינו נעול.

המלצה! אם התוקף בכל זאת הצליח למשוך כספים באופן לא חוקי, אז לבעל החשבון תמיד יש אפשרות לגשת למוסד בנקאי וליצור עמם קשר בבקשה לעקוב אחר תזוזת הכסף. יתרת ההאקר תימצא באופן מיידי והכספים יוחזרו לבעלים, אם הגנב עדיין לא ניצל אותם.

מיתוסי אבטחה ומחקר אבטחה

כדי להבין את הכל באופן מלא, להלן כל מיני מיתוסים, שמועות ומצבים אמיתיים הקשורים לאבטחת טכנולוגיית NFC.

מֶרְחָק

כרטיסים ללא מגע משמשים להעברת טכנולוגיית NFC מידע, תת קטגוריית RFID. כרטיס האשראי מכיל מעבד ואנטנה המגיבים לבקשה ממסוף תשלום בתדר רדיו של 13.56 מגה-הרץ. מערכות תשלום שונות משתמשות בסטנדרטים משלהן, למשל Visa Pay Wave או MasterCard Pay Pass. אבל כולם מבוססים כמעט על אותו עיקרון.

המרחק להעברת מידע באמצעות NFC משתנה בתוך כמה ס"מ. בהקשר זה, שלב האבטחה הראשון הוא פיזי. למעשה, יש לקרב את הקורא לכרטיס האשראי, שקשה למדי לבצע אותו בסתר.

עם זאת, ניתן ליצור קורא יוצא דופן שעובד למרחק רב. לדוגמא, מדענים מאוניברסיטת סארי בבריטניה הראו את הטכנולוגיה של קריאת מידע NFC במרחק של כ- 80 ס"מ הודות לסורק מעשי.

גאדג'ט זה באמת מסוגל "לסקר" כרטיסים ללא מגע בחשאי במיניבוסים, קניונים, שדות תעופה ומקומות המוניים אחרים. למרבה המזל, במדינות רבות לכל אדם שני יש כרטיסי אשראי מתאימים בארנק.

עם זאת, יש הזדמנות ללכת הרבה יותר רחוק ולעשות בלי סורק ונוכחות אישית. פיתרון יוצא דופן נוסף לבעיית הטווח הוצג על ידי האקרים מספרד. ר 'רודריגז וה' וילה, שהגישו הרצאה במפגש Hack In The Box.

מרבית מכשירי Android החדשים מצוידים בחסימת NFC. יחד עם זאת, גאדג'טים ממוקמים לרוב בסמיכות לארנק - למשל בתיק גב אחד. וילה ורודריגז פיתחו את הרעיון של טרויאני (וירוס) באנדרואיד, שהופך את הטלפון של הקורבן למשהו כמו מהדר אותות NFC.

ברגע שהסמארטפון הנגוע נמצא ליד כרטיס האשראי ללא מגע, הוא שולח אות להאקרים דרך הרשת אודות טווח ההגעה של הפעולה. התוקפים משיקים מסוף תשלומים רגיל ומצמידים אליו טלפון NFC משלהם. לכן, גשר "נבנה" באמצעות רשת בין הטרמינל לכרטיס ה- NFC, שיכולה להיות בכל מרחק זה מזה.

הנגיף יכול להיות מועבר בדרך הרגילה, למשל, בשילוב עם תוכנית בתשלום "פריצה". כל מה שנדרש הוא Android 4.4 ואילך. אין צורך בזכויות שורש, אולם מומלץ כי הנגיף יוכל לתפקד גם לאחר חסימת מסך המכשיר.

קריפטוגרפיה

כמובן שגישה למפה היא 50% מוצלחת. בעקבות זאת, יש צורך לפרוץ מחסום חזק בהרבה, שמבוסס על הצפנה.

עסקאות ללא מגע מוגנות באותו תקן EMV כמו כרטיסי מעבד. בהשוואה למסלול המגנט, המועתק בפועל, מהלך כזה לא יעבוד עם המעבד. לבקשת המסוף, המעגל המיקרו יוצר מפתח חד פעמי בכל פעם. אפשר ליירט מפתח כזה, אך הוא כבר לא יתאים לפעולה שלאחר מכן.

מדעני האבטחה הטילו ספק לאבטחת EMV יותר מפעם אחת, אך עד היום לא נמצאה עקיפה בחיים האמיתיים.

יש, אגב, ניואנס אחד. ביישום הרגיל, אבטחת כרטיסי העיבוד מבוססת על שילוב של מפתחות קריפטו ו- PIN של קלט אנושי. בתהליך של עסקאות ללא מגע, לרוב אין צורך בקוד ה- PIN, ולכן נותרים רק מפתחות ההצפנה של מעבד הכרטיס והמסוף.

סכום רכישה

יש שלב אבטחה נוסף - מגבלת הסכום המרבי של עסקאות ללא מגע. מגבלה זו בתצורת ציוד הטרמינל נקבעת על ידי הרוכש (בנק), שמונחה על ידי ייעוץ של מערכות תשלום. בפדרציה הרוסית, סכום התשלום המקסימלי הוא אלף רובל, ובאמריקה הסף הוא 25 דולר.

תשלום עבור סכום גדול יידחה, או שהמכונה תתחיל לדרוש זיהוי עזר (חתימה או קוד PIN), הכל תלוי בתצורת הרוכש - מנפיק הכרטיס. במהלך ניסיונות למשוך לסירוגין כמה סכומים הנמוכים מהמגבלה, יש להפעיל גם את מערכת הבטיחות העזרית.

אבל יש כאן גם ספציפיות. קבוצה אחרת של מדענים מאוניברסיטת ניוקאסל מבריטניה כמעט שנה קודם לכן אמרה כי מצאו פרצה בביטחון עסקאות ללא מגע של מערכת התשלומים של ויזה.

אם אתה מבקש תשלום לא בלירות שטרלינג, אלא במטבע חוץ אחר, מגבלת הסכום אינה כלולה. ואם הטרמינל אינו מחובר לרשת העולמית, הסכום המרבי של פעולת האקרים יכול להגיע למיליון יורו.

עובדי מערכת התשלומים של ויזה הכחישו את יישום פריצה שכזו בפועל, ואמרו כי מערכות האבטחה של הבנק יסרבו להפעיל. אם אתה מאמין למילים של Taratorin מ- Raiffeisenbank, המסוף שולט על סכום הסף של התשלום, ללא קשר לאיזה מטבע הוא בוצע.

סיכום

לסיכום, יש לציין כי הטכנולוגיה של תשלומים ללא מגע, מכוסה למעשה בהגנה רב-מפלגתית מצוינת, אך אין זה אומר כלל שכספי המשתמשים בטוחים בה. יותר מדי בכרטיסים של מוסדות בנקאיים מקושרים טכנולוגיות מאוד "ישנות" (רצועת מגנט, תשלום ברשת ללא אימות נוסף וכו ').

בנוסף, טמון הרבה בקשב של תצורה של מוסדות פיננסיים וחנויות קמעונאיות מסוימות. ראוי לציין כי האחרונים, במרוץ לרכישות מהירות ואחוז קטן של "סלים נטושים", מזניחים את אבטחת העסקה.

מחשבים

ספּוֹרט

יוֹפִי