Современные смартфоны и смарт-часы приучили нас расплачиваться в магазинах бесконтактно, то есть — через NFC. И даже когда Apple и Google отрубили Apple Pay и Google Pay для российских банковских карт, местные банки решили этот вопрос при помощи специальных стикеров за 700 рублей. Да, дорого, но приучать себя снова ходить с банковской картой или оплачивать через QR там, где это невозможно — нет, спасибо.
И этим пользуются злоумышленники, они же хакеры. В этой статье я не буду пугать вас байками о том, что они могут незаметно подойти к вам общественном транспорте, прислонить шпионское устройство к смартфону или часам и забрать все деньги. Вместо этого мы посмотрим на все популярные и известные способы кражи денег через NFC. А также как можно защититься от этого.
1. Скимминг
Скимминг — один из самых незаметных способов кражи денег с банковской карты или смартфона. Дело в том, что преступники вставляют в банкоматы или другие места частой оплаты через карточки фальшивые считыватели карт. По дизайну они мало чем отличаются от оригинала, но при должной силе их можно «сорвать» и вытащить из, например, банкомата.
Чтобы обезопасить себя от скимминга, делайте следующее:
- Всегда проверяйте считыватели карт на компоненты, которые кажутся «не к месту» и слабо прикрученными;
- Используйте бесконтактный способ оплаты только в популярных для этого местах: магазинах, бизнес-офисах, метро или банковских отделениях;
- Не выключайте платное СМС-уведомление, которое оповещает о сомнительных транзакциях по вашим картам. Какие-то 50 рублей в месяц могут заранее оповестить вас об опасности, чтобы вы быстро заблокировали карту через приложение или звонок банку.
2. Перехват данных
Перехват данных о банковских транзакциях (NFC-оплата) уже относится больше к хакингу. Для этого используются специализированные устройства, например, Flipper Zero. Сложность перехвата данных в том, что злоумышленник должен встать между вами и банком в ту секунду, как вы подносите часы или смартфон к NFC-считывателю.
Цель хакера в данном случае — перехватить транзакцию и увести ваши деньги на свой счёт. А может и прочитать информацию, которая позволит «подглядывать» за вашими покупками, чтобы ударить в самый неподходящий момент. Например, когда на вашей карте скопилась круглая сумма.
Вот способы себя защитить:
- Используйте приложения для оплаты, которым можно довериться. В таких сервисах используется токенизация и шифрование. Например, при каждой NFC-оплате в автобусе будет разный шифр и токен, и если его как-то изменить и он не будет совпадать из-за хакера, то транзакция просто не пройдёт;
- Обновляйте ОС вашего смартфона и приложения;
- Не используйте публичные Wi-Fi для NFC-транзакций. Да и вообще меньше пользуйтесь публичным Wi-Fi. У меня есть опыт «по другую сторону», поэтому профессиональная рекомендация.
3. Заражённые NFC-теги
NFC-теги часто используются при создании системы «умный дом», а также как альтернатива QR-кодам для скана промо-материалов на улице и в публичных помещениях.
Считайте меня старым, но я бы никогда в жизни не стал использовать свой NFC-смартфон с неизвестными мне тегами. Я не могу быть уверен, что это не очередная затея хакеров. Тем более что особо смышлёные злоумышленники могут подстроить всё так, что вы подумаете, что после сканирования поучаствуете в лотерее или акции. То есть это уже социальная инженерия.
Как обезопасить себя от NFC-хакеров?
- Не используйте NFC в незнакомых и малолюдных местах;
- Часто проверяйте банковские транзакции;
- Обновляйте приложения;
- Подключите бесплатный антивирус, например, Касперский. История из жизни — я один раз скачал игру из, как мне казалось, источника с репутацией. В итоге в установочном файле .exe был троянский конь, причём системы Касперского знают о нём ещё с 2016 года. Если бы на моём устройстве не было антивируса, то оно бы было заражено;
- Используйте PIN или биометрическое подтверждение оплаты: ваше лицо или отпечаток пальца;
- Не делитесь информацией о вашей карточке скриншотами по соцсетям. Это можно считать паранойей, но если ваш друг или родственник попросил скинуть ему в мессенджере фото вашей карты, то лучше перезвонить ему и спросить, зачем ему это нужно.