Los actores de amenazas apuestan cada vez más por una nueva técnica que aprovecha la comunicación de campo cercano (NFC) para retirar los fondos de las víctimas a gran escala.
La técnica, cuyo nombre en código Grifo fantasma de ThreatFabric, permite a los ciberdelincuentes retirar dinero de tarjetas de crédito robadas vinculadas a servicios de pago móvil como Google Pay o Apple Pay y retransmitir tráfico NFC.
“Los delincuentes ahora pueden hacer un mal uso de Google Pay y Apple Pay para transmitir su información de pago a nivel mundial en segundos”, dijo la compañía de seguridad holandesa a The Hacker News en un comunicado. “Esto significa que incluso sin su tarjeta física o teléfono, pueden realizar pagos desde su cuenta en cualquier parte del mundo”.
Estos ataques suelen funcionar engañando a las víctimas para que descarguen malware de banca móvil que puede capturar sus credenciales bancarias y contraseñas de un solo uso mediante un ataque de superposición o un registrador de pulsaciones. Alternativamente, puede involucrar un componente de phishing de voz.
Una vez en posesión de los datos de la tarjeta, los actores de amenazas proceden a vincular la tarjeta a Google Pay o Apple Pay. Pero en un intento por evitar que el emisor bloquee las tarjetas, la información del toque para pagar se transmite a una mula, que es responsable de realizar compras fraudulentas en una tienda.
Esto se logra mediante una herramienta de investigación legítima llamada NFCGate, que puede capturar, analizar o modificar el tráfico NFC. También se puede utilizar para pasar el tráfico NFC entre dos dispositivos mediante un servidor.
“Un dispositivo funciona como un ‘lector’ que lee una etiqueta NFC, el otro dispositivo emula una etiqueta NFC utilizando Host Card Emulation (HCE)”, según investigadores del Secure Mobile Networking Lab de TU Darmstadt.
Si bien NFCGate ha sido utilizado anteriormente por delincuentes para transmitir la información NFC desde los dispositivos de la víctima al atacante, como lo documentó ESET en agosto de 2024 con el malware NGate, el último desarrollo marca la primera vez que la herramienta se utiliza indebidamente para transmitir la información. datos.
“Los ciberdelincuentes pueden establecer un enlace entre un dispositivo con una tarjeta robada y un terminal PoS (punto de venta) en un minorista, permaneciendo en el anonimato y realizando retiros de efectivo a mayor escala”, señaló ThreatFabric.
“El ciberdelincuente con la tarjeta robada puede estar muy lejos del lugar (incluso en un país diferente) donde se utilizará la tarjeta, así como utilizar la misma tarjeta en múltiples ubicaciones en un corto período de tiempo”.
La táctica ofrece más ventajas porque se puede utilizar para comprar tarjetas de regalo en minoristas fuera de línea sin que los ciberdelincuentes tengan que estar físicamente presentes. Peor aún, se puede utilizar para ampliar el plan fraudulento consiguiendo la ayuda de varias mulas en diferentes lugares en un corto período de tiempo.
Lo que complica la detección de ataques Ghost Tap es el hecho de que las transacciones parecen originarse en el mismo dispositivo, evitando así los mecanismos antifraude. El dispositivo con la tarjeta vinculada también puede estar en modo avión, lo que puede complicar los esfuerzos para detectar su ubicación real y que en realidad no se utilizó para realizar la transacción en el terminal PoS.
“Sospechamos que la evolución de las redes con una velocidad de comunicación cada vez mayor, junto con la falta de una detección adecuada basada en el tiempo en terminales ATM/POS, hicieron posibles estos ataques, donde los dispositivos reales con tarjetas están ubicados físicamente lejos del lugar donde se realiza la transacción. realizado (el dispositivo no está presente en PoS o ATM)”, señaló ThreatFabric.
“Con la capacidad de escalar rápidamente y operar bajo un manto de anonimato, este método de retiro de efectivo presenta desafíos importantes tanto para las instituciones financieras como para los establecimientos minoristas”.