Pagamentos por aproximação com NFC: riscos, tecnologias e barreiras de segurança em cartões e dispositivos móveis

Abstract

O presente trabalho de conclusão de curso investiga os Pagamentos por Aproximação com NFC, analisando os riscos inerentes, as tecnologias subjacentes e as barreiras de segurança implementadas em cartões e dispositivos móveis. A pesquisa teve como objetivo principal compreender a segurança das transações NFC, explorando os padrões tecnológicos e os mecanismos de proteção que as governam. A metodologia adotada incluiu uma revisão bibliográfica aprofundada sobre a tecnologia NFC (Near Field Communication), o padrão EMV (Europay, Mastercard, and Visa), criptografia, tokenização, e ataques conhecidos. Além disso, foi realizado um estudo de caso prático envolvendo a análise de um cartão EMV moderno utilizando a ferramenta Proxmark3 para verificar sua postura defensiva e a inacessibilidade de dados sensíveis. Os resultados da análise prática evidenciaram que o cartão testado opera com um UID (Unique Identifier) aleatório e demonstrou robustez ao não revelar dados sensíveis como PAN (Primary Account Number), nome do titular ou data de validade. Este comportamento confirmou a eficácia de camadas de proteção avançadas, como o Secure Messaging (SM) e a autenticação mútua, que atuam para reforçar a segurança das transações e prevenir ataques de replay ou interceptação. A ausência de resposta a comandos padrão, sem validações criptográficas específicas, reafirma a conformidade com as expectativas de segurança de um cartão EMV moderno. Em conclusão, a confiabilidade da tecnologia EMV com NFC foi comprovada empiricamente, com os mecanismos de UID aleatório e Secure Messaging superando os requisitos teóricos ao impedir a extração de qualquer dado sensível. Contudo, o estudo ressalta a importância crítica da atualização constante dos sistemas e da adoção de padrões rigorosos pelos emissores, alertando para a maior exposição de dados em cartões mais antigos ou com configurações menos protegidas. Por fim, destaca-se a necessidade de ampliar a conscientização do usuário final sobre comportamentos seguros para mitigar vulnerabilidades que possam comprometer a integridade do sistema de pagamentos por aproximação.

This course completion paper investigates Proximity Payments with NFC, analyzing the inherent risks, the underlying technologies, and the security barriers implemented in cards and mobile devices. The primary objective of this research was to understand the security of NFC transactions by exploring the technological standards and protection mechanisms that govern them. The adopted methodology included a thorough literature review on NFC (Near Field Communication) technology, the EMV (Europay, Mastercard, and Visa) standard, cryptography, tokenization, and known attacks. Furthermore, a practical case study was conducted involving the analysis of a modern EMV card using the Proxmark3 tool to verify its defensive posture and the inaccessibility of sensitive data. The results of the practical analysis demonstrated that the tested card operates with a random UID and showed robustness by not revealing confidential information such as PAN (Primary Account Number), cardholder name, or expiration date. This behavior confirmed the effectiveness of advanced protection layers, such as Secure Messaging (SM) and mutual authentication, which reinforce transaction security and prevent replay or interception attacks. The absence of response to standard commands, without specific cryptographic validations, reaffirms compliance with the security expectations of a modern EMV card. In conclusion, the reliability of EMV technology with NFC was empirically proven, with mechanisms such as random UID (Unique Identifier) and Secure Messaging exceeding theoretical requirements by preventing the extraction of any sensitive data. However, the study highlights the critical importance of continuously updating systems and adopting rigorous standards by issuers, warning against greater data exposure in older cards or those with less protected configurations. Finally, the need to broaden end-user awareness about secure behaviors is emphasized to mitigate vulnerabilities that could compromise the integrity of the proximity payment system.