ECカードを非接触で利用できるように、 NFC対応のATMも登場しています。ただし、専門家のテストによると、これらは比較的単純な操作方法に対して脆弱であることが判明しました。必要なのは、NFC テクノロジーを搭載した携帯電話と Android アプリケーションだけです。ただし、多くのデバイスに存在する脆弱性も役に立ちます。
携帯電話で簡単: NFC ATM が紙幣を吐き出す
詐欺師は通常、顧客の貴重なデータを盗むために、たとえば NFC ATM のハードウェアを改ざんします。典型的な方法は、実際のカードリーダーの上に別のカードリーダーを取り付けて、EC カードをスキャンする方法です。隠しカメラは PIN 入力を同時に記録するため、最終的にはカード データと PIN の両方が利用可能になります。
IOActive のセキュリティ コンサルタントであるジョセフ ロドリゲス氏にとって、そのようなツールはデバイスだけでなく、いわゆる POS システム (販売時点情報管理システム) をレジにアクセスできるようにするためにも必要ではありませんでした。これを行うために、彼は非接触型決済を可能にする NFC テクノロジーを搭載したシンプルな携帯電話と Android アプリを使用しました。
後者は、機械やレジの NFC 読み取りチップにさまざまなバグを感染させる目的で、セキュリティ研究者が自ら開発したものです。これらはクラッシュを引き起こし、ハッキングを可能にすることを目的としていました。ロドリゲスは最終的にこの方法を使用してそれを達成しました
- クレジットカード情報を収集する
- 気づかれずに取引金額を変更すること
- NFC ATMから紙幣を排出させる
NFC ATM のさまざまな操作オプション
少なくとも最後のアクションでは、自動販売機のソフトウェアに存在する脆弱性を悪用する必要もありました。 「たとえ画面に 50 ドル支払っていると表示されていたとしても、ファームウェアを変更して価格を 1 ドルに変更することができます。デバイスが役に立たなくなったり、ランサムウェアがインストールされたりする可能性があります。ここには多くの可能性があります」とロドリゲスは Wired に語った。お金を引き出すには、攻撃を連鎖させ、特別なペイロード (悪意のあるアクションを実行するマルウェアの一部) を ATM コンピューターに送信するだけで十分です。
ロドリゲス氏は1年前、影響を受けるメーカーやプロバイダーに自身の調査結果について報告したが、物理的に改修が必要なデバイスの数は膨大であり、そのプロセスには時間がかかる可能性が高いとも見ている。多くの POS 端末が定期的なアップデートを受け取っていないという事実により、セキュリティの脆弱性はさらに危険になります。研究者は、メーカーにもう少し圧力をかけるために、攻撃の技術的な詳細を公開したいと考えています。
NFC テクノロジーを搭載した携帯電話に関するヒント
ATM に侵入したくないが、 携帯電話と NFC を使ってもっと簡単に支払いたい場合は、特別な NFC アプリが役に立ちます。たとえば、 Android デバイスで NFC テクノロジーを使用できるようにするために何が必要かを正確に知ることもできます。
出典: 有線