Стоял в очереди в супермаркете. Позади меня - мужчина с рюкзаком, телефон держит чуть опущенным вниз, в сторону моего кармана. Ничего особенного - большинство людей так и стоят. Но мой телефон в кармане сделал кое-что интересное: показал уведомление «Обнаружено NFC-устройство».
Я обернулся. Мужчина убрал телефон и отошёл на шаг.
Может, совпадение. Может, нет. Но именно после этого я разобрался в теме NFC-мошенничества серьёзно.
Как работает схема на самом деле
Важно сразу сказать честно: мошенник в очереди не может списать деньги просто поднеся смартфон к вашему карману. Это миф. NFC для бесконтактной оплаты защищён - каждая транзакция требует подтверждения через биометрию или PIN телефона. Так работает и СБП, и любой платёжный кошелёк.
Реальная угроза другая - и она серьёзнее.
По данным компании F6, только за первый квартал 2025 года мошенники украли у клиентов российских банков 432 миллиона рублей через схему с приложением NFCGate. Схема называется «Ghost Tap» - призрачный перехват. Суть такая: сначала вас убеждают установить вредоносное приложение под видом обновления банковского сервиса. Приложение просит «верифицировать» карту - приложить к телефону. В этот момент ваши платёжные данные уходят мошеннику. Дальше он с помощью программы-ретранслятора в реальном времени передаёт ваши данные на телефон сообщника - тот стоит у банкомата в другом конце города и снимает деньги.
Всё это - пока вы сидите дома и понятия не имеете, что происходит.
Среднее списание - около 100 тысяч рублей. За декабрь 2024-го и январь 2025-го зафиксировано не менее 400 атак только на клиентов крупных банков.
Чем это отличается от страшилки про «сканирование в очереди»
Популярный страх - мошенник с терминалом в толпе, который просто «считывает» вашу карту или телефон. Это работает на физических картах без лимита транзакций без PIN. На смартфоне с платёжным приложением - нет. Каждый платёж через телефон требует разблокировки устройства.
Но NFCGate - другая история. Это не скимминг в очереди. Это дистанционная атака через приложение, которое вы сами установили после звонка от «службы безопасности банка» или «сотрудника Госуслуг».
И вот тут я понял, почему тот мужчина с телефоном в очереди меня всё-таки насторожил - не потому что он мог что-то украсть прямо там. А потому что я вдруг осознал: я понятия не имею, какие приложения с NFC-доступом стоят у меня на телефоне.
Проверил. Нашёл три. Два из них я не устанавливал намеренно - поставились в комплекте с другими программами.
А вы знаете, какие приложения на вашем телефоне имеют доступ к NFC прямо сейчас? Зайдите в настройки и проверьте - это займёт меньше минуты.
Настройка за 10 секунд, которая закрывает уязвимость
На Android: «Настройки - Подключения - NFC». Отключите переключатель, когда не используете бесконтактную оплату. Включаете перед кассой - отключаете после.
Да, это неудобно. Но это единственная настройка, которая физически блокирует любую NFC-активность - и сканирование, и ретрансляцию, и любое приложение, которое могло получить этот доступ без вашего ведома.
На iPhone: там NFC работает иначе - Apple Pay требует Face ID или Touch ID для каждой операции, и сторонние приложения не имеют прямого доступа к NFC-модулю без явного разрешения. Пользователи iPhone под этой схемой менее уязвимы. Но «менее» - не значит «совсем нет».
Три правила, которые реально работают
- Первое: не устанавливайте приложения по ссылкам из СМС и звонков. Банки обновляются через официальные магазины - никаких ссылок от «безопасности».
- Второе: никогда не прикладывайте карту к телефону по просьбе приложения или человека - это схема кражи, а не верификация.
- Третье: установите лимит на операции без PIN в банке. Даже при утечке данных мошенник не снимет больше лимита за раз.
Мужчина с рюкзаком ушёл, не получив ничего. Возможно, он вообще ни при чём. Но именно тот вечер заставил меня разобраться в теме - и теперь NFC у меня включается только у кассы.
Расскажите в комментариях: вы оставляете NFC включённым постоянно или отключаете? И слышали ли уже про схему с NFCGate - или узнали впервые здесь? Лайк поставьте, если статья заставила заглянуть в настройки.