Можно ли украсть данные карты или списать с нее деньги?
Да
Безопасно ли платить с помощью NFC?
Тоже да
Да, как это, блять, работает?
С этим сейчас и будем разбираться.

И так, NFC (Near Field Communication) — это способ беспроводной передачи данных на малые дистанции (до 10см) с помощью индукции и специальных модулей(антен). NFC всегда имеет инициатора и цель. Инициатор активно генерирует радиочастотное поле, которое влияет на пассивную цель, это очень удобно, так как питание нужно только инициатору. Также возможна NFC-связь между двумя устройствами при условии, что оба устройства включены.

Например, так выгляди NFC-метка, которую можно использовать для передачи небольшого к-ва данных, используя, как штрих-код, на западе такие иногда используют, например, в визитках или на продуктах в магазинах.

Однако, в рашке в основном модули NFC в основном используют для бесконтактной оплаты с помощью банковских карт или смартфонов, как следствие, возникает вопрос

Почему я не могу ходить в метро и списывать бабос у народа?

В принципе, такой план реализуем, если у тебя получится незаметно тереться об людей весь день, хотя, даже это уже не обязательно, ведь в университете каком-то там Суррей уже придумали сканер, который может считывать данные с модулей на расстоянии 80см. А бошковитые парни из испании пошли еще дальше и намутили вообще жесткую дичь, они написали троян на андройд, который превращает твой смартфон в ретранслятор сигнала, и как только ты кладешь свой телефон в карман рядом с банковской картой МИР, где лежит твоя стипуха в 1500 рублей на месяц, смартфон становится ретранслятором сигнала «опрашивая» карту и пересылая инфу злоумышленникам.

Бааамс! Мама, я буду хацкером!

Уже кричишь ты и бежишь покупать терминал, однако, не все так просто.
Кекус в том, что маленькое расстояние не основная система защиты, самая жопа не с тем, как перехватить сигнал, а с тем, как таки получить желаемый кэш. Проблема в том, что бесконтактные транзакции защищены стандартом EMV, то есть для того, что транзакция прошла, терминал должен иметь специальные криптографические ключи, а получить их может только юр лицо в банке по специальному договору, то есть, если кто-то поймет, что ты спиздил у него бабки, банк сможет быстро определить куда они ушли, к тебе нагрянет омон, и твоя мамка переделает наконец твою спальню в БДСМ-кабинет.

Но, допустим, ты смог как-то спиздить терминал в магазе, они не заявили о пропаже, и у тебя даже получилось перепрогать его каким-то образом, чтобы он пересылал бабос тебе. На этот случай есть еще один уровень защиты – максимальная сумма списания без ввода PIN-кода, обычно это 1000 рублей, и банк не даст вам провести транзакцию с большим к-вом денег, как ты ни старайся, то есть вся эта запара с терминалом становится просто не рентабельной, так как о твоей афере быстро станет известно и много ты не напиздишь. А со смартфона списать деньги еще сложнее, так как там транзакцию нельзя провести, пока пользователь не введет пароль для разблокировки телефона или не приложит свой палец к сканеру.

Такие дела, получается, что оплата с помощью NFC почти полностью безопасна, а если деньги и будут украдены, то об этом быстро станет известно и злоумышленника будет не сложно найти. Но, все же есть в этой системе слабое место – это то, что через NFC таки можно украсть данные самой карты, так как стандарт EMV не шифрует некоторые данные по идее это безопасно, но довольно авторитетное издание «Which?» утверждает, что с помощью этих данных можно узнать номер карты и дату истечения срока, и закупиться в инете, так как некоторые онлайн-магазины не требуют CVV-код. Однако сейчас практически любой банк требует подтверждения такой транзакции с помощью SMS.

Что мы имеем в итоге? Выглядит все это достаточно безопасно, но не даром говорят, что сначала совершенствуется оружие и только потом защита от него, это касается и NFC, слишком многое в банковских картах связано с довольно старыми технологиями, скорее всего найдется какой-нибудь хитрожопыйумный парень, который сможет взломать всю эту защиту, но от такого уже не застрахуешься, поэтому остается просто вести себя аккуратно и не светить свою карту, личные данные, пароли и к-во бабок на карте .