ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ БЕСКОНТАКТНЫХ ПЛАТЕЖЕЙ
ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ БЕСКОНТАКТНЫХ ПЛАТЕЖЕЙ
Научная статья
Ревазов Х.Ю.1, *, Команов П.А.2,, Тавасиев Д.А.3, Семиков В.С.4
1 ORCID: 0000-0002-3358-6197;
1, 2, 3, 4 Федеральное государственное автономное образовательное учреждение высшего образования «Национальный исследовательский университет ИТМО», Санкт-Петербург, Россия
* Корреспондирующий автор (xetag_97[at]mail.ru)
АннотацияВ статье будет предложена новая методика для обеспечения безопасности бесконтактных платежей. Новая методика значительно повышает безопасность бесконтактных платежей смартфонов с поддержкой NFC и банковских карт с аналогичным чипом. Были выявлены актуальные угрозы в системе бесконтактной оплаты. Проводится анализ защищенности системы бесконтактных платежей и на основе выявленных угроз безопасности разрабатываются рекомендации по их устранению и повышению уровня безопасности использования бесконтактных платежей.
Ключевые слова: бесконтактные платежи, угрозы, риски.
CONTACTLESS PAYMENTS SECURITY RESEARCH
Research article
Revazov H.Yu.1, *, Komanov P.A.2, Tavasiev D.A.3, Semikov V.S.4
1 ORCID: 0000-0002-3358-6197;
1, 2, 3, 4 Federal State Autonomous Educational Institution of Higher Education, ITMO University, St. Petersburg, Russia
* Corresponding author (xetag_97[at]mail.ru)
AbstractThe article descibes a new technique for ensuring the security of contactless payments. The new method significantly improves the contactless payment security with NFC-enabled smartphones and bank cards with a similar chip. The authors identified relevant threats in the contactless payment system, they conducted analysis of the security of the contactless payment system, and based on the identified security threats, developed recommendations to address them and increase the level of security with the use of contactless payments.
Keywords: contactless payments, threats, risks.
ВведениеОплата «в одно касание» происходит с использованием технологии NFC (Near Field Communication) при помощи специальной банковской карты или смартфона, которые в свою очередь обеспечивают поддержку бесконтактной оплаты. Банки и производители электроники, которые осуществляют поддержку бесконтактных платежей, уверяют, что платежи являются безопасными, и делают акцент на простом и быстром механизме оплаты. При использовании такого способа оплаты легко убедиться в легкости использования и скорости свершения операций, однако в безопасности использования такого механизма оплаты стоит разобраться.
Основные угрозы при использовании NFC-платежей
Не смотря на то, что при обмене информацией между картой или смартфоном в режиме эмуляции карты и ридером применяется шифрование, часть информации остается открытой. К тому же информация, которую хранит карта, так же не вся зашифрована. Злоумышленник может прослушивать эфир во время проведения транзакций по бесконтактной карте для выявлений необходимой информации или же считать информацию с самой банковской карты. Данный вид угрозы представляет собой подслушивание информации.
Стандарт EMV допускает хранение конкретных данных в незашифрованном виде в памяти чипа карты. К таким сведениям могут иметь отношение номер карты, несколько последних совершенных операций и так далее. Какие именно данные находятся в открытом виде на карте определяет банк-эмитент, а также платежная система. Подобные данные, возможно, считать с помощью любого прибора, работающего в режиме ридера, к примеру, NFC-телефона, установив в него полностью легальное приложение.
Считается, что такого рода открытая информация не ставит под угрозу безопасность карты. Однако проведенное экспертами тестирование десяти различных бесконтактных карт, с использованием доступного NFC-ридера и бесплатного ПО показало, что существует возможность декодировать номер и дату истечения срока действия для всех десяти карт. Полученные данные в дальнейшем можно использовалось для совершения покупок в интернет-магазинах.
Как было заявлено прежде, рабочая дальность для передачи данных по NFC является несколько см (вплоть до Десяти), что уже предоставляет возможность считывания данных и денежных средств посредством не металлизированные материалы. Однако ученые с британского Института Суррей показали возможность считывания по NFC сведений на расстоянии вплоть до 80 см с поддержкой компактного нестандартного ридера, который функционирует на огромной дистанции по той, же технологии. Подобный прибор вполне способен неприметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и иных местах скопления людей. Так же с помощью подобного прибора, возможно, реализовывать подслушивание передаваемых сведений в транзакциях.
