Érinteni vagy nem érinteni: biztonságosabbak az NFC-fizetések?

2024.01.16.

A mágnescsíkos bankkártyák nagyjából 20 évvel ezelőtt jöttek divatba, de amellett, hogy az aláírások szükségessége megnehezítette a tranzakciókat, nem rendelkeztek megfelelő adattitkosítással. Biztonsági szempontból egyértelmű előrelépést jelentettek utódaik, a chipalapú kártyák, melyek az adattitkosítás révén fokozott biztonságot nyújtanak. Kutatóink szerint ezek a kártyák továbbra is alkalmasak klónozásra vagy adatlopásra, bár az ilyen bűncselekmények elkövetése nagyobb kihívást jelent a bűnözők számára, mint a mágnescsíkos kártyák esetében. Közben pedig az érintésmentes fizetések egyre gyakoribbak – de vajon biztonságosabbak, mint a hagyományos fizetési módok?

Az NFC-szabvány

A 2010-es évek második felében új fizetési szabványként jelent meg a rádiófrekvenciás azonosításból (RFID) kifejlesztett közelmezős kommunikáció (NFC). Ezzel a technológiával az eredeti chipalapú kártyák még felhasználóbarátabbá váltak, mivel ahelyett, hogy a fizetési terminálokba és ATM-ekbe kellene behelyezni őket, a pénz küldéséhez elég egy NFC-kompatibilis fizetési eszközhöz tartani a kártyát.

Hogy mi lehet fizetési eszköz? Az érintésmentes kártyák mellett ma már a telefonok is képesek ezt a funkciót ellátni olyan szolgáltatásokon keresztül, mint az Apple Pay vagy a Google Pay, amelyek a kártyaadatok feltöltése után lehetővé teszik, hogy a telefonnal fizessünk.

A folyamat, amelyen keresztül az NFC-fizetés történik, nagyon hasonlóan működik a Bluetooth vagy más vezeték nélküli kommunikációs rendszerekhez, mivel rádióhullámokat használ a továbbított információk aktiválásához és hitelesítéséhez. Ezt az adatot aztán egy antenna dekódolja. Pontosabban, fizetés esetén a terminál információt kap a telefontól, amelyet aztán feldolgoz és továbbít az elfogadó bank felé, egyszerűsítve a tranzakciót.

Mennyire biztonságos az NFC?

Mivel elsődleges alkalmazása az érintés nélküli tranzakciók megkönnyítése, feltételezhetnénk, hogy az NFC teljesen biztonságos, igaz? Valahogy így is van. Kiberbiztonsági szakértőink szerint a vezeték nélküli kommunikáció más módjaival összehasonlítva sokkal nehezebb feltörni, mivel működtetéséhez kis távolságra van szükség. Ez viszont nem jelenti azt, hogy teljesen elkerülhetőek a kibertámadások.

Hogy miként próbálják a kiberbűnözők a bankkártyáinkról megszerezni a pénzünket, erről szól a Hackfelmetszők – Veled is megtörténhet kiberbiztonsági podcastünk legújabb adása is, melyben szóba kerültek a Magyarországon legelterjedtebb csalásformák, például a callcenteres csalások és az adathalász sms-ek, az AI egyre erőteljesebb szerepe a csalásokban, valamint az, hogy mely esetekben fizetnek a bankok kártérítést ügyfeleiknek.

A biztonság nem magától értetődő

Noha az NFC-technológia biztonságosabb, különösen a fizetési műveletek során, ez nem jelenti azt, hogy sérthetetlen. A támadók ugyanis kihasználhatnak bizonyos sebezhetőségeket, hogy megszerezzék, amit akarnak.

Egy kutató például 2021-ben bemutatott egy támadást, amelyben egy Android-alkalmazást fejlesztett. Az appot használva a telefonjával egyszerűen "integetett" az NFC-kompatibilis ATM-eknek, így kártyaadatokhoz és érzékeny információkhoz jutott hozzá. Ez az említett gépek bizonyos szoftverhibái miatt volt lehetséges, és ez a fizetési terminálok más típusainál is előfordulhat.

Mivel az NFC-fizetések a kényelmi szempontokra épülnek, bizonyos összeghatár és tranzakciószám alatt használatuk során nincs szükség további hitelesítésre (például PIN-kódra), amit egy hagyományos chipalapú kártya megkövetelne. Tehát, ha valaki megszerzi a bankkártyánkat, könnyen lophat a kártyánkkal fizetve anélkül, hogy (egy meghatározott értékig, itthon ez vásárlásonként 15000 forint és 5 tranzakció) kódot kérne a rendszer.

Biztonságosabbak a telefonos fizetések?

Ahogyan már említettük, az NFC a telefonokon is használható. De vajon ez a módszer biztonságosabb, mint a kártyás fizetés? Tekintettel arra, hogy az Apple Pay vagy a Google Pay további biztonsági megoldásokat követel meg PIN-kód, ujjlenyomat, arcszkennelés vagy egyéb, a telefonon rendelkezésre álló funkció formájában, valóban ad némi extra biztonságot. Emellett mindkét fizetési szolgáltatás csak akkor működik, ha engedélyezve van az eszközön, így kisebb az esélye annak, hogy valaki spontán kezdeményezzen tőlünk fizetést. Ahogy a plasztikkártyák esetében úgy az Apple vagy a Google Pay használatával sem továbbítjuk a számlánk adatait, és ha elveszítjük a készülékünket, ezeket a szolgáltatásokat könnyen letilthatjuk távolról.

Hogyan tehetjük biztonságosabbá az érintés nélküli fizetéseket?

Csizmazia-Darab István, IT-biztonsági tanácsadónk összegyűjtött néhány módszert, amelyekkel biztonságosabbá tehetjük az érintésmentes fizetéseket:

• Állítsunk be alacsony fizetési limiteket – A bankon keresztül, akár online a pénzintézet applikációján keresztül is beállíthatunk egy maximiális limitösszeget, amennyiért vásárolhatunk.
• Használjunk telefonos fizetést – Bár ezeknek az alkalmazásoknak is lehetnek hibáik, az extra hitelesítési követelmények által mégis biztonságosabbak, mint az NFC-s kártyák.
• Használjunk egyszer használatos vagy virtuális kártyát: ne adjuk meg a saját, bankszámlánkhoz tartozó kártyaadatokat online fizetéskor, hanem használjunk egyszer használatos, vagy olyan virtuális kártyát, melyre csak a vásárlás pillanatában töltjük fel a szükséges összeget.

Mindez csak néhány módszer, amelyeket megfontolhatunk a fizetések biztonságosabbá tétele érdekében. Ha meg szeretné ismerni, hogy milyen módszerekkel dolgoznak a csalók, hogy megszerezzék a bankkártya adatokat, hallgassa meg a Hackfelmetszők – Veled is megtörténhet! legújabb adását – hogy megismerve a csalók módszereit, ne tudják átverni a pénzére áhítozó csalók.

Természetesen egyetlen biztonsági megoldás sem adhat 100 százalékos garanciát, de már kis, egyszerű lépésekkel is sokat tehetünk azért, hogy csökkentsük a balesetek valószínűségét.