NFC Exploitation: কন্ট্যাক্টলেস পেমেন্ট এবং এনএফসি প্রযুক্তির সম্ভাব্য হ্যাকিং ঝুঁকি!

NFC বা Near Field Communication হলো একটি short-range wireless communication প্রযুক্তি যা ১৩.৫৬ MHz frequency-তে কাজ করে। এর সাধারণ communication range ৪ সেন্টিমিটারের মধ্যে, যদিও specialized antenna দিয়ে এই range বাড়ানো সম্ভব। NFC ISO/IEC 18092 standard অনুসরণ করে এবং RFID প্রযুক্তির একটি subset।

NFC তিনটি operating mode-এ কাজ করে। প্রথম হলো Card Emulation Mode, যেখানে NFC device একটি contactless smart card-এর মতো কাজ করে। স্মার্টফোন payment app যেমন Apple Pay, Google Pay এই mode ব্যবহার করে।

দ্বিতীয় mode হলো Reader/Writer Mode, যেখানে NFC device একটি passive NFC tag পড়ে বা লেখে। NFC tag-এ embedded URL scan করে web page open করা এই mode-এর উদাহরণ।

তৃতীয় mode হলো Peer-to-Peer Mode, যেখানে দুটি NFC-enabled device data exchange করে। Android Beam (এখন discontinued) এই mode ব্যবহার করত।

NFC-র underlying protocol বিভিন্ন layer-এ কাজ করে। Physical layer-এ ISO 14443 Type A/B এবং FeliCa standard। Application layer-এ NDEF (NFC Data Exchange Format)। Payment-এর জন্য EMV (Europay, Mastercard, Visa) protocol সবচেয়ে গুরুত্বপূর্ণ, যা contactless transaction-এর জন্য specific security framework প্রদান করে।

NFC-র short range সাধারণত একটি security feature হিসেবে advertise করা হয় - "আক্রমণকারীকে খুব কাছে আসতে হবে"। কিন্তু এই assumption আংশিক সত্য, কারণ specialized equipment দিয়ে কয়েক মিটার দূর থেকেও NFC signal capture করা সম্ভব।

NFC প্রযুক্তির বিরুদ্ধে কয়েক ধরনের attack রয়েছে। প্রথম এবং সবচেয়ে সাধারণ হলো Eavesdropping। NFC communication-এ exchanged data বাতাসে travel করে, এবং একটি sensitive antenna দিয়ে এই signal intercept করা সম্ভব। গবেষণায় দেখা গেছে passive mode-এ ১ মিটার পর্যন্ত এবং active mode-এ ১০ মিটার পর্যন্ত eavesdropping সম্ভব।

দ্বিতীয় attack হলো Data Corruption বা Modification। আক্রমণকারী NFC communication-এ noise বা specific signal inject করে data corrupt করতে পারে। এতে transaction fail হতে পারে অথবা attacker-এর favored direction-এ modify হতে পারে।

তৃতীয় এবং সবচেয়ে আলোচিত attack হলো Relay Attack। এখানে আক্রমণকারীর কাছে দুটি NFC device থাকে - একটি victim-এর কার্ডের কাছে এবং অন্যটি POS terminal-এর কাছে। দুটি device internet-এর মাধ্যমে যুক্ত। ফলে victim-এর কার্ডের signal real-time-এ POS-এ relay হয়, যেন কার্ড সরাসরি POS-এ আছে। এই আক্রমণ Mafia Fraud নামেও পরিচিত। গবেষক Pol MacAvoy এবং অন্যরা practical relay attack demonstrate করেছেন।

চতুর্থ attack হলো Skimming। আক্রমণকারী একটি hidden NFC reader কাছাকাছি রাখে এবং victim-এর কার্ড থেকে data পড়ে নেয়। এতে কিছু basic information যেমন card number, expiry পাওয়া যেতে পারে, যদিও CVV নেই।

পঞ্চম attack হলো Cloning। কিছু পুরোনো generation NFC card-এর data পড়ে সম্পূর্ণ clone তৈরি করা সম্ভব। আধুনিক EMV card-এ dynamic cryptogram থাকায় এই attack কঠিন।

