De beveiligingsactivaties van NFC-betalingen
Het idee om voor iets te betalen zonder uw pincode te gebruiken is niet iets nieuws meer. Desondanks stelt het concept je bloot aan net zoveel kwetsbaarheden (zo niet meer) als voorheen.
Eerder heb ik geschreven over het PIN-vriendelijke mobiele betalingssysteem van Android Pay en de negatieve gevolgen die mensen kunnen ondervinden door hun pincodes te vervangen door biometrische authenticatie. Nu zijn er apparaten zoals NFC-betaalringen die de eerdere kwetsbaarheidsproblemen van andere vergelijkbare oplossingen verder verergeren. Het blijkt dat er een paar dingen zijn die je moet weten voordat je op weg gaat naar de handige weg die contactloze betalingen bieden.
Mensen kunnen luisteren naar transacties
Afluisteren op radiosignalen is veruit een van de oudste praktijken in de moderne geschiedenis. We doen het sinds de eerste wereldoorlog en hebben er de tweede keer op vertrouwd. Apparaten zijn misschien geavanceerder geworden, maar de techniek is nog relatief onaangetast. Je maakt een luisterend apparaat dat afstemt op dezelfde radiofrequentie die door twee andere partijen wordt gebruikt en naar hen luistert.
Hackers en onderzoekers zijn op de hoogte van NFC-afluisteren sinds ten minste 2013, toen sommige mensen een winkelwagentje bouwden dat gemakkelijk naar binnen kon glippen en "kon luisteren" naar transacties die werden gedaan door contactloos betalen. Om dit fenomeen te voorkomen, moeten lezers hun verbindingen van begin tot einde versleutelen. Zelfs dan bestaat de mogelijkheid van afluisteren nog steeds. Om consumenten op een betrouwbare manier te beschermen, is het beter om NFC niet op drukke plaatsen te gebruiken.
De gegevens kunnen ongeldig zijn
Dit specifieke probleem irriteert retailers net zo erg als shoppers. Een hacker kan een apparaat in de buurt van de lezer plaatsen dat de gegevens in de lezer beschadigt, waardoor het onmogelijk is om een aankoop te doen bij dat specifieke loket. Hackers kunnen een stimulans hebben om dit te doen in combinatie met afluisteren om ervoor te zorgen dat de klant zijn saldo niet leegt voordat ze de kans hebben om het te gebruiken.
De oplossing voor dit probleem is hier hetzelfde als voor afluisteren. Winkeliers moeten beveiligde kanalen gebruiken voor het verzenden en ontvangen van gegevens op hun NFC-lezers. Hoewel deze specifieke aanval geen specifieke bedreiging vormt voor de winkelier of de klant (slechts een hoop frustratie), is het de moeite waard te herhalen dat het vooral gevaarlijk kan zijn voor de klant wanneer hackers ervoor kiezen dit te combineren met afluisteren.
De aanval "Man in het midden"
Hier in meer detail beschreven, is een man in het midden (MiM) een verfijnde vorm van afluisteren, waarbij de hacker het gesprek tussen het NFC-apparaat en de lezer die de betaling verwerkt, onderschept en valse informatie naar beide verzendt. Op deze manier kunnen hackers gegevens ongeldig maken (de afvalinformatie van de lezer verzenden zoals ik hierboven heb beschreven) en de NFC-betaling zelf ontvangen op basis van wat het NFC-apparaat probeerde te verzenden naar de lezer.
Vanwege hun verfijning zijn dergelijke aanvallen zeer zeldzaam, maar de kwetsbaarheden die momenteel aanwezig zijn in NFC-transacties creëren een prikkel voor hackers om meer tijd te gaan investeren in het maken van hulpmiddelen voor het uitvoeren van deze aanvallen. Om het nog erger te maken, kunnen hackers actief luisteren naar de verbinding voordat de codering "handshake" is voltooid, waardoor codering op dit moment vrij nutteloos is. Maar één ding dat detailhandelaren kunnen doen, is een actief-passieve communicatiestijl waarbij het NFC-apparaat eenvoudig gegevens verzendt en de lezer de informatie eenvoudig verwerkt en een bevestiging van de aankoop terugstuurt.
Onderschat nooit de zakkenrollers
Natuurlijk, als je niet uitgekeken bent om slim je weg te vinden in betaalportalen, is je beste optie om eenvoudig te pakken wat mensen tegenwoordig gebruiken om te betalen voor dingen. Een kaart is een beetje moeilijker te stelen omdat je normaal de hele portefeuille moet stelen die meestal in een zak zit (sommige mensen gebruiken hun binnenste jaszak voor hun portemonnee, wat dit een grotere uitdaging maakt).
Maar telefoons worden vaak buiten zakken gehouden en raken gemakkelijk kwijt. Zelfs als ze in een zak zitten, zullen de meeste mensen hun telefoons niet zo voorzichtig behandelen als hun portemonnee. NFC-betaalringen nemen dit een beetje verder, omdat het nog gemakkelijker is om ringen te verliezen. Het stelen van hen is slechts een kwestie van het vinden van een geschikt moment wanneer iemand hun ringen afneemt om hun handen te wassen.
Mijn suggestie voor mensen die telefoons gebruiken is ervoor te zorgen dat ze een manier hebben om het apparaat op afstand te vergrendelen als het verloren is gegaan. Anders moet je NFC-betalingen volledig vermijden als het erg belangrijk voor je is om de kans te verkleinen dat je geld wordt gestolen op een van de vervelende manieren die ik hierboven heb beschreven.
Gebruikt u NFC-betalingen? Hoe bescherm je je financiën? Vertel ons in een reactie!