Мошенники найдут способы установить вредоносное ПО на мобильное устройство путем фишинга / социальной инженерии, чтобы жертва открыла вредоносное приложение в электронном письме и перенаправила пользователя на злонамеренный URL.
Существует также возможность атаки на спуфинг сети, т.е., когда злоумышленник настраивает поддельную точку доступа с тем же именем сети, что и та, которая уже существует, напр., популярное имя кафе. Они могут настроить поддельный веб-сайт для «аутентификации» пользователей и т.о. собирать данные, а затем могут использовать эти данные для следующих шагов в своей атаке. Нередко можно увидеть, что многие люди используют одинаковое имя пользователя и пароль для нескольких разных сервисов, даже для мобильного платежного приложения.
Возможна реализация, так называемой, атаки человек посередине. Предположим, что А и B используют активный и пассивный режим работы NFC соответственно. А генерирует ВЧ-поля и отправляет данные B. Если злоумышленник (Е) находится на достаточном расстоянии, то он может подслушивать и модифицировать данные, посланные А. При этом А и В не должны быть осведомлены о том, что они разговаривают не друг с другом и принимают и передают данные через Е. Е должна активно мешать передаче А, чтобы убедиться, что B не получает данных. Обладая необходимыми знаниями и оборудованием реализация такой атаки осуществима.
В случае кражи телефона возможна реализация еще одного способа доступа к использованию денежных средств пользователя. Получив мобильное NFC-устройство, злоумышленник может получить права суперпользователя, подключив это устройство к другому, таким образом, получить всю необходимую информацию и использовать ее для осуществления нелегитимных транзакций.
Не стоит так же забывать, что всегда существует угроза ошибки в программном коде. Угрозы данного типа позволяют получать информацию о платежной информации или позволяющую совершать транзакции из-за ошибок в коде приложения, неверной реализации кода, несоответствия ТЗ и других ошибок, вызванных вследствие недочетов в реализации приложения или же операционной системы.
Пример реализации такой угрозы был представлен командой британских исследователей из Университета Ньюкасла, которая сообщила, что обнаружила брешь в защите бесконтактных транзакций платежной системы VISA. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает. А если платежный терминал не подключен к Интернету, то максимальная сумма мошеннической транзакции может составить до миллиона евро.
Для нейтрализации или существенного снижения воздействия на NFC-систему с использованием перечисленных угроз были выработаны следующие рекомендации по повышению уровня безопасности использования бесконтактной оплаты, которые разбиты по соответствующим угрозам.
Подслушивание:
- Установка безопасного канала связи.
Воздействие на устройство:
- Использование экранированного кошелька или подобных защитных металлических экранов для бесконтактной карты, в случае отсутствия такого метода защиты хранение NFC карт более чем в 10 см от «внешней» среды.
- Отказ от прав суперпользователя и использование проверенных антивирусных средств на мобильном телефоне.
- Отдельное хранение смартфона и бесконтактной карты.
Атака человек посередине:
- Поддержка терминалом механизма проверки радиочастотных полей во время передачи данных.
Кража устройства:
- Использовать пароль для разблокировки мобильного телефона (или биометрические данные);
- Установить пароль для входа в мобильное приложение;
- Использовать пароль для совершения платежной операции через мобильное приложение (или биометрические данные);
- Не объединять несколько банковских карт в одну виртуальную;
- Предусмотреть веб-сервис для блокировки мобильного приложения в случае утери/кражи;
- Использование ПО с защитой от несанкционированного вмешательства или взломостойкостью.
Заключение
Для снижения или исключения вероятности успешного использования выявленных уязвимостей и реализации угроз безопасности злоумышленниками, были выработаны рекомендации на основе изученных данных. Применение рекомендаций поставщиками услуг и пользователями системы бесконтактной оплаты повышает безопасность использования бесконтактных платежей. С учетом данных рекомендаций, система бесконтактных платежей становится не только быстрым и простым способом оплаты товаров и услуг, но и безопасным для использования в повседневной жизни.
