Temas etmek ya da etmemek: NFC ödemeleri daha mı güvenli?

Temassız ödemeler (NFC) hızla yaygınlaşıyor. Peki bu yöntem geleneksel ödeme yöntemlerinden daha mı güvenli?

Manyetik şeritli kartlar 20 yıl kadar önce çok popülerdi, ancak güvenlikleri zayıftı ve imza gerekliliği genellikle işlemlerin zorlaştırıyordu – veri şifreleme olmadığı için suçlular tarafından ele geçirilebiliyor ve kopyalanabiliyorlardı.  

Çip tabanlı kartlar, veri şifreleme yoluyla gelişmiş güvenlik özellikleri sunarak bu kartların yerini aldı. Bu kartların ödeme terminallerine (POS) takılmasını ve PIN ile kimlik doğrulamasını gerektirmesi, daha güvenli işlem yöntemlerine doğru bir geçişe işaret ediyordu. Güvenlik açısından bakıldığında, çip tabanlı kartlar, kimlik doğrulama gerektirdikleri ve şifreleme sayesinde kart üzerinde gelişmiş güvenlik sundukları için büyük bir gelişmeydi. Bununla birlikte, bu kartlar hala kopyalamaya veya bilgi hırsızlığına açıktı, ancak bu tür suçlar manyetik şeritli kartlara göre daha zordu. 

NFC standardı 

Radyo frekanslı tanımlamadan (RFID) evrilen yakın alan iletişimi veya NFC, 2010’ların ikinci yarısında yeni bir ödeme standardı olarak ortaya çıktı. Bu teknoloji sayesinde, orijinal çip tabanlı kartlar daha da kullanışlı hale geldi, çünkü kartları ödeme terminallerine ve ATM’lere takmak yerine, para transferi için NFC özellikli bir ödeme cihazına dokunmak yeterli oluyor. 

Neler ödeme cihazı olabilir? Temassız kartların yanı sıra, kart bilgilerinizi uygulamaya yükledikten sonra telefonunuzu ödeme için kullanmanızı sağlayan Apple Pay veya Google Pay gibi hizmetler aracılığıyla telefonlar da artık bu işlevi görebilir. 

NFC ödemesinin çalışma prensibi Bluetooth veya diğer kablosuz iletişim sistemlerine oldukça benzerdir, iletilen bilgileri etkinleştirmek ve doğrulamak için radyo dalgalarını kullanır. Bu veriler daha sonra bir anten tarafından deşifre edilir. Özellikle, bir ödeme söz konusu olduğunda, terminal telefondan bilgi alır ve daha sonra işlemi kolaylaştırmak için bu bilgiyi işler ve onaylar. 

NFC’nin çok kısa menzile sahip olması büyük veri transferleri için kullanışlı değildir. Wi-Fi veya Bluetooth’un aksine daha yavaştır ve iletişim kuran iki cihazın birbirine yakın olmasını gerektirir. Bu, geçmişte benzer şekilde çalışan ancak çok daha az kullanışlı olan ve yalnızca yarı zamanlı çalışan kızılötesi dosya aktarımlarına benzer bir durumdur: Telefonlarınızı yerleştirme şekli konusunda çok dikkatli olmanız ve sensörlerin neredeyse birbirine değmesini sağlamanız gerekiyordu (buradan işlevi gösteren eski bir kılavuza erişebilirsiniz). 

NFC ne kadar güvenli? 

Temel amacının temassız işlemleri kolaylaştırmak olduğu düşünüldüğünde, tamamen güvenli olması gerektiği varsayılabilir, değil mi? 

Bir bakıma öyledir. Diğer kablosuz iletişim yöntemleriyle karşılaştırıldığında, çalışması için gereken yakınlık nedeniyle ele geçirilmesi çok daha zordur, ancak bu, bazı siber saldırı türlerine karşı algılanamaz olduğu anlamına gelmez. 

Kablosuz iletişim söz konusu olduğunda en yaygın saldırı yöntemlerinden biri ortadaki adam (MITM) saldırılarıdır. Bu saldırıların işe yaraması için iki cihaz/kullanıcı arasındaki iletişimi kesen bir araç (ekipman, sahte web sitesi, e-postalar) olması gerekir; bu araç daha sonra gerekli verilerin şifresini çözer ve saldırgana iletir. Halka açık Wi-Fi kullanımının bu kadar tehlikeli olmasının nedenlerinden biri de budur; bir işletme/şehir konumuyla aynı adı taşıyan sahte bir bağlantı noktası kurmak çok fazla zaman almaz ve insanlar bunları kullanmak istediğinden, bir suçlu bu bağlantı noktasını kullanan cihazlardan gelen iletişimi kolayca ihlal edebilir.  

MITM saldırıları NFC için geçerli mi? Bir bakıma. Teknik açıdan bir tehdit olarak var olsa da, birkaç nedenden dolayı o kadar da uygulanabilir değildir. İlk olarak, NFC iletişimini “ele geçirmek” için, bir okuyucunun gerekli verileri okuyabilmesi için karta/telefona oldukça yaklaşması gerekir. İkinci olarak, bilgisayar korsanının da bunu yapmak için özel bir araca sahip olması gerekir. Dürüst olmak gerekirse, telefonunuzu/kartınızı çalmak çok daha kolay olurdu. 

