Вы наверняка встречали в кино определенный типаж злодея. Молодой, неброско одетый, в очках, безобидный первокурсник-«ботан». Через плечо дешевая коричневая сумка искусственной кожи. Студент держит курс через уличную толпу, чуть не сталкивается с прохожими, то и дело извиняется, уступает дорогу. Если бы жители города не так торопились на работу и могли видеть сквозь дерматин, кто-нибудь из них заметил бы внутри сумки хитрое устройство-сканер, которое выуживает из банковских карт ценную информацию.
А потом нам говорят, что можно считывать не только карты, но и телефоны, и что эта технология называется NFC. Получается, любой пассажир, который протискивается мимо меня к выходу из автобуса, в принципе способен снять деньги с моего банковского счета?
RFID и NFC: как это работает
RFID (Radio Frequency IDentification) — технология идентификации объектов с помощью особых радиометок, их также называют RFID-тегами. Для считывания меток требуется специальное устройство. Широко известный пример использования этой технологии — размещение RFID-меток на товарах, например, одежде. Если вы хоть раз наведывались в магазин вроде Decathlon, то наверняка помните, как это работает. Кассир берет куртку, проводит ей над столом, и всё: стоимость куртки прибавляется к общему чеку. Никакого сканирования штрих-кодов или ручного ввода артикулов. Считыватель встроен в стол. На куртке с внутренней стороны есть этикетка с вшитой RFID-меткой.
NFC (Near Field Communication, буквально «связь ближнего поля») — продолжение идеи RFID. Так называется технология беспроводной передачи данных на очень близком расстоянии. И если RFID, в основном, это работа активного считывателя с пассивной меткой, то у NFC есть еще два режима функционирования. Мы говорим об обмене данными между двумя устройствами (этакая маленькая одноранговая сеть) и эмуляции банковской карты. В народе последнее называется «оплатить телефоном». Для такой транзакции нужно, чтобы в смартфоне были встроенный модуль NFC и установленное приложение Apple Pay, Google Pay или подобное (с привязанной банковской картой).
Давайте на примере «оплаты телефоном» посмотрим, как работает NFC. Внутри смартфона, обычно в верхней части и ближе к задней стенке, имеется модуль NFC, маленькая катушка и микросхема. Подробное есть и в терминале на кассе магазина.
- Терминал излучает электромагнитный синусоидальный сигнал на частоте 13,56 МГц.
- Вы подносите смартфон вплотную к терминалу. Переменный ток в катушке терминала вызывает появление магнитного поля, которое возбуждает ток во второй катушке (в смартфоне).
- Дальше происходит обмен данными. Терминал передает телефону информацию о покупке, в частности, сумму и валюту платежа. Телефон передает эти данные платежному приложению. Приложение запрашивает у пользователя подтверждение транзакции. NFC-модуль передает зашифрованные данные карты. Затем терминал связывается с банком-эквайрером, а тот — с банком-эмитентом (выпустившим карту). Если денег на счете достаточно, происходит покупка.
RFID-скимминг
Студент, с которым вы познакомились выше, вместо изучения рядов Тейлора и Фурье занимается так называемым RFID-скиммингом. Подобные устройства и правда существуют. Но преступления с их помощью не занимают серьезного места в ряду других высокотехнологичных злодейств. Для преступника слишком рискованно и затратно топтаться в гуще прохожих рядом с потенциальными жертвами в надежде выудить что-нибудь ценное. Гораздо выгоднее установить устройство-скиммер там, куда люди сами несут свои карты, например, в банкомат. И собирать не только данные карт, но и PIN-коды к ним. Таких примеров достаточно. Вот хотя бы история о целой банде из семерых любителей погреть руки на чужой невнимательности, которые с 2017 по 2022 годы устанавливали фейковые считыватели в разных торговых точках США и «выдоили» почтенную публику на сумму более 1.2 млн долларов.
Зато RFID-скимминг красиво смотрится в кино и статьях про цифровую безопасность. А еще поддерживает немалый бизнес по продаже конвертов, кошельков и сумочек, защищающих банковские карты от кражи на расстоянии.