ষষ্ঠ attack হলো Denial of Service (DoS)। NFC frequency-তে jamming signal পাঠিয়ে legitimate transaction প্রতিরোধ করা যায়। যদিও এটি financial gain দেয় না, কিন্তু disruption ঘটায়।

সপ্তম attack হলো NFC Tag-based Attack। Public space-এ malicious NFC tag রেখে passersby-দের attack করা যায়। তাদের ফোন automatically সেই tag পড়ে malicious URL open করতে পারে। ২০১২ সালে গবেষক Charlie Miller "NinjaTel" presentation-এ এই attack demonstrate করেছিলেন।

Relay Attack NFC security-র সবচেয়ে চ্যালেঞ্জিং সমস্যাগুলোর একটি কারণ এটি cryptographic protection-কেও bypass করতে পারে। Traditional security হলো two endpoint-এর মধ্যে message integrity এবং confidentiality নিশ্চিত করা। কিন্তু relay attack-এ আক্রমণকারী message modify করে না, শুধু relay করে।

বাস্তব scenario বিবেচনা করুন। একজন victim ব্যস্ত ট্রেনে দাঁড়িয়ে আছেন। তার pocket-এ contactless card। আক্রমণকারী A তার পাশে দাঁড়িয়ে একটি hidden NFC reader (smartphone-এ) চালু করেছে। অন্য আক্রমণকারী B একটি দূরের দোকানে আছে যেখানে দামি পণ্যের জন্য contactless payment করার চেষ্টা করছে। B-র phone POS-এ tap করছে, যা attacker A-র device-এ signal পাঠায়, যা victim-এর card-এ আসে, এবং card-এর response একই path দিয়ে POS-এ ফিরে আসে।

ফলে transaction হয়, কিন্তু victim জানেও না যে তার card use হয়েছে। দোকানের bill victim-এর account থেকে কেটে নেওয়া হয়।

Relay attack-এর বিরুদ্ধে distance bounding protocol একটি potential solution। এটি transaction-এর সময় round-trip time measure করে। যদি card সত্যিই POS-এর কাছে হয়, তবে time খুব কম। Internet-based relay অতিরিক্ত latency যোগ করে, যা detect করা সম্ভব।

EMV Co-এর latest specification-এ relay protection mechanism যোগ হয়েছে, কিন্তু সব device এখনো এটি support করে না।

Apple Pay, Google Pay, Samsung Pay-এর মতো mobile payment platform NFC-র সাথে অতিরিক্ত security layer যোগ করেছে। Tokenization হলো সবচেয়ে গুরুত্বপূর্ণ feature। Card-এর আসল number কখনো merchant-এ পাঠানো হয় না। পরিবর্তে একটি Device Account Number (DAN) ব্যবহৃত হয় যা শুধু সেই specific device এবং card combination-এর জন্য valid।

Apple Pay-তে Secure Element নামক একটি hardware chip এই sensitive data store করে এবং সব cryptographic operation execute করে। এই chip OS-এর সাথেও সম্পূর্ণ isolated, ফলে compromised OS-ও payment data access করতে পারে না।

Biometric authentication (Face ID, Touch ID) প্রতিটি transaction-এর আগে user verification নিশ্চিত করে। ফলে stolen phone দিয়ে unauthorized payment কঠিন।

Dynamic CVV মূল cryptogram প্রতিটি transaction-এ আলাদা হয়, যা replay attack প্রতিরোধ করে।

তবে এই security feature গুলো সব implementation-এ uniform নয়। কিছু পুরোনো contactless card এবং কম-জনপ্রিয় payment system-এ এই protection নেই।

NFC exploitation-এর কিছু উল্লেখযোগ্য ঘটনা ঘটেছে। ২০১২ সালে security researcher Charlie Miller Black Hat conference-এ demonstrate করেছিলেন কীভাবে malicious NFC tag দিয়ে smartphone hack করা যায়। তিনি একটি Nokia phone-এর browser ক্র্যাশ করিয়েছিলেন এবং Android phone-এ remote code execution অর্জন করেছিলেন।