Potansiyel olarak, ödeme terminalleri ihlal edilebilir. Ancak, normal kart çalmanın aksine, NFC iletişimi şifrelenir ve sınıflanır – yani bilgiler gizlendiği için bir kartın kopyalanması çok zordur.  

Bununla birlikte, bir fırsatçının kart bilgilerini elde etmek için size “çarpmaya” çalışabileceğini unutmayın ve kablosuz araba anahtarı saldırıları da mevcut olduğundan (NFC ile çalışmak için benzer RFID teknolojisini kullanan), kredi kartları ve telefonlar hala tehlike altındadır. 

Güvenlik hafife alınmamalıdır 

NFC teknolojisinin özellikle ödeme işlemlerinde daha güvenli olduğu doğruysa bile bu, teknolojinin hatasız olduğu anlamına gelmez. Çünkü kötü niyetli kişiler istediklerini elde etmek için belirli güvenlik açıklarından kolayca yararlanabilirler. 

Örneğin, 2021’de bir araştırmacı, bir Android uygulaması kullanarak NFC özellikli ATM’ere “el sallayarak” onları ele geçirdiğini gösteren bir saldırı gerçekleştirdi. Makinelerdeki bazı yazılım hataları nedeniyle gerçekleşen bu eylem, diğer ödeme terminalleri için de söz konusu olabilir. 

Sistem kusurları ve güvenlik açıkları her zaman var olacaktır, bu nedenle siber sigorta sağlayıcıları, teminat için bir gereklilik olarak genellikle güvenlik açığı yamasının altını çiziyor.  

Dahası, NFC ödemeleri doğası gereği kolaylık için tasarlandığından, örneğin normal bir çip tabanlı kartın gerektireceği ek kimlik doğrulama (PIN gibi) eksikliği vardır. Dolayısıyla, birisi kredi kartınızı çalarsa, bir kod girmesine gerek kalmadan (belirli bir değere kadar) kolayca hileli ödeme yapabilir ve belirlediğiniz ödeme limitlerine bağlı olarak, meblağlar yükselebilir. 

Telefonla ödeme daha mı güvenli? 

Daha önce de belirtildiği gibi, NFC özelliği telefonlarda da mevcuttur. Peki bunlar daha mı güvenli? Apple Pay, Google Pay ve diğerleri PIN, parmak izi, yüz taraması veya telefonunuzda mevcut olabilecek başka bir ek güvenlik gerektirdiğinden, biraz da güvenli olabilir. Ayrıca, her iki ödeme hizmeti de yalnızca etkinleştirildiğinde çalışır, bu nedenle birisinin sizden rahatça bir ödeme alma şansı daha azdır. Ayrıca, Apple veya Google Pay kullanmak hesap bilgilerinizi başkalarına aktarmaz ve cihazınızı kaybetmeniz durumunda bu hizmetleri uzaktan devre dışı bırakmak oldukça kolaydır. 

Benzer şekilde, akıllı saatler pek çok açıdan harika olsa da, saatin kilidini açmak için gereken kısa bir PIN kodunun ötesinde ek kimlik doğrulama eksikliği nedeniyle bu saatler aracılığıyla ödeme yapmak sorun yaratabilir. Saatin sahibinin bileğinde olması bir tür kimlik doğrulama işlevi olarak varsayılır. Ancak saatlerin çalınabileceği ve genellikle sadece dört haneli bir PIN ile korunduğu düşünüldüğünde, bu durum her zaman işlem için yeterince güvenli bir yöntem olmayabilir. 

Temassız ödemelerinizi nasıl daha güvenli hale getirebilirsiniz 

Bu yazıyı daha olumlu bir notla bitirmek için, temassız ödemelerinizi daha güvenli hale getirmenin yollarından bahsediyoruz. Aşağıda bu yollardan bazıları yer alıyor: 

• RFID engelleyicileri deneyin: Bunlar, kartınız ile dış dünya arasında bir bariyer oluşturarak olası ele geçirme saldırılarını azaltan küçük kartlar veya cüzdanlardır. 
• Düşük ödeme limitleri belirleyin: Bu, bankanız veya bankacılık uygulamaları aracılığıyla yapılabilir; bu sayede temassız ödemelerde satın alma miktarınız için maksimum bir limit belirleyebilirsiniz. 
• Telefonla ödemeyi kullanın: Bu uygulamaların eksik yanları olsa da, ek kimlik doğrulama gereksinimleri olduğu için temassız kartlara göre daha güvenlidirler. 
• Nakit kullanın: Sanırım bunu açıklamamıza gerek yoktur. Ancak, cüzdanınızda çalınabilecek büyük miktarlarda para taşımaktan endişe edebilirsiniz. 
• Akıllı saatleri kullanmayın: Daha düşük güvenlik nedeniyle, akıllı saatle ödemeleri etkinleştirmek potansiyel sorunlara yol açabilir. 
• Seyahat kartı alın: Ekspres ödemeler konusunda endişeleriniz varsa, bilet ödemesi için kendi kredi kartınızı/telefonunuzu kullanmak yerine mümkünse kontörlü bir seyahat kartı edinin. 

Bunlar daha güvenli ödemeler yapmak için kullanabileceğiniz yöntemlerden sadece bazılarıdır. Elbette, hiçbir güvenlik çözümü size %100 garanti veremez, ancak küçük, basit adımlar bile olumsuz bir durum yaşama olasılığınızı azaltmanıza büyük katkı sağlayabilir.