Исследование безопасности бесконтактных платежей

Размещено на http://www.allbest.ru/

Исследование безопасности бесконтактных платежей

В статье будет предложена новая методика для обеспечения безопасности бесконтактных платежей. Новая методика значительно повышает безопасность бесконтактных платежей смартфонов с поддержкой NFC и банковских карт с аналогичным чипом. Были выявлены актуальные угрозы в системе бесконтактной оплаты. Проводится анализ защищенности системы бесконтактных платежей и на основе выявленных угроз безопасности разрабатываются рекомендации по их устранению и повышению уровня безопасности использования бесконтактных платежей.

Оплата «в одно касание» происходит с использованием технологии NFC (Near Field Communication) при помощи специальной банковской карты или смартфона, которые в свою очередь обеспечивают поддержку бесконтактной оплаты. Банки и производители электроники, которые осуществляют поддержку бесконтактных платежей, уверяют, что платежи являются безопасными, и делают акцент на простом и быстром механизме оплаты. При использовании такого способа оплаты легко убедиться в легкости использования и скорости свершения операций, однако в безопасности использования такого механизма оплаты стоит разобраться.

Основные угрозы при использовании NFC-платежей

Не смотря на то, что при обмене информацией между картой или смартфоном в режиме эмуляции карты и ридером применяется шифрование, часть информации остается открытой. К тому же информация, которую хранит карта, так же не вся зашифрована. Злоумышленник может прослушивать эфир во время проведения транзакций по бесконтактной карте для выявлений необходимой информации или же считать информацию с самой банковской карты. Данный вид угрозы представляет собой подслушивание информации.

Стандарт EMV допускает хранение конкретных данных в незашифрованном виде в памяти чипа карты. К таким сведениям могут иметь отношение номер карты, несколько последних совершенных операций и так далее. Какие именно данные находятся в открытом виде на карте определяет банк-эмитент, а также платежная система. Подобные данные, возможно, считать с помощью любого прибора, работающего в режиме ридера, к примеру, NFC-телефона, установив в него полностью легальное приложение.

Считается, что такого рода открытая информация не ставит под угрозу безопасность карты. Однако проведенное экспертами тестирование десяти различных бесконтактных карт, с использованием доступного NFC-ридера и бесплатного ПО показало, что существует возможность декодировать номер и дату истечения срока действия для всех десяти карт. Полученные данные в дальнейшем можно использовалось для совершения покупок в интернет-магазинах.

Как было заявлено прежде, рабочая дальность для передачи данных по NFC является несколько см (вплоть до Десяти), что уже предоставляет возможность считывания данных и денежных средств посредством не металлизированные материалы. Однако ученые с британского Института Суррей показали возможность считывания по NFC сведений на расстоянии вплоть до 80 см с поддержкой компактного нестандартного ридера, который функционирует на огромной дистанции по той, же технологии. Подобный прибор вполне способен неприметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и иных местах скопления людей. Так же с помощью подобного прибора, возможно, реализовывать подслушивание передаваемых сведений в транзакциях.

Мошенники найдут способы установить вредоносное ПО на мобильное устройство путем фишинга / социальной инженерии, чтобы жертва открыла вредоносное приложение в электронном письме и перенаправила пользователя на злонамеренный URL.

Существует также возможность атаки на спуфинг сети, т.е., когда злоумышленник настраивает поддельную точку доступа с тем же именем сети, что и та, которая уже существует, напр., популярное имя кафе. Они могут настроить поддельный веб-сайт для «аутентификации» пользователей и т.о. собирать данные, а затем могут использовать эти данные для следующих шагов в своей атаке. Нередко можно увидеть, что многие люди используют одинаковое имя пользователя и пароль для нескольких разных сервисов, даже для мобильного платежного приложения.

Возможна реализация, так называемой, атаки человек посередине. Предположим, что А и B используют активный и пассивный режим работы NFC соответственно. А генерирует ВЧ-поля и отправляет данные B. Если злоумышленник (Е) находится на достаточном расстоянии, то он может подслушивать и модифицировать данные, посланные А. При этом А и В не должны быть осведомлены о том, что они разговаривают не друг с другом и принимают и передают данные через Е. Е должна активно мешать передаче А, чтобы убедиться, что B не получает данных. Обладая необходимыми знаниями и оборудованием реализация такой атаки осуществима.

