L’attacco inizia con il furto dei dati della carta di pagamento e delle password monouso (OTP), spesso ottenuti tramite campagne di phishing o malware per dispositivi mobili. I truffatori collegano le carte rubate a dispositivi compromessi, aggirando i controlli di sicurezza. A differenza dei metodi di carding precedenti, che si basavano sulla clonazione delle bande magnetiche, Ghost Tap sfrutta i sistemi di pagamento contactless utilizzando strumenti come NFCGate, inizialmente sviluppato per testare la sicurezza dell’NFC.
Grazie alla trasmissione del segnale NFC tra due dispositivi, gli aggressori separano la transazione dall’autenticazione. Un dispositivo “mulo” interagisce con un terminale POS (point-of-sale), mentre un dispositivo “master”, spesso situato in un altro paese, autorizza la transazione da remoto. Questa tecnica consente ai truffatori di effettuare acquisti simultaneamente in più località, rendendo più difficile il rilevamento.
I gruppi di cibercriminalità cinesi hanno affinato le loro strategie di phishing, utilizzando campagne di smishing che si spacciano per servizi postali o operatori di pedaggi per rubare i dettagli di pagamento. I kit avanzati di phishing catturano i dati in tempo reale, anche se le vittime abbandonano la pagina prima di inserire le informazioni. Alcuni attaccanti generano immagini contraffatte di carte, che vengono scansionate su Apple Pay o Google Wallet per attivare la verifica tramite OTP. L’app Android ZNFC, disponibile per 500 dollari al mese, consente attacchi NFC relay a livello globale, eliminando la necessità di clonare fisicamente le carte e distribuendo le transazioni fraudolente tra più muli.
Nonostante le misure di sicurezza come la tokenizzazione in Apple Pay e le carte virtuali di Google Wallet, le istituzioni finanziarie restano vulnerabili a causa di protocolli di autenticazione deboli. Molte banche si affidano ancora agli OTP via SMS, facilmente intercettabili tramite phishing o malware. L’adozione da parte dei commercianti del protocollo di sicurezza 3-D Secure (3DS) è ancora disomogenea, facilitando ulteriormente le frodi. Gli aggressori mantengono transazioni di piccolo importo, generalmente tra i 100 e i 500 dollari, per eludere i sistemi di rilevamento automatico delle frodi. Secondo ThreatFabric, attacchi come Ghost Tap potrebbero generare fino a 15 miliardi di dollari all’anno, con perdite medie di 250 dollari per carta compromessa su migliaia di domini di phishing.
Le istituzioni finanziarie e i fornitori di servizi di pagamento devono rafforzare l’autenticazione e il rilevamento delle frodi. L’autenticazione basata su app dovrebbe sostituire gli OTP via SMS, e la verifica multi-fattore dovrebbe essere obbligatoria per il collegamento dei portafogli digitali. Il monitoraggio delle frodi dovrebbe rilevare incongruenze geografiche e velocità di viaggio impossibili, come transazioni effettuate in paesi diversi nell’arco di pochi minuti. I terminali POS dovrebbero essere aggiornati per rilevare ritardi nei segnali NFC, e lo standard EMVCo per la registrazione temporale delle transazioni dovrebbe essere implementato su larga scala. L’educazione degli utenti sulle tattiche di phishing, come richieste OTP non sollecitate, è fondamentale. Apple Pay e Google Wallet non inviano mai richieste di verifica dirette, quindi la consapevolezza degli utenti è una difesa essenziale.
Poiché le tecniche di frode basate su NFC continuano a evolversi, la collaborazione tra banche, circuiti di pagamento e produttori di dispositivi è cruciale. Il rilevamento delle frodi basato sull’intelligenza artificiale e protocolli di autenticazione più solidi devono essere implementati tempestivamente per anticipare l’adattamento dei criminali informatici.
Source: Cyber Security News
La European Cyber Intelligence Foundation è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.