Конфликт интересов Не указан. | Conflict of Interest None declared. |
Список литературы / References
- Security of Mobile Payments and Digital Wallets/ ENISA. – 2016.
- Сайт лаборатории Касперского [Электронный ресурс] – URL: https://www.kaspersky.ru/blog/contactless-payments-security/8608/ – (дата обращения 07.09.2019)
- Papathanasiou C. DEF CON 18 “This is not the droid you’re looking for...”/ C.Papathanasiou, N. Percoco// Trustwave SpiderLabs– 2010.
- Davis M. Hacking exposed malware and Rootkits (1 ed.) / Davis M. Sean Bodmer, Aaron LeMasters // McGraw-Hill, Inc., New York, NY, USA – 2009
- The Great Bank Robbery: Carbanak APT [Electronic resource] – URL:https://business.kaspersky.com/the-great-bank-robbery-carbanak- apt/3598/ – (accessed09.2019)
- Trend Micro Discovers MalumPoS; Malware Targeting Hotels and other US Industries [Electronic resource] – URL: http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-hotels-and- other-us-industries/ –(accessed09.2019)
- Killer C. University of Zürich, “An Off-the-shelf Relay Attack in a Contactless Payment Solution” / Killer C., Christos Tsiaras, Burkhard Stiller, – 2015.
- Методика определения угроз безопасности информации в информационных системах [Электронный ресурс] / ФСТЭК России. – 2015. - URL: http://fstec.ru/component/attachments/download/812 (дата обращения 07.09.2019)
- Бондаренко Р. Технология NFC — связь на близком расстоянии [Электронный ресурс] / Р.Бондаренко. – 2011. - URL: http://www.russianelectronics.ru/leader-r/review/2187/doc/57689/, свободный. (дата обращения 07.09.2019)
- Голдовский, И.М. Банковские микропроцессорные карты / И.М. Голдовский. – М.: ЦИПСиР: Альпина Паблишер, 2016. – 678с.
Список литературы на английском языке / References in English
- Security of Mobile Payments and Digital Wallets/ ENISA. – 2016.
- Kaspersky Lab website [Electronic resource] – URL: https://www.kaspersky.ru/blog/contactless-payments-security/8608/ (accesses: 07.09.2019) [in Russian]
- Papathanasiou C. DEF CON 18 “This is not the droid you’re looking for...”/ C. Papathanasiou, N. Percoco // Trustwave SpiderLabs – 2010.
- Davis M Hacking exposed malware and Rootkits (1 ed.) / Davis M, Sean Bodmer, Aaron LeMasters. McGraw-Hill, Inc., New York, NY, USA – 2009
- The Great Bank Robbery: Carbanak APT [Electronic resource] – URL: https://business.kaspersky.com/the-great-bank-robbery-carbanak- apt/3598/ – (accessed:10.09.2019)
- Trend Micro Discovers MalumPoS; Malware Targeting Hotels and other US Industries [Electronic Resource] – URL: http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-hotels-and- other-us-industries / – (accessed: 10.09.2019)
- Killer C. University of Zürich, “An Off-the-shelf Relay Attack in a Contactless Payment Solution” / Killer C., Christos Tsiaras, Burkhard Stiller – 2015.
- Metodika opredeleniya ugroz bezopasnosti informatsii v informatsionnykh sistemakh [Methodology for identifying threats to information security in information systems] [Electronic resource] / FSTEC of Russia. – 2015. – URL: http://fstec.ru/component/attachments/download/812 (accesses: 07.09.2019) [in Russian]
- Bondarenko R. Tekhnologiya NFC — svyaz' na blizkom rasstoyanii [NFC technology – short-range communication] [Electronic resource] / R. Bondarenko. – 2011. – URL: http://www.russianelectronics.ru/leader-r/review/2187/doc/57689/ (accesses: 07.09.2019) [in Russian]
- Goldovsky I.M. Bankovskiye mikroprotsessornyye karty [Bank microprocessor cards] / I.M. Goldovsky. - M.: TsIPSiR: Alpina Publisher, 2016. – 678 p. [in Russian]