Tehdit aktörleri, kurbanın fonlarını geniş ölçekte nakde çevirmek için yakın alan iletişiminden (NFC) yararlanan yeni bir tekniğe giderek daha fazla güveniyor.
Kod adı verilen teknik Hayalet Musluk ThreatFabric tarafından, etkinleştirir Siber suçlular, Google Pay veya Apple Pay gibi mobil ödeme hizmetlerine bağlı ve NFC trafiğini aktaran çalıntı kredi kartlarından parayı nakde çeviriyor.
Hollandalı güvenlik şirketi The Hacker News’e yaptığı açıklamada, “Suçlular artık Google Pay ve Apple Pay’i kötüye kullanarak dokun-öde bilgilerinizi saniyeler içinde dünya çapında iletebilir.” dedi. “Bu, fiziksel kartınız veya telefonunuz olmadan bile dünyanın herhangi bir yerindeki hesabınızdan ödeme yapabilecekleri anlamına geliyor.”
Bu saldırılar genellikle kurbanları, bir kaplama saldırısı veya keylogger kullanarak bankacılık kimlik bilgilerini ve tek kullanımlık şifrelerini ele geçirebilecek mobil bankacılık kötü amaçlı yazılımlarını indirmeleri için kandırarak çalışır. Alternatif olarak sesli kimlik avı bileşeni de içerebilir.
Kart ayrıntılarına sahip olan tehdit aktörleri, kartı Google Pay veya Apple Pay’e bağlamak için harekete geçiyor. Ancak kartların kart veren kuruluş tarafından bloke edilmesini önlemek amacıyla, ödeme için ödeme bilgileri bir mağazada hileli satın alımlar yapmaktan sorumlu olan bir kuryeye iletilir.
Bu, adı verilen meşru bir araştırma aracı aracılığıyla gerçekleştirilir. NFC KapısıNFC trafiğini yakalayabilen, analiz edebilen veya değiştirebilen. Ayrıca bir sunucu kullanarak iki cihaz arasındaki NFC trafiğini aktarmak için de kullanılabilir.
TU Darmstadt’taki Güvenli Mobil Ağ Laboratuvarı’ndan araştırmacılara göre “Bir cihaz bir NFC etiketini okuyan bir ‘okuyucu’ olarak çalışıyor, diğer cihaz Ana Kart Emülasyonunu (HCE) kullanarak bir NFC etiketini taklit ediyor.”
ESET tarafından Ağustos 2024’te NGate kötü amaçlı yazılımıyla belgelendiği üzere, NFCGate daha önce kötü aktörler tarafından kurbanın cihazlarından saldırgana NFC bilgilerini iletmek için kullanılmış olsa da, en son gelişme, aracın, NFC bilgilerini iletmek için ilk kez kötüye kullanıldığına işaret ediyor. veri.
“Siber suçlular, kartı çalınan bir cihaz ile PoS arasında geçiş kurabilir [point-of-sale] ThreatFabric, bir perakendecideki terminalin anonim kaldığını ve daha büyük ölçekte nakit çıkışı gerçekleştirdiğini belirtti.
“Çalınan karta sahip olan siber suçlu, kartın kullanılacağı lokasyondan (hatta farklı ülke) çok uzakta olabileceği gibi, aynı kartı kısa süre içerisinde birden fazla lokasyonda da kullanabilmektedir.”
Taktik, siber suçluların fiziksel olarak orada bulunmasına gerek kalmadan çevrimdışı perakendecilerden hediye kartları satın almak için kullanılabilmesi nedeniyle daha fazla avantaj sunuyor. Daha da kötüsü, kısa bir süre içinde farklı yerlerdeki birden fazla katırın yardımına başvurarak dolandırıcılık planını büyütmek için kullanılabilir.
Ghost Tap saldırılarının tespitini zorlaştıran şey, işlemlerin aynı cihazdan geliyormuş gibi görünmesi ve dolayısıyla dolandırıcılık karşıtı mekanizmaların atlanmasıdır. Bağlantılı karta sahip cihaz aynı zamanda uçak modunda da olabilir; bu durum, cihazın gerçek konumunun ve aslında PoS terminalinde işlem yapmak için kullanılmadığının tespit edilmesi çabalarını zorlaştırabilir.
“İletişim hızının arttığı ağların evrimi ve ATM/POS terminallerinde zamana dayalı uygun tespit eksikliğinin, kartlı gerçek cihazların fiziksel olarak işlemin yapıldığı yerden çok uzakta konumlandırıldığı bu saldırıları mümkün kıldığından şüpheleniyoruz. gerçekleştirildi (cihaz PoS veya ATM’de mevcut değil),” ThreatFabric kaydetti.
“Hızlı bir şekilde ölçeklenebilme ve anonimlik kisvesi altında çalışabilme yeteneği ile bu nakde çevirme yöntemi, hem finansal kurumlar hem de perakende kuruluşlar için önemli zorluklar sunuyor.”