Los actores de amenazas están utilizando activamente una nueva técnica de retiro de efectivo llamada “ghost tap”, que utiliza información de tarjetas de crédito robadas conectadas a servicios de pago móvil como Apple Pay y Google Pay para convertir efