Ghost Tap: hacker sfruttano pagamenti NFC per rubare denaro

Gli hacker hanno ideato una nuova tattica per ottenere i dati delle carte di credito rubate collegate a sistemi come Apple Pay e Google Pay. Come rivelato dalla società di sicurezza Threat Fabric, questo attacco, denominato "Ghost Tap", permette di inoltrare i dati delle carte NFC ai money mule in tutto il mondo. La tattica si basa sui metodi precedentemente implementati da malware mobili come NGate, documentati da ESET ad agosto. Questi prevedevano l'inoltro di segnali NFC dalle carte di pagamento. Ghost Tap è più difficile da rilevare, non richiede la carta o il dispositivo della vittima. Inoltre, non necessita di continui scambi con la vittima e coinvolge money mule in più sedi remote che interagiscono con i terminali PoS.

Per rubare i dati delle carte vengono intercettate le password OTP necessarie per la registrazione del wallet sull’app. Il furto dei dati può essere eseguito tramite malware bancario che visualizza sovrapposizioni che imitano le app di pagamento digitale o tramite phishing e keylogging. Le OTP possono essere rubate tramite ingegneria sociale o tramite malware che monitora i messaggi di testo. Lo strumento NFCGate viene utilizzato per inoltrare le informazioni sulle carte di pagamento. Tuttavia, ora è stato inserito un server relay che invia i dettagli a un'ampia rete di money mule, nascondendone al contempo la posizione effettiva. I mule eseguono acquisti al dettaglio su larga scala e in più sedi utilizzando il chip NFC del dispositivo. Ciò rende difficile mappare la rete di frode o rintracciare l'aggressore principale.

Negli attacchi NGate, gli hacker si sono limitati a piccoli pagamenti contactless e prelievi bancomat. Con Ghost Taps, questi effettuano solo prelievi di denaro presso i punti vendita e li distribuiscono tra un'ampia rete di mule. Ciò offusca la traccia dei principali operatori dell'attività dannosa, mettendo a rischio solo i mule.

Ghost Tap: numerosi piccoli pagamenti possono aggirare la sicurezza

Threat Fabric avverte che la nuova tattica è difficile da rilevare e da bloccare, poiché le transazioni sembrano legittime e si estendono su più sedi. Ad oggi, i meccanismi antifrode di molte banche rilevano gli acquisti da sedi insolite, come quando si viaggia in un altro paese. Tuttavia, i ricercatori affermano che i numerosi piccoli pagamenti potrebbero aggirare questi rilevamenti. Anche se tutte queste piccole transazioni sembrano provenire da un singolo dispositivo (collegato allo stesso account Apple Pay/Google Pay), l'importo totale perso può essere significativo se l'attacco viene applicato su larga scala. Per eludere il tracciamento, i money mule mettono i loro dispositivi in ​​"modalità aereo". Tuttavia, il sistema NFC continua a funzionare normalmente.

L'unico modo per difendersi da Ghost Tap è che le banche segnalino le transazioni effettuate dalla stessa carta ma in luoghi non fisicamente raggiungibili nell'intervallo di tempo tra gli addebiti. Ad esempio, è impossibile effettuare una transazione a New York e poi, dieci minuti dopo, eseguirne una a Cipro. Dal punto di vista del consumatore, è bene monitorare le transazioni fraudolente. In questi casi è fondamentale segnalare immediatamente alla banca il tentativo di frode per bloccare la carta per ridurre al minimo le perdite.