Bedreigingsactoren maken steeds meer gebruik van een nieuwe techniek die gebruik maakt van Near Field Communication (NFC) om het geld van slachtoffers op grote schaal te verzilveren.
De techniek, met codenaam Spookkraan van ThreatFabric stelt cybercriminelen in staat geld uit te betalen van gestolen creditcards die zijn gekoppeld aan mobiele betalingsdiensten zoals Google Pay of Apple Pay en het doorgeven van NFC-verkeer.
“Criminelen kunnen nu Google Pay en Apple Pay misbruiken om uw tap-to-pay-informatie binnen enkele seconden wereldwijd te verzenden”, vertelde het Nederlandse beveiligingsbedrijf aan The Hacker News in een verklaring. “Dit betekent dat ze zelfs zonder je fysieke kaart of telefoon overal ter wereld betalingen vanaf je rekening kunnen doen.”
Deze aanvallen werken doorgaans door slachtoffers ertoe te verleiden malware voor mobiel bankieren te downloaden die hun bankgegevens en eenmalige wachtwoorden kan achterhalen met behulp van een overlay-aanval of een keylogger. Als alternatief kan er sprake zijn van een voice phishing-component.
Zodra de bedreigingsactoren in het bezit zijn van de kaartgegevens, gaan ze over tot het koppelen van de kaart aan Google Pay of Apple Pay. Maar in een poging om te voorkomen dat de kaarten door de uitgever worden geblokkeerd, wordt de tap-to-pay-informatie doorgegeven aan een muilezel, die verantwoordelijk is voor het doen van frauduleuze aankopen in een winkel.
Dit wordt bereikt door middel van een legitieme onderzoekstool genaamd NFCGate, die NFC-verkeer kan vastleggen, analyseren of wijzigen. Het kan ook worden gebruikt om het NFC-verkeer tussen twee apparaten door te geven via een server.
“Het ene apparaat werkt als een ‘lezer’ die een NFC-tag leest, het andere apparaat emuleert een NFC-tag met behulp van de Host Card Emulation (HCE)”, aldus onderzoekers van het Secure Mobile Networking Lab van de TU Darmstadt.
Hoewel NFCGate eerder door kwaadwillenden is gebruikt om de NFC-informatie van de apparaten van het slachtoffer naar de aanvaller te verzenden, zoals gedocumenteerd door ESET in augustus 2024 met NGate-malware, markeert de nieuwste ontwikkeling de eerste keer dat de tool wordt misbruikt om de gegevens.
“Cybercriminelen kunnen een relais tot stand brengen tussen een apparaat met een gestolen kaart en een PoS-terminal (point-of-sale) bij een winkelier, waardoor ze anoniem blijven en op grotere schaal uitbetalingen kunnen uitvoeren”, aldus ThreatFabric.
“De cybercrimineel met de gestolen kaart kan zich ver weg bevinden van de locatie (zelfs in een ander land) waar de kaart zal worden gebruikt, maar kan ook dezelfde kaart binnen korte tijd op meerdere locaties gebruiken.”
De tactiek biedt meer voordelen omdat deze kan worden gebruikt om cadeaubonnen te kopen bij offline retailers zonder dat de cybercriminelen fysiek aanwezig hoeven te zijn. Erger nog, het kan worden gebruikt om het frauduleuze plan op te schalen door binnen korte tijd de hulp in te roepen van verschillende muilezels op verschillende locaties.
Wat de detectie van Ghost Tap-aanvallen bemoeilijkt, is het feit dat de transacties lijken alsof ze afkomstig zijn van hetzelfde apparaat, waardoor antifraudemechanismen worden omzeild. Het apparaat met de gekoppelde kaart kan zich ook in de vliegtuigmodus bevinden, wat de pogingen kan bemoeilijken om de werkelijke locatie te detecteren en niet daadwerkelijk is gebruikt om de transactie op de PoS-terminal uit te voeren.
“We vermoeden dat de evolutie van netwerken met toenemende communicatiesnelheid, samen met een gebrek aan goede tijdgebaseerde detectie op ATM/POS-terminals, deze aanvallen mogelijk heeft gemaakt, waarbij de daadwerkelijke apparaten met kaarten zich fysiek ver weg bevinden van de plaats waar de transactie plaatsvindt. uitgevoerd (apparaat is niet aanwezig bij PoS of ATM),’ merkte ThreatFabric op.
“Met het vermogen om snel op te schalen en onder een mantel van anonimiteit te opereren, vormt deze uitbetalingsmethode aanzienlijke uitdagingen voor zowel financiële instellingen als detailhandelsbedrijven.”