Насколько защищена технология NFC
Вернемся к NFC и эмуляции банковской карты. Если вам недостаточно наших размышлений о меркантильных соображениях преступников, давайте поговорим о технических особенностях технологии и ее реализации в смартфонах.
Во-первых, вспомним, что NFC работает на совсем малом расстоянии. У RFID разброс довольно велик: бывают технические решения, позволяющие считывать метку на дистанциях в десятки метров. NFC куда скромнее. Кое-где в сетевых обозрениях вы можете прочесть «до 10 сантиметров», но попробуйте сами помахать смартфоном в 10 сантиметрах от терминала. Чтобы уверенно совершить платеж и не обижать усталого кассира, придется поднести смартфон вплотную к терминалу, на 1-2 сантиметра. Преступнику нужно быть очень ловким, наглым и удачливым, чтобы осуществить такой маневр под носом незнакомого человека.
Во-вторых, как было сказано выше, для всякой транзакции требуется авторизация. В ответ на запрос терминала владелец смартфона должен, к примеру, приложить палец к сканеру отпечатков на своем устройстве. Google Pay может разрешать небольшие платежи без авторизации — например, за билет в городском автобусе. Но это мелочи.
В-третьих, такие данные, как номер банковской карты, не передаются открыто. Используются шифрование и т.н. «токенизация», то есть, вместо реальных данных карты пересылается специальный код (токен).
Таким образом, сравнительно низкая вероятность пострадать от атаки на телефон через NFC объясняется не только выбором самих преступников, но и техническими ограничениями.
Как снизить риски?
Вот несколько советов.
- Убедитесь, что все транзакции на телефоне разрешены только с дополнительной авторизацией.
- Если позволяет банк, не держите на карте все свои деньги, переведите основную сумму на расчетный счет или другой картсчет. Установите ограничение дневного лимита расходов и снятия наличных. Некоторые банки позволяют создавать дополнительные виртуальные карты.
- Время от времени проверяйте, нет ли подозрительных списаний с карты.
- Не игнорируйте уведомления из банка.
- Выключайте NFC, когда он вам не нужен.
- Можно купить защитный чехол или экран. Есть совсем маленькие — только для карт, а есть побольше, в которые влезет и смартфон. Такие устройства называют «клетками Фарадея», и они защищают от разнообразных электромагнитных «интервенций», не только на частоте NFC.
- Когда пользуетесь картой или телефоном в публичном месте в какой-либо автоматизированной точке (например, в банкомате, на заправке), обратите внимание, не выглядит ли подозрительно устройство (щель для карты, клавиши для ввода кода и др.) Если заметили следы клея или скотча, приемный лоток для карты шатается, цвет не стыкуется с окружением — возможно, вам выпало счастье увидеть вживую устройство для скимминга. Зовите полицию, т.к. на камеру банкомата вы все равно уже попали.
- Если вы используете NFC еще для чего-нибудь, кроме оплаты, скажем, для считывания каких-либо меток — будьте аккуратны с незнакомыми метками. Не ходите по незнакомым, подозрительным сайтам, куда вас «приглашает» метка. Помните о рисках, связанных с фишингом. (Такой же совет можно дать тем, кто сканирует QR-коды, содержащие гиперссылки).
Вреден ли NFC для здоровья?
Напоследок еще один вопрос, который иногда задают не только про NFC, но и про другие модули беспроводной связи: насколько они влияют на здоровье человека? Безопасно ли с этой точки зрения держать NFC включенным продолжительное время рядом с собой?
NFC в телефоне потребляет очень мало энергии. Большую часть времени NFC-чип проводит в спящем режиме (менее 5 милливатт, мВт). Самую высокую прожорливость чип демонстрирует в активном режиме (при чтении/записи тегов) — до 60 мВт. Но это случается так редко и на такой короткий срок, что практически не сказывается на заряде батареи смартфона. Для сравнения: модуль GPS расходует до 150 мВт при поиске спутников и 30-60 мВт все остальное время; модуль wifi — 10-20 мВт при бездействии и 100-500 мВт при передаче данных (в зависимости от ряда факторов, таких как скорость).
NFC точно не станет причиной ваших головных болей — он для этого слишком маломощный. Никакого ионизирующего излучения NFC также не создает.