Der Angriff beginnt mit dem Diebstahl von Zahlungsinformationen und Einmalpasswörtern (OTP), die oft durch Phishing-Kampagnen oder mobile Malware erbeutet werden. Cyberkriminelle verknüpfen diese gestohlenen Karten mit kompromittierten Geräten und umgehen so Sicherheitsmaßnahmen. Im Gegensatz zu früheren Carding-Methoden, die auf das Klonen von Magnetstreifen angewiesen waren, nutzt Ghost Tap kontaktlose Zahlungssysteme aus, indem es Werkzeuge wie NFCGate einsetzt, die ursprünglich für Sicherheitstests im NFC-Bereich entwickelt wurden.
Durch das Weiterleiten von NFC-Signalen zwischen zwei Geräten trennen Angreifer die Transaktion von der Authentifizierung. Ein „Mule“-Gerät interagiert mit einem Kassenterminal (POS), während ein „Master“-Gerät, das sich oft in einem anderen Land befindet, die Transaktion aus der Ferne autorisiert. Diese Methode ermöglicht es Betrügern, gleichzeitig Einkäufe an mehreren Standorten zu tätigen, was die Erkennung erschwert.
Chinesische Cyberkriminelle haben ihre Phishing-Strategien weiterentwickelt und nutzen Smishing-Kampagnen, die sich als Postdienste oder Mautstellenbetreiber ausgeben, um Zahlungsdaten zu stehlen. Fortschrittliche Phishing-Kits erfassen die Daten in Echtzeit, selbst wenn das Opfer die Seite vorzeitig verlässt. Einige Angreifer generieren auch gefälschte Kartenbilder, die in Apple Pay oder Google Wallet gescannt werden, um eine OTP-Verifizierung auszulösen. Die Android-App ZNFC, die für 500 US-Dollar pro Monat erhältlich ist, ermöglicht NFC-Relay-Angriffe weltweit und macht physische Kartenklonung überflüssig, während die betrügerischen Transaktionen auf mehrere Mules verteilt werden.
Trotz Sicherheitsmaßnahmen wie Tokenisierung in Apple Pay und virtuellen Karten in Google Wallet bleiben Finanzinstitute aufgrund schwacher Authentifizierungsprotokolle anfällig. Viele Banken verlassen sich immer noch auf SMS-OTPs, die leicht durch Phishing oder Malware abgefangen werden können. Die Einführung des 3-D Secure (3DS)-Protokolls durch Händler ist uneinheitlich, was den Betrug weiter erleichtert. Angreifer halten die Transaktionsbeträge niedrig, in der Regel zwischen 100 und 500 US-Dollar, um unterhalb der Betrugserkennungsschwellen zu bleiben. Laut ThreatFabric könnten Ghost-Tap-Angriffe jährlich bis zu 15 Milliarden US-Dollar einbringen, mit durchschnittlichen Verlusten von 250 US-Dollar pro kompromittierter Karte auf Tausenden von Phishing-Domains.
Finanzinstitute und Zahlungsdienstleister müssen die Authentifizierung und Betrugserkennung verbessern. App-basierte Authentifizierung sollte SMS-OTPs ersetzen, und eine Multi-Faktor-Authentifizierung sollte für die Verknüpfung digitaler Geldbörsen obligatorisch sein. Die Betrugserkennung sollte geografische Unstimmigkeiten und unmögliche Reisegeschwindigkeiten identifizieren, beispielsweise Transaktionen, die innerhalb weniger Minuten in verschiedenen Ländern stattfinden. Kassenterminals sollten aktualisiert werden, um Verzögerungen bei NFC-Signalen zu erkennen, und der EMVCo-Standard für die Zeitstempelung von Transaktionen sollte weit verbreitet eingeführt werden. Die Sensibilisierung der Nutzer für Phishing-Taktiken, wie unaufgeforderte OTP-Anfragen, ist entscheidend. Apple Pay und Google Wallet fordern niemals direkte Verifizierungen an, weshalb das Bewusstsein der Nutzer eine wichtige Verteidigungslinie darstellt.
Da NFC-basierte Betrugstechniken immer ausgefeilter werden, ist eine enge Zusammenarbeit zwischen Banken, Zahlungsnetzwerken und Geräteherstellern unerlässlich. KI-gestützte Betrugserkennung und stärkere Authentifizierungsprotokolle müssen implementiert werden, bevor Cyberkriminelle ihre Methoden weiter verfeinern.
Source: Cyber Security News
Die European Cyber Intelligence Foundation ist ein gemeinnütziger Think Tank, der sich auf Geheimdienste und Cybersicherheit spezialisiert hat und Beratungsdienste für Regierungsbehörden anbietet. Um potenzielle Bedrohungen zu mindern, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen, oder Sie können es selbst versuchen mit check.website.