ThreatFabric 分析师发现了一种名为“Ghost Tap”的新套现方法,网络犯罪分子利用 NFC 中继工具从与 Apple Pay 和 Google Pay 等移动支付系统关联的被盗信用卡信息中窃取资金。
这种策略使诈骗者能够保持匿名,同时在多个地点扩大其业务,对金融机构和零售商都构成了重大威胁。
ThreatFabric 对地下论坛的调查揭示了有关通过 NFC 流量转发被盗信用卡信息的讨论。
帖子强调了将关联的 Apple Pay 或 Google Pay 卡从一台设备转移到另一台设备的能力,从而允许在线下零售商进行欺诈交易。
https://www.threatfabric.com/blogs/ghost-tap-new-cash-out-tactic-with-nfc-relay网络犯罪分子通过使用 NFCGate 等工具来实现这一目标,NFCGate 最初是达姆施塔特工业大学的一项合法学术研究项目,现已被用于恶意目的。
该策略涉及在两台设备之间中继 NFC 通信,以绕过支付系统的物理限制。
攻击者拥有一台设备,该设备带有与移动支付服务关联的被盗卡,而钱骡则使用另一台设备在销售点 (POS) 终端上购物。
钱骡的交易看似合法,隐藏了攻击者的身份和位置。
此过程所需的资源很少,包括一台具有 NFC 功能的移动设备和一张与 Apple Pay 或 Google Pay 关联的被盗卡、两台运行 NFCGate 的 NFC 设备,以及一个用于促进攻击者和钱骡之间通信的中继服务器。
设置完成后,被盗卡可同时在多个地点使用,使攻击者能够扩大其欺诈活动,同时避免被发现。
攻击者使用网络钓鱼计划和移动银行恶意软件来获取受害者的信用卡详细信息以及将信用卡与新设备关联所需的相关一次性密码 (OTP)。
常见技术包括具有覆盖或键盘记录功能的银行恶意软件捕获信用卡详细信息,并通过短信或推送通知拦截并转发给攻击者的 OTP。
另一种情况可能是受害者在攻击者控制的虚假网站上不知情地输入信用卡详细信息和 OTP。
风险与防御技巧
Ghost Tap 代表了欺诈手段的重大进步,它允许攻击者匿名、远程地进行购买(通常来自不同的国家),在短时间内在多个地点使用同一张被盗卡,并且通过雇用多个骡子同时进行交易来扩大操作。
传统的反欺诈系统很难检测到 Ghost Tap 活动,原因是:
-
交易似乎源自同一链接设备。
-
尽管单笔购买金额很快就会累积成巨额,但通常都低于欺诈检测门槛。
-
攻击者可能会禁用位置跟踪,使得识别持卡人的真实位置变得更加困难。
金融机构必须调整其安全措施以应对这一日益严重的威胁。
关键步骤包括标记新连接的设备(尤其是当与原始客户设备上的恶意软件配对时)作为潜在的欺诈指标,并识别在地理位置不可能的时间段内进行的交易,例如在遥远的地方快速购买。
另一个可靠的防御策略是实施系统来识别 NFC 中继异常,例如通信中的异常延迟或设备和交易位置之间的差异。
原文始发于微信公众号(网络研究观):新型“幽灵窃取” NFC 中继攻击窃取移动用户的资金
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论