২০১৬ সালে Computer Laboratory at the University of Cambridge-এর গবেষকরা contactless card-এর বিরুদ্ধে practical relay attack demonstrate করেছিলেন off-the-shelf Android phone ব্যবহার করে।

২০২২ সালে security researcher Salvador Mendoza দেখিয়েছিলেন কীভাবে Samsung Pay-এর একটি দুর্বলতা ব্যবহার করে replay attack করা সম্ভব ছিল।

UK-তে contactless card fraud-এর কয়েকটি case সামনে এসেছে যেখানে আক্রমণকারীরা পাবলিক transport-এ skimmer device নিয়ে commuter-দের কার্ড থেকে data পড়েছিল।

বাংলাদেশের প্রেক্ষাপটে, এখনো NFC fraud-এর বড় কোনো incident report হয়নি, কিন্তু contactless payment-এর প্রসারের সাথে সাথে এই ঝুঁকি বাড়বে। Bangladesh Bank-এর নিয়মিত guideline update এই দিকে মনোযোগ দিচ্ছে।

NFC-related ঝুঁকি কমানোর জন্য বিভিন্ন strategy রয়েছে। User-দের জন্য প্রথম পরামর্শ হলো RFID/NFC-blocking wallet ব্যবহার করুন। এই wallet-এ Faraday cage-এর মতো শিল্ড থাকে যা card-এর সাথে wireless communication প্রতিরোধ করে।

দ্বিতীয়ত, mobile payment-এ tokenized solution ব্যবহার করুন। Physical contactless card-এর চেয়ে Apple Pay, Google Pay অনেক বেশি secure কারণ tokenization এবং biometric authentication থাকে।

তৃতীয়ত, transaction limit সম্পর্কে সচেতন থাকুন। অধিকাংশ contactless card-এ amount limit থাকে (যেমন বাংলাদেশে কিছু নির্দিষ্ট amount পর্যন্ত PIN ছাড়া)। বড় transaction-এ PIN দাবি করা security-এর জন্য গুরুত্বপূর্ণ।

চতুর্থত, regular statement monitoring। যেকোনো অসঙ্গতি অবিলম্বে bank-কে জানান। অনেক bank এখন real-time SMS notification provide করে।

পঞ্চমত, suspicious area-তে contactless card pocket-এ রাখবেন না। ব্যস্ত transport, conference, crowded place-এ extra caution প্রয়োজন।

Card issuer এবং merchant-দের জন্য recommendation:

প্রথমত, EMV contactless-এর latest version implement করুন যাতে relay protection আছে।

দ্বিতীয়ত, transaction velocity monitoring। Anomalous pattern detect করতে machine learning ব্যবহার করুন।

তৃতীয়ত, dynamic CVV implement করুন যাতে replay attack প্রতিরোধ হয়।

চতুর্থত, customer education। User-দের NFC security সম্পর্কে aware করুন।

POS terminal vendor-দের জন্য:

প্রথমত, tamper detection mechanism। POS-এ malicious skimmer detect করতে হবে।

দ্বিতীয়ত, secure firmware update। POS firmware-এ vulnerability patch দ্রুত deploy করা প্রয়োজন।

তৃতীয়ত, distance bounding support। নতুন POS-এ relay attack prevention feature যুক্ত করতে হবে।

NFC প্রযুক্তি ক্রমশ evolve করছে। 5G-এর সাথে integrated mobile payment, biometric NFC card, এবং wearable payment device নতুন ব্যবহার ক্ষেত্র তৈরি করছে। সাথে সাথে নতুন attack surface-ও উদ্ভূত হচ্ছে।

Quantum computing-এর যুগে current cryptographic algorithm-গুলো potentially দুর্বল হতে পারে। Post-quantum cryptography-র দিকে migration NFC এবং contactless payment ecosystem-এর জন্য একটি বড় challenge।

IoT-এর প্রসারের সাথে NFC-enabled device-এর সংখ্যা বাড়ছে। প্রতিটি নতুন device একটি potential attack vector।