Sicurezza di pagamento contactless NFC

17

Questo mi disturba davvero.

Fino a poco tempo le carte di debito con un chip elettronico erano la forma di pagamento elettronica più popolare disponibile in Polonia (scommetterei anche in altri paesi europei). Sembra anche abbastanza sicuro: per poter effettuare qualsiasi tipo di acquisto (da un bancomat o in un negozio), l'utente deve fornire un codice PIN. Sebbene detto PIN non sia particolarmente lungo, è lì per fornire un ulteriore livello di sicurezza: il primo è la carta stessa.

Negli ultimi tempi le carte PayPass (o simili) hanno guadagnato popolarità e sembra che le banche stiano spingendo queste carte sul pubblico. Queste carte possono comportarsi come le normali carte di debito descritte sopra, ma puoi anche usarle per effettuare pagamenti usando NFC.

Ecco il grosso problema: quando si effettua un pagamento tramite NFC, l'utente non ha bisogno di inserire il PIN.

Mi sembra che con una tecnologia wireless come questa, un PIN dovrebbe essere un requisito preciso in quanto ritiene che la tecnologia non sia particolarmente sicura. Un esempio di questo è l'attacco proxy, in cui una persona con un telefono cellulare riceve alcuni oggetti in un negozio e va a pagarli, mentre un'altra persona con un telefono cellulare cerca una carta PayPass da leggere (su un treno affollato / bus / stazione / ecc.). A seconda della tecnologia utilizzata, queste carte possono essere lette anche a una certa distanza.

Il che mi riporta alla questione dei PIN ... Perché i PIN non sono sempre un requisito quando si paga utilizzando NFC?

EDIT:
Mi rendo conto che l'importo che puoi pagare per l'utilizzo di NFC è limitato *. Tuttavia, per quanto riguarda la convenienza (non è necessario mettere la carta in / swipe portafoglio) sembra che stiamo facendo trading di sicurezza E un po 'di comodità per ... un po' più di convenienza.

Cosa intendo: così com'è, puoi pagare piccole cose semplicemente facendo scorrere la carta. Grande. Ma inserire un pin a 4 cifre dopo lo swiping non dovrebbe essere un problema, giusto? E quindi non avresti bisogno di limitare l'importo che puoi pagare. Potresti comunque tenere la carta nel tuo portafoglio, e il tutto sarebbe altrettanto veloce. Infatti, idealmente, potresti avere un limite "senza PIN" come è ora, ma consentire transazioni NFC oltre tale importo ... basta richiedere il PIN! O ci sono altri problemi tecnici / di sicurezza con PIN e NFC in generale?

* Anche se sembra che questo limite possa essere facilmente modificato, non ho mai sentito parlare di una banca (almeno in Polonia) che consenta effettivamente al cliente di effettuare un tale cambiamento. So che ho provato a chiamare direttamente la mia banca e sono stato informato che è impossibile ...

    
posta Shaamaan 02.09.2014 - 12:27
fonte

5 risposte

6

Si tratta di rischi ponderati rispetto ai benefici.

Richiedere il PIN per le transazioni NFC ridurrebbe il vantaggio principale dell'NFC: la velocità. I pagamenti NFC senza PIN vengono utilizzati solo per pagamenti di importo limitato e in genere per numero limitato di transazioni e / o quantità totale limitata di transazioni al giorno. Forse si applicano anche altre regole specifiche per le banche; almeno sono stato informato dalla mia banca che potrei chiederti il PIN senza raggiungere alcun limite. In questo modo la banca emittente della carta o la società emittente della carta ne limitano il rischio (in UE non sei responsabile in caso di frode per più di 150 euro se non hai agito con grave negligenza) e tieni spesso la carta in uso e guadagni profitto per loro.

    
risposta data 02.09.2014 - 14:04
fonte
5

Alcuni problemi con pagamenti contactless e portafogli digitali:

  1. Perdita o furto: un utente malintenzionato che ha accesso a un dispositivo potrebbe consentire l'accesso alle informazioni riservate e consentire transazioni fraudolente continue fino a quando gli account non vengono bloccati e / o viene rilevata una frode. Tirare una scheda SIM potrebbe impedire anche il blocco più svelto e / o protezioni di blocco, e la scheda SIM potrebbe anche essere scansionata per clonare
  2. Spoofing: i tag NFC possono essere riprogrammati, sostituiti o sovvertiti (ad es. coperti) da un nuovo tag dannoso. I dispositivi Windows Phone sono estremamente suscettibili di taggare gli attacchi, ad esempio i gestori di protocolli basati sul Web, ma anche altri potrebbero essere
  3. Sfioramento - Un utente malintenzionato può leggere informazioni da NFC senza la conoscenza o il consenso dell'utente, spesso a distanza
  4. Intercettazione - Utilizzando un'antenna, un utente malintenzionato può ascoltare uno scambio tra dispositivi NFC. Certamente la distanza di 100 cm non è fuori questione
  5. Corruzione dei dati - Le tecniche standard di meaconing, interferenza, jamming e intercettazione (MIJI) sono possibili perché NFC si basa sulla radiofrequenza
  6. Modifica / inserimento dati - sebbene più complicati della corruzione dei dati, questi attacchi sono molto possibili e reali
  7. Relay o proxy, attacchi - NFCProxy e altri hanno dimostrato che due dispositivi Android possono fare molto per trasmettere relay e / o store per la riproduzione in un secondo momento

Dai un'occhiata a questi prezos solo per una tonnellata di informazioni:

O strumenti: link

    
risposta data 19.04.2015 - 08:08
fonte
1

Potrei sbagliarmi, ma penso che NFC sia usato solo per piccoli pagamenti, qui in Inghilterra l'importo non può superare i 15 sterline

link

    
risposta data 02.09.2014 - 12:35
fonte
1

Ciò che sembra mancare è che tu non stai facendo il compromesso sulla sicurezza del rischio qui. La decisione NFC-senza-PIN dipende dalla banca, perché la banca è responsabile per qualsiasi frode fino al limite legale (150 EUR). Se il tuo pagamento viene scremato da uno dei ladri come temete, sarà la tua banca a dover pagare la spesa della transazione, non tu.

Questo, naturalmente, presuppone che qualcuno rilevi la frode. Le principali banche statunitensi dispongono di sistemi di rilevamento delle frodi piuttosto sofisticati; se vedono una carta utilizzata in due diverse aree geografiche allo stesso tempo, possono piazzare un blocco di frode su una carta. Ed è tua responsabilità leggere il tuo conto ogni mese e guardare le accuse, ma questo non è cambiato - la lettura del conto è sempre stata una tua responsabilità. Ma se non lo vedono, e non lo vedi, sì, lo mangierai.

Stanno cercando di rendere le carte più convenienti a proprie spese. Perché? L'intento è che la convenienza sarà un incentivo per i consumatori a utilizzare la propria NFC per piccole quantità, perché fanno soldi su ogni transazione, non importa quanto piccola. Per questo reddito extra, sono disposti a rischiare soldi per frodi minori.

Accettare questo rischio non significa che stanno accettando un sacco di rischi. Se comunichi alla tua banca di non aver effettuato un piccolo pagamento specifico senza un PIN, lo annulleranno, ma in seguito contrassegno il tuo account e guarderà più attentamente i tuoi reclami. Se si dimostra un modello di segnalazione di una frode, ma non ci sono mai prove, inizieranno a indagare su di te.

Sono certamente liberi di cambiare questo approccio se lo skimming NFC-relay diventa una seria minaccia finanziaria. Lo monitoreranno da vicino. Se le app di skimming diventano popolari tra la folla di ladri, o le banche iniziano a perdere milioni di euro ogni settimana, cambieranno sicuramente le loro strategie. Ma fino a quando arriva quel giorno buio, si aspettano di trarne profitto.

    
risposta data 25.02.2016 - 20:13
fonte
0

Come altri hanno già notato, le transazioni senza PIN sono limitate a un determinato importo (e facoltativamente un certo numero di transazioni dopo le quali è necessaria una transazione contatto / PIN).

Indipendentemente dalla distinzione NFC / contatto, non richiedere il PIN del consumatore per ogni transazione può anche essere vantaggioso per la sicurezza: i PIN che non sono immessi non possono essere registrati da terminali di pagamento manipolati; Viene così ridotta l'opportunità per gli skimmer di registrare il PIN e i dati della banda magnetica.

    
risposta data 05.09.2014 - 16:12
fonte

Leggi altre domande sui tag