אזהרות האבטחה של תשלומי NFC

As advertências de segurança de pagamentos NFC
⏱️ 1 min read

הרעיון של לשלם עבור משהו מבלי להשתמש במספר ה-PIN שלך אינו חדש יותר. למרות זאת, הקונספט חושף אותך לפגיעויות רבות (אם לא יותר) מבעבר.

מוקדם יותר כתבתי על מערכת התשלום הסלולרית ללא PIN של Android Pay ועל ההשלכות השליליות שאנשים יכולים לסבול מהחלפת מספרי ה-PIN שלהם באימות ביומטרי. עכשיו יש מכשירים כמו צלצול תשלום NFC שמחריפים עוד יותר את בעיות הפגיעות הקודמות של פתרונות דומים אחרים. מסתבר שיש כמה דברים שכדאי לדעת לפני שקופצים על עגלת הנוחות שמציעים תשלומים ללא מגע.

יער אילנות (הארבורט...
יער אילנות (הארבורטום הלאומי)

אנשים יכולים לשמוע את העסקאות

האזנה לאותות רדיו היא ללא ספק אחת השיטות העתיקות ביותר בהיסטוריה המודרנית. אנחנו עושים את זה מאז מלחמת העולם הראשונה וסמכנו על זה מאוד בפעם השנייה. המכשירים אולי הפכו מתקדמים יותר, אבל הטכניקה עדיין שלמה יחסית. אתה יוצר מכשיר האזנה שמכוון לאותו תדר רדיו שבו משתמשים שני גורמים אחרים ומאזין להם.

האקרים וחוקרים היו מודעים לצותת NFC מאז 2013 לפחות, כאשר חלק מהאנשים יצרו עגלת קניות שיכולה להיכנס בקלות ו”להקשיב” לעסקאות שבוצעו באמצעות תשלום ללא מגע. כדי למנוע מתופעה כזו להתרחש, הקוראים צריכים להצפין את החיבורים שלהם מקצה לקצה. למרות זאת, האפשרות של ריגול עדיין קיימת. כדי שהצרכנים יהיו בטוחים ואמינים, עדיף להימנע משימוש ב-NFC במקומות צפופים.

ניתן לבטל נתונים

nfchack-תשלום

בעיה מסוימת זו מטרידה את הקמעונאים באותה מידה שהיא מטרידה את הקונים. האקר יכול למקם מכשיר ליד הקורא המשחית את הנתונים שעוברים לקורא, מה שהופך את זה לבלתי אפשרי לבצע רכישה בדלפק המסוים הזה. להאקרים עשוי להיות תמריץ לעשות זאת בשילוב עם ריגול כדי להבטיח שהלקוח לא מרוקן את היתרה שלו לפני שהייתה להם הזדמנות להשתמש בה.

הפתרון לבעיה זו זהה כאן כמו עבור ריגול. קמעונאים חייבים להשתמש בערוצים מאובטחים כדי לשדר ולקבל נתונים על קוראי ה-NFC שלהם. אמנם המתקפה הספציפית הזו אינה מהווה איום ספציפי על הקמעונאי או על הלקוח (סתם תסכול רב), אבל כדאי לחזור על העובדה שהיא עלולה להיות מסוכנת במיוחד ללקוח כאשר האקרים בוחרים לשלב זאת עם ריגול.

ההתקפה של “האיש באמצע”

המתואר כאן ביתר פירוט, מתקפה של גבר באמצע (MiM) היא צורה מתוחכמת של האזנה שבה ההאקר יירט את השיחה בין מכשיר ה-NFC לקורא המעבד את התשלום וישלח מידע שקרי לשניהם. כך, האקרים יכולים לבטל את תוקף הנתונים (שליחת מידע חסר תועלת לקורא כפי שתיארתי למעלה) ולקבל את תשלום ה-NFC על סמך מה שמכשיר ה-NFC ניסה לשלוח לקורא.

בשל התחכום שלהן, התקפות אלו נדירות מאוד, אך נקודות התורפה הקיימות כיום בעסקאות NFC יוצרות תמריץ להאקרים להתחיל להשקיע יותר זמן ביצירת כלים שיבצעו את התקפות אלו. כדי להחמיר את המצב, האקרים יכולים להאזין באופן פעיל לחיבור לפני ש”לחיצת היד” של ההצפנה הושלמה, מה שהופך את ההצפנה די חסרת תועלת בשלב זה. אבל דבר אחד שהקמעונאים יכולים לעשות הוא לקיים סגנון תקשורת אקטיבי-פאסיבי שבו מכשיר ה-NFC פשוט שולח את הנתונים שלו והקורא פשוט מעבד את המידע ושולח בחזרה את אישור הרכישה.

לעולם אל תזלזל בכייסים

nfchack-ארנק

כמובן, כאשר אתה לא חייב לפרוץ במיומנות את פורטלי התשלומים שלהם, האפשרות הטובה ביותר שלך היא פשוט לקחת את מה שאנשים משתמשים כדי לשלם עבור דברים בימינו. כרטיס קצת יותר קשה לגנוב מכיוון שבדרך כלל תצטרך לגנוב את כל הארנק שנמצא בתוך הכיס רוב הזמן (יש אנשים שמשתמשים בכיס המעיל הפנימי לארנקים, מה שהופך את זה למאתגר יותר).

אבל טלפונים נשמרים לעתים קרובות מהכיס והם הולכים לאיבוד בקלות. גם אם הם בכיס שלך, רוב האנשים לא יתייחסו לטלפונים שלהם בזהירות כמו שהם מתייחסים לארנק שלהם. טבעות התשלום של NFC הולכות צעד קדימה מכיוון שקל אפילו יותר לאבד טבעות. לגנוב אותם זה רק עניין של מציאת הרגע המתאים למישהו להוריד את הטבעות שלו לשטוף ידיים.

ההצעה שלי לכל מי שמשתמש בטלפונים היא לוודא שיש דרך כלשהי לנעול את המכשיר מרחוק אם הוא הולך לאיבוד. מלבד זאת, עליך להימנע לחלוטין מתשלומי NFC אם חשוב לך מאוד למזער את הסיכוי שכספך ייגנב בכל אחת מהדרכים המגעילות שתיארתי למעלה.

האם אתה משתמש בתשלומי NFC? איך אתה מגן על הכספים שלך? ספרו לנו בתגובה!

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

You may also like...

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x