Sikkerhetsgrensene til NFC Betalinger
Ideen om å betale for noe uten å bruke PIN-nummeret ditt, er ikke noe nytt lenger. Til tross for dette uttrykker konseptet deg til like mange sårbarheter (om ikke mer) enn det gjorde før.
Tidligere har jeg skrevet om Android Pays PIN-mindre mobilbetalingssystem og de negative konsekvensene folk kan lide ved å erstatte PIN-koden med biometrisk autentisering. Nå er det enheter som NFC-betalingsringer som ytterligere forverrer de tidligere sikkerhetsproblemer med andre lignende løsninger. Det viser seg at det er et par ting du bør vite før du hopper inn i båndvognen av bekvemmelighet som kontaktfrie betalinger gir.
Folk kan høre på transaksjoner
Avlytning på radiosignaler er uten tvil en av de eldste praksisene i moderne historie. Vi har gjort det siden første verdenskrig og har stolt på det tungt andre gang. Enheter kan ha blitt mer avanserte, men teknikken er fortsatt relativt uberørt. Du lager en lyttingsenhet som stemmer inn i samme radiofrekvens som to andre parter bruker og hører inn på dem.
Hackere og forskere har vært oppmerksom på NFC-avlytting siden minst 2013 da noen mennesker laget en handlekurv som lett kunne gå inn og "lytte" til transaksjoner som ble gjort ved kontaktfri betaling. For å forhindre et slikt fenomen, må leserne kryptere deres tilkoblinger fra ende til slutt. Selv da eksisterer muligheten for avlytting fortsatt. For forbrukerne å være pålitelig, er det bedre å unngå å bruke NFC på overfylte steder.
Dataene kan ugyldiggjøres
Dette bestemte problemet irriterer forhandlere like mye som kunder. En hacker kan plassere en enhet i nærheten av leseren som korrumperer dataene som går inn i leseren, noe som gjør det umulig å foreta et kjøp på den aktuelle disken. Hackere kan ha et incitament til å gjøre dette i forbindelse med avlytting for å sikre at kunden ikke tømmer balansen før de har mulighet til å bruke den.
Løsningen på dette problemet er det samme her som det er for avlytting. Forhandlere bør bruke sikre kanaler for overføring og mottak av data på sine NFC-lesere. Selv om dette angrepet ikke utgjør en spesiell trussel mot enten forhandleren eller kunden (bare mye frustrasjon), er det verdt å gjenta faktum at det kan være spesielt farlig for kunden når hackere velger å kombinere dette med avlytting.
"Man i midten" angrep
Beskrevet i bedre detalj herover, er en mann i midten (MiM) angrep en sofistikert form for avlytting der hackeren vil avskjære samtalen mellom NFC-enheten og leseren behandler betalingen og sender falsk informasjon til begge. På denne måten kan hackere ugyldiggjøre data (sende leseren søppelinformasjonen som beskrevet ovenfor) og motta NFC-betalingen selv basert på hva NFC-enheten prøvde å sende til leseren.
På grunn av deres raffinement er slike angrep svært sjeldne, men de sårbarhetene som nå finnes i NFC-transaksjoner, gir et incitament for hackere til å begynne å investere mer tid i å lage verktøy som utfører disse angrepene. For å gjøre saken verre, kan hackere aktivt høre på forbindelsen før krypteringen "håndtrykk" er fullført, noe som gjør kryptering heller ubrukelig på dette punktet. Men en ting detaljister kan gjøre er å ha en aktiv passiv kommunikasjonsform der NFC-enheten bare sender over dataene sine, og leseren behandler bare informasjonen og sender tilbake kjøpbekreftelsen.
Undervurder aldri Pickpocketers
Selvfølgelig, når du ikke er kuttet ut for å klare hacking deg inn i betalingsportaler, er det beste alternativet å bare ta tak i hva folk bruker til å betale for ting i disse dager. Et kort er litt vanskeligere å stjele siden du vanligvis må stjele hele lommeboken som sitter inne i lommen mesteparten av tiden (noen bruker sin innsiden lomme for lommeboken, noe som gjør dette mer utfordrende).
Men telefoner holdes ofte utenfor lommene og går seg fort. Selv om de er i lomme, vil de fleste ikke behandle sine telefoner med så stor omsorg som de gjør sine lommebøker. NFC betalingsringer tar dette litt lenger siden det er enda lettere å miste ringer. Å stjele dem er bare et spørsmål om å finne et passende øyeblikk når noen tar av ringene sine for å vaske hendene.
Mitt forslag til personer som bruker telefoner, er å sørge for at de har noen måte å eksternt låse enheten ned hvis den går tapt. Annet enn det, bør du unngå NFC-betalinger helt hvis det er svært viktig for deg å minimere sjansene for at pengene dine blir stjålet på noen av de ekle måtene jeg har beskrevet ovenfor.
Bruker du NFC-betalinger? Hvordan beskytter du økonomien din? Fortell oss i en kommentar!