В случае кражи телефона возможна реализация еще одного способа доступа к использованию денежных средств пользователя. Получив мобильное NFC-устройство, злоумышленник может получить права суперпользователя, подключив это устройство к другому, таким образом, получить всю необходимую информацию и использовать ее для осуществления нелегитимных транзакций.

Не стоит так же забывать, что всегда существует угроза ошибки в программном коде. Угрозы данного типа позволяют получать информацию о платежной информации или позволяющую совершать транзакции из-за ошибок в коде приложения, неверной реализации кода, несоответствия ТЗ и других ошибок, вызванных вследствие недочетов в реализации приложения или же операционной системы.

Пример реализации такой угрозы был представлен командой британских исследователей из Университета Ньюкасла, которая сообщила, что обнаружила брешь в защите бесконтактных транзакций платежной системы VISA. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает. А если платежный терминал не подключен к Интернету, то максимальная сумма мошеннической транзакции может составить до миллиона евро.

Для нейтрализации или существенного снижения воздействия на NFC-систему с использованием перечисленных угроз были выработаны следующие рекомендации по повышению уровня безопасности использования бесконтактной оплаты, которые разбиты по соответствующим угрозам.

Подслушивание:

* Установка безопасного канала связи.

Воздействие на устройство:

* Использование экранированного кошелька или подобных защитных металлических экранов для бесконтактной карты, в случае отсутствия такого метода защиты хранение NFC карт более чем в 10 см от «внешней» среды.

* Отказ от прав суперпользователя и использование проверенных антивирусных средств на мобильном телефоне.

* Отдельное хранение смартфона и бесконтактной карты.

Атака человек посередине:

* Поддержка терминалом механизма проверки радиочастотных полей во время передачи данных.

Кража устройства:

* Использовать пароль для разблокировки мобильного телефона (или биометрические данные);

* Установить пароль для входа в мобильное приложение;

* Использовать пароль для совершения платежной операции через мобильное приложение (или биометрические данные);

* Не объединять несколько банковских карт в одну виртуальную;

* Предусмотреть веб-сервис для блокировки мобильного приложения в случае утери/кражи;

* Использование ПО с защитой от несанкционированного вмешательства или взломостойкостью.

Заключение

безопасный связь бесконтактный

Для снижения или исключения вероятности успешного использования выявленных уязвимостей и реализации угроз безопасности злоумышленниками, были выработаны рекомендации на основе изученных данных. Применение рекомендаций поставщиками услуг и пользователями системы бесконтактной оплаты повышает безопасность использования бесконтактных платежей. С учетом данных рекомендаций, система бесконтактных платежей становится не только быстрым и простым способом оплаты товаров и услуг, но и безопасным для использования в повседневной жизни.

Список литературы

1.Security of Mobile Payments and Digital Wallets/ ENISA. - 2016.

2.Сайт лаборатории Касперского [Электронный ресурс] - URL: https://www.kaspersky.ru/blog/contactless-payments-security/8608/ - (дата обращения 07.09.2019)

3.Papathanasiou C. DEF CON 18 “This is not the droid you're looking for…”/ C.Papathanasiou, N. Percoco// Trustwave SpiderLabs- 2010.

4.Davis M. Hacking exposed malware and Rootkits (1 ed.) / Davis M. Sean Bodmer, Aaron LeMasters // McGraw-Hill, Inc., New York, NY, USA - 2009

5.The Great Bank Robbery: Carbanak APT [Electronic resource] - URL:https://business.kaspersky.com/the-great-bank-robbery-carbanak- apt/3598/ - (accessed09.2019)

6.Trend Micro Discovers MalumPoS; Malware Targeting Hotels and other US Industries [Electronic resource] - URL: http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-hotels-and- other-us-industries/ -(accessed09.2019)

7.Killer C. University of Zьrich, “An Off-the-shelf Relay Attack in a Contactless Payment Solution” / Killer C., Christos Tsiaras, Burkhard Stiller, - 2015.

8.Методика определения угроз безопасности информации в информационных системах [Электронный ресурс] / ФСТЭК России. - 2015. - URL: http://fstec.ru/component/attachments/download/812 (дата обращения 07.09.2019)

9.Бондаренко Р. Технология NFC -- связь на близком расстоянии [Электронный ресурс] / Р.Бондаренко. - 2011. - URL: http://www.russianelectronics.ru/leader-r/review/2187/doc/57689/, свободный. (дата обращения 07.09.2019).

Размещено на Allbest.ru