Seguridad de pago sin contacto NFC

Se trata de riesgos ponderados contra beneficios.

Requerir PIN para las transacciones NFC reduciría la ventaja principal de NFC: la velocidad. Los pagos NFC sin PIN se usan solo para pagos de cantidad limitada y generalmente para un número limitado de transacciones y / o una cantidad total limitada de transacciones por día. Quizás también se apliquen otras reglas específicas del banco; al menos mi banco me informó que me podrían pedir un PIN sin llegar a ningún límite. De esta manera, el banco emisor o la compañía de la tarjeta limitan su riesgo (en la UE no es responsable en caso de fraude por más de 150 EUR, siempre y cuando no haya actuado con negligencia) y lo mantiene usando la tarjeta a menudo y obteniendo ganancias. para ellos.

Algunos problemas con los pagos sin contacto y las billeteras digitales:

1. Pérdida o robo: un atacante que obtiene acceso a un dispositivo podría permitir el acceso a la información confidencial y permitir transacciones fraudulentas continuas hasta que se deshabiliten las cuentas y se detecte el fraude. Extraer una tarjeta SIM podría impedir incluso las protecciones de bloqueo y / o bloqueo más incondicionales, e incluso podría escanearse la tarjeta SIM para clonar
2. suplantación de identidad: las etiquetas NFC pueden ser reprogramadas, reemplazadas o subvertidas (por ejemplo, cubiertas) por una nueva etiqueta maliciosa. Los dispositivos con Windows Phone son extremadamente susceptibles de etiquetar ataques, por ejemplo, controladores de protocolo basados en web, pero otros también pueden serlo
3. Skimming: un atacante puede leer información de NFC sin el conocimiento o consentimiento del usuario, a menudo a distancia
4. Escuchas telefónicas: usando una antena, un atacante puede escuchar un intercambio entre dispositivos NFC. Ciertamente, 100 cm de distancia no está fuera de discusión
5. Corrupción de datos: las técnicas estándar de medición, interferencia, interferencia y intercepción (MIJI) son posibles porque la NFC se basa en la frecuencia de radio
6. Modificación / inserción de datos: aunque son más complicados que la corrupción de datos, estos ataques son muy posibles y reales
7. Ataques de retransmisión o proxy: NFCProxy y otros han demostrado que dos dispositivos Android pueden hacer mucho para retransmitir en vivo y / o almacenar para su reproducción en un momento posterior.

Echa un vistazo a estos prezos para obtener solo un montón de información:

• enlace
• enlace
• enlace
• enlace
• enlace

O herramientas: enlace

Puede que me equivoque, pero creo que la NFC se usa solo para pagos pequeños, aquí en Inglaterra la cantidad no puede exceder las 15 libras

enlace

Lo que parece que te estás perdiendo es que youou no están haciendo la compensación de riesgo-seguridad aquí. La decisión de NFC sin PIN depende del banco, porque el banco es responsable de cualquier fraude hasta el límite legal (150 EUR). Si uno de los ladrones ha rozado su pago como usted cree, será su banco el que tiene que pagar los gastos de la transacción, no usted.

Esto, por supuesto, supone que alguien detecta el fraude. Los principales bancos de EE. UU. Tienen algunos sistemas de detección de fraude bastante sofisticados; Si ven una tarjeta utilizada en dos geografías diferentes al mismo tiempo, pueden colocar un bloqueo de fraude en una tarjeta. Y es su responsabilidad leer su factura cada mes y ver los cargos, pero eso no ha cambiado: leer su factura siempre ha sido su responsabilidad. Pero si no lo ven, y tú no lo ves, sí, lo comerás.

Están tratando de hacer las tarjetas más convenientes a sus expensas. ¿Por qué? La intención es que la conveniencia sea un incentivo para que los consumidores usen su NFC por pequeñas cantidades, porque ganan dinero en cada transacción, sin importar lo pequeña que sea. Para este ingreso adicional, están dispuestos a arriesgar algo de dinero en un fraude menor.

Aceptar este riesgo no significa que estén aceptando un gran riesgo. Si le dice a su banco que no realizó un pequeño pago específico sin un PIN, lo revertirán, pero luego marcarán su cuenta y observarán sus quejas con más cuidado. Si demuestra un patrón de denuncia de fraude pero nunca hay pruebas, comenzarán a investigarlo.

Ciertamente, tienen la libertad de cambiar este enfoque si NFC-skips-skimming se convierte en una seria amenaza financiera. Ellos van a vigilar esto de cerca. Si las aplicaciones de skimming se vuelven populares entre la multitud de ladrones, o los bancos comienzan a perder millones de euros cada semana, seguramente cambiarán sus estrategias. Pero hasta que llegue ese día oscuro, esperan beneficiarse de esto.

Como ya lo han dicho otros, las transacciones sin PIN están limitadas a una cierta cantidad (y opcionalmente un cierto número de transacciones después de las cuales es necesaria una transacción de contacto / PIN).

Independientemente de la distinción NFC / contacto, no requerir el PIN de los consumidores para cada transacción también puede ser beneficioso para la seguridad: los PIN que no se ingresan no pueden ser registrados por terminales de pago manipulados; por lo tanto, se reduce la oportunidad para que los skimmers graben el PIN y los datos de la banda magnética.