NFC payments, which rely on near-field communication technology, are a type of contactless payment method. They use a short-range wireless technology that allows two devices, such as a smartphone and a payment terminal, to communicate when they’re only a few centimeters apart. This technology is embedded in many modern smartphones and payment cards and has proliferated in recent years: in 2022, 85% of consumers across nine countries used an NFC contactless card or mobile payment wallet.
With their quick tap-and-go process, NFC payments are reshaping the checkout experience. They are also part of a larger shift toward simple payment solutions to meet modern customer expectations for convenience. But they’re not just convenient—NFC payment technology is an industry leader in enabling ultra-quick transactions while maintaining high-security standards.
As digital wallets and wearable tech become more prevalent, NFC payments are quickly becoming the default option in a growing number of payment situations. But in the rush to adopt this popular payment method, businesses can’t ignore security. For NFC payments, here’s what you need to know about creating a secure experience.
What’s in this article?
- Key features of NFC payments
- How do NFC payments work?
- What security measures do NFC payments have?
- Threats and risks with NFC payments
- NFC security: How to mitigate risks and vulnerabilities
NFC 支付的主要特点
NFC 支付有几个主要特点,使其成为客户和企业的热门选择。以下是这些功能的快速浏览:
感应式通信
NFC 支付最突出的一点是能够在不进行实际接触的情况下促进交易。该技术可使两种设备 — 支持 NFC 的支付设备(例如智能手机 或卡)和支付终端 在彼此靠近时交换数据。速度和便利性
NFC 交易通常比传统支付方式 更快。客户只需将他们的设备靠近终端,交易就会在几秒钟内完成。这种速度有助于实现更顺畅、更方便的结账流程。安全
NFC 支付通常被认为是安全的。它们通常采用加密 技术来保护敏感信息,例如信用卡 号码。此外,许多智能手机在处理付款之前需要身份验证(例如指纹扫描或密码),从而增添了一道额外的安全保障。多功能性和集成
NFC 技术用途广泛,可以集成到各种设备中,包括智能手机、智能手表和支付卡。这种集成允许客户使用最适合其需求和偏好的设备进行支付。广泛的兼容性
随着 NFC 技术在客户中的普及,越来越多的企业开始采用与 NFC 兼容的支付终端。从大型零售商到小型本地企业,感应式支付在各种场所都能实现。支持数字钱包
NFC 技术是许多数字钱包(例如 Apple Pay、Google Pay 和 Samsung Pay)的关键组成部分。这些钱包允许客户在其设备上安全地存储多张卡的详细信息,使他们能够灵活地在账户或卡之间进行选择以进行不同的交易。交易记录和记录保存
客户在通过数字钱包进行 NFC 支付时可以轻松跟踪他们的交易,这些钱包通常会提供详细的交易记录。减少磨损
由于 NFC 支付不需要实际接触,因此客户的支付设备(如银行卡)和企业的硬件(如读卡器)的磨损都较少,从而有可能延长这些设备的使用寿命。
NFC 支付如何运作?
NFC 支付使用硬件和软件技术的组合来促进安全、便捷的交易。以下是该过程的典型运作方式:
NFC 芯片激活
当支持 NFC 的设备(例如智能手机或带有 NFC 芯片的支付卡)被激活时,该过程就开始了。当客户将设备靠近支持 NFC 的支付终端时,通常会发生激活。在智能手机中,此激活可能还需要通过密码、指纹或面部识别进行用户身份验证。建立通信
NFC 芯片一旦激活,即会开始与支付终端通信。这种通信是通过无线电波进行的。NFC 的工作频率为 13.56 MHz,通信范围通常在 4 厘米以内。这种近距离是一项安全功能,因为它可以防止对正在传输的数据进行不必要的拦截。数据传输
在通信过程中,NFC 设备将数据传输到支付终端。这些数据包括处理交易所需的支付信息,例如支付金额、银行卡详细信息和其他相关信息。这种数据传输是加密的,以保护敏感信息。支付处理商的参与
支付终端收到数据后,它就会将这些信息发送到支付处理商,后者负责向与支付设备相关的银行或发卡机构 核实交易详情。身份验证和授权
银行或发卡机构收到交易请求,并检查其真实性以及是否有足够的资金或信用。这包括验证银行卡详细信息并确保交易符合任何设定的限额或限制。交易完成
如果交易获得批准,支付终端将完成该过程,通常会显示一条确认消息。如果是智能手机或类似设备,NFC 设备也可能会收到确认通知。记录保存
交易详细信息由企业的支付系统记录,如果是智能手机或数字钱包,则记录在客户的设备上。这有助于轻松跟踪和管理交易记录。
NFC 交易过程注重安全性和速度。数据加密和设备身份验证有助于确保 NFC 支付的安全性,而该过程的简单性和速度使其成为客户和企业的便捷选择。
NFC 支付有哪些安全措施?
NFC 支付包含多项安全措施来防止欺诈 和未经授权的访问。这些措施包括:
加密
NFC 设备(如智能手机或银行卡)和支付终端之间传输的数据是加密的。这种加密将信息转换为安全代码,这有助于防止未经授权的各方拦截敏感信息,例如卡号和交易金额。令牌化
许多 NFC 支付系统使用令牌化。不是传输实际的卡号,而是使用唯一的数字令牌。虽然它代表卡号,但如果被截获,此令牌将毫无用处,因为它不能在生成它的特定交易之外使用。近距离通信
NFC(近距离通信技术)的本质增添了一道安全保障。由于设备必须与终端保持几厘米的距离才能进行交易,这就降低了意外或未经授权的设备截获数据的可能性。设备身份验证
智能手机和其他设备通常需要身份验证才能完成 NFC 支付。认证的形式可以是密码、指纹或面部识别,它能保证设备的合法拥有者正在发起交易。动态验证码
每笔交易都会生成一个唯一的身份验证代码。即使交易详情被截获,也不能重复用于其他交易,从而降低了重复交易的欺诈风险。安全元件
许多具有 NFC 功能的智能手机都有一个安全元件,即安全存储支付信息的专用芯片。该芯片与手机的主操作系统隔离,为防止黑客攻击提供了额外的保护。交易限额
一些银行和金融机构对 NFC 交易设置了限额,以降低大额欺诈性交易 的风险。如果交易金额超过此限额,则可能需要传统的身份验证方法,例如 PIN 输入。实时欺诈监控
银行和支付处理商 经常实时监控交易中的可疑活动。如果他们发现异常模式,这些机构可以立即采取行动,例如拒绝交易或联系客户。客户验证请求
在某些情况下,尤其是对于大额交易,支付系统可能会要求进行额外的客户验证,例如输入 PIN 码或签署收据。
这些安全措施相互配合,提供针对各种类型欺诈 和未经授权的访问的多层防御。
NFC 支付的威胁和风险
虽然 NFC 支付提供了强大的安全缓冲,但它们也不能幸免于潜在的威胁。以下是与 NFC 支付相关的一些漏洞和风险。
已知漏洞和攻击途径
窃听
在 NFC 支付中,窃听是指未经授权的设备在交易过程中接收 NFC 信号。由于 NFC 是无线电通信的一种形式,因此理论上,如果某人拥有合适的设备并且在范围内,就有可能拦截数据。数据修改
在数据传输的短暂瞬间,老练的攻击者可能会改变 NFC 设备和终端之间的通信。这可能会导致扣款金额错误或付款被指向不同的收款人。设备丢失和被盗
如果支持 NFC 的设备丢失或被盗,并且所有者没有使用 PIN 或生物识别锁对其进行保护,则存在未经授权的交易风险。即使设备配备了安全元件,从丢失设备到报失的这段时间也可能被利用。中继攻击
当攻击者使用具有 NFC 通信功能的设备拦截并转发合法 NFC 设备(如智能手机或信用卡)和支付终端之间的数据时,就会发生中继攻击。攻击者的设备充当中介,从合法设备捕获信息并将其传输到支付终端。盗刷
盗刷者可以创建欺诈性支付 终端或修改现有终端,从任何与之交互的 NFC 设备上获取信息。然后,他们可以利用收集到的数据克隆银行卡或进行未经授权的交易。
安全漏洞的真实场景
欺诈性终端
曾经发生过一些企业被个人安装的终端诈骗的事件,这些终端从客户的 NFC 支付中窃取数据,导致信息被盗。针对个人的攻击
知名人士或被认为拥有大量资金的人可能成为 NFC 相关攻击(如窃听或中继攻击)的目标,尤其是在拥挤的公共场所。软件漏洞
在某些情况下,诈骗分子可能会利用支持 NFC 的设备或终端软件中的安全漏洞,未经授权访问资金或支付信息。
NFC 安全:如何降低风险和漏洞
企业可以使用多种解决方案来限制其遭受欺诈和未经授权的访问的风险。选择银行卡终端提供商的小型企业应特别注意如何降低风险和减少漏洞。
以下是一些主动保护您的企业和客户的方法。
对于小型企业
培训员工
向员工传授 NFC 技术和常见威胁。这包括识别可能表明银行卡终端已被篡改的可疑行为或设备。维护定期更新和补丁
确保支付终端软件是最新的。软件更新可以修复可能被攻击者利用的漏洞。实施安全配置
设置终端和设备,要求超过一定金额的交易输入 PIN 码。这可以防止 NFC 设备受到攻击时发生大额欺诈性交易。整合物理安全性
将终端放置在员工可以随时看到的位置,降低被篡改的风险。监控交易
留意交易记录是否有任何异常活动。快速发现异常模式可以防止更多未经授权的交易。使用受信任的服务商
选择在安全和客户服务方面具有良好声誉的服务商提供的支付终端。
选择银行卡终端提供商时要注意什么
安全事件
了解提供商的安全历史。阅读评论和案例研究,了解其如何处理过去的安全问题。符合标准
仔细检查提供商是否符合行业安全标准,例如支付卡行业数据安全标准 (PCI DSS)。安全功能
寻找具有高级安全功能(例如端到端加密和令牌化)的终端的提供商。支持和响应能力
选择提供强大客户支持并能够快速响应可能出现的任何安全问题的提供商。透明的政策
提供商应就数据处理、隐私以及保护交易数据所采取的措施制定明确的政策。
通过遵循这些策略,并选择与您一样重视安全性的合作伙伴,您可以大大降低与 NFC 支付相关的风险。
如果您使用 Stripe 接受 NFC 付款,请详细了解 Stripe 如何使其更安全。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。