El ataque comienza con el robo de datos de tarjetas de pago y contraseñas de un solo uso (OTP), que a menudo se obtienen mediante campañas de phishing o malware en dispositivos móviles. Los ciberdelincuentes vinculan estas tarjetas robadas a dispositivos comprometidos, evitando los controles de seguridad. A diferencia de los métodos de carding anteriores, que dependían de la clonación de bandas magnéticas, Ghost Tap explota los sistemas de pago sin contacto utilizando herramientas como NFCGate, desarrolladas originalmente para probar la seguridad del NFC.
Mediante la retransmisión de señales NFC entre dos dispositivos, los atacantes separan la transacción de la autenticación. Un dispositivo “mula” interactúa con un terminal de punto de venta (POS), mientras que un dispositivo “maestro”, que a menudo se encuentra en otro país, autoriza la transacción de forma remota. Esta técnica permite a los delincuentes realizar compras simultáneamente en múltiples ubicaciones, dificultando su detección.
Los grupos de ciberdelincuentes chinos han perfeccionado sus estrategias de phishing, utilizando campañas de smishing que se hacen pasar por servicios postales o operadores de peajes para robar datos de pago. Los kits avanzados de phishing capturan datos en tiempo real, incluso si las víctimas abandonan la página antes de completar la información. Algunos atacantes generan imágenes falsas de tarjetas, que se escanean en Apple Pay o Google Wallet para activar la verificación OTP. La aplicación ZNFC para Android, disponible por 500 dólares al mes, permite ataques de retransmisión NFC a nivel global, eliminando la necesidad de clonar físicamente las tarjetas y distribuyendo las transacciones fraudulentas entre múltiples mulas.
A pesar de medidas de seguridad como la tokenización en Apple Pay y las tarjetas virtuales de Google Wallet, las instituciones financieras siguen siendo vulnerables debido a protocolos de autenticación débiles. Muchas entidades bancarias todavía dependen de OTPs enviados por SMS, que pueden ser fácilmente interceptados mediante phishing o malware. Además, la adopción del protocolo de seguridad 3-D Secure (3DS) por parte de los comerciantes sigue siendo inconsistente, lo que facilita aún más el fraude. Los atacantes realizan transacciones pequeñas, generalmente entre 100 y 500 dólares, para eludir los umbrales de detección de fraudes. Según ThreatFabric, los ataques Ghost Tap podrían generar hasta 15 mil millones de dólares al año, con pérdidas promedio de 250 dólares por cada tarjeta comprometida en miles de dominios de phishing.
Las instituciones financieras y los proveedores de servicios de pago deben fortalecer la autenticación y la detección de fraudes. La autenticación basada en aplicaciones debe reemplazar los OTPs por SMS, y la verificación multifactor debería ser obligatoria para vincular billeteras digitales. El monitoreo de fraudes debe detectar inconsistencias geográficas y velocidades de viaje imposibles, como transacciones realizadas en diferentes países en cuestión de minutos. Los terminales POS deben actualizarse para detectar retrasos en las señales NFC, y el estándar EMVCo para el registro de tiempo en transacciones debería implementarse ampliamente. La educación de los usuarios sobre tácticas de phishing, como solicitudes OTP no solicitadas, es esencial. Apple Pay y Google Wallet nunca envían solicitudes de verificación directa, por lo que la concienciación del usuario es una línea de defensa fundamental.
A medida que las técnicas de fraude basadas en NFC siguen evolucionando, la colaboración entre bancos, redes de pago y fabricantes de dispositivos es crucial. La detección de fraudes impulsada por inteligencia artificial y protocolos de autenticación más sólidos deben implementarse antes de que los ciberdelincuentes perfeccionen aún más sus tácticas.
Source: Cyber Security News
La European Cyber Intelligence Foundation es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.