L’attaque commence par le vol des données des cartes de paiement et des mots de passe à usage unique (OTP), souvent obtenus via des campagnes de phishing ou des malwares mobiles. Les fraudeurs associent ces cartes volées à des appareils compromis, contournant ainsi les mesures de sécurité. Contrairement aux anciennes méthodes de carding basées sur la copie des bandes magnétiques, Ghost Tap exploite les systèmes de paiement sans contact grâce à des outils comme NFCGate, initialement développés pour tester la sécurité des communications NFC.
En relayant les signaux NFC entre deux appareils, les attaquants dissocient la transaction de l’authentification. Un appareil “mule” interagit avec un terminal de paiement (POS), tandis qu’un appareil “maître”, souvent situé dans un autre pays, valide la transaction à distance. Cette méthode permet aux fraudeurs de réaliser des achats simultanés dans plusieurs endroits, rendant la détection plus difficile.
Des groupes de cybercriminels chinois ont perfectionné leurs stratégies de phishing, utilisant des campagnes de smishing qui se font passer pour des services postaux ou des opérateurs de péages afin de voler des informations de paiement. Des kits de phishing avancés capturent les données en temps réel, même si la victime quitte la page avant de la valider. Certains attaquants génèrent également de fausses images de cartes, scannées dans Apple Pay ou Google Wallet pour déclencher une vérification OTP. L’application Android ZNFC, disponible pour 500 dollars par mois, facilite les attaques de relais NFC à l’échelle mondiale, supprimant la nécessité de cloner physiquement des cartes et répartissant les transactions frauduleuses entre plusieurs mules.
Malgré les mesures de sécurité comme la tokenisation d’Apple Pay et les cartes virtuelles de Google Wallet, les institutions financières restent vulnérables en raison de protocoles d’authentification faibles. De nombreuses banques s’appuient encore sur les OTP envoyés par SMS, facilement interceptables via le phishing ou des malwares. L’adoption du protocole 3-D Secure (3DS) par les commerçants est encore inégale, facilitant davantage les fraudes. Les attaquants maintiennent des transactions de faible montant, généralement entre 100 et 500 dollars, afin d’éviter les seuils de détection des fraudes. Selon ThreatFabric, les attaques Ghost Tap pourraient générer jusqu’à 15 milliards de dollars par an, avec une perte moyenne de 250 dollars par carte compromise sur des milliers de domaines de phishing.
Les institutions financières et les fournisseurs de services de paiement doivent renforcer l’authentification et la détection des fraudes. L’authentification basée sur des applications devrait remplacer les OTP envoyés par SMS, et la vérification multifactorielle devrait être obligatoire pour l’enregistrement des portefeuilles numériques. La surveillance des fraudes doit détecter les incohérences géographiques et les déplacements impossibles, comme des transactions effectuées dans différents pays en quelques minutes. Les terminaux POS doivent être mis à jour pour détecter les délais anormaux dans les signaux NFC, et la norme EMVCo pour l’horodatage des transactions devrait être adoptée à grande échelle. L’éducation des utilisateurs sur les tactiques de phishing, telles que les demandes d’OTP non sollicitées, est essentielle. Apple Pay et Google Wallet ne demandent jamais de vérification directe, faisant de la sensibilisation des utilisateurs une ligne de défense clé.
Avec l’évolution des techniques de fraude basées sur le NFC, la collaboration entre les banques, les réseaux de paiement et les fabricants d’appareils est essentielle. L’implémentation de solutions de détection des fraudes basées sur l’intelligence artificielle et de protocoles d’authentification plus robustes est nécessaire avant que les cybercriminels n’affinent davantage leurs tactiques.
Source: Cyber Security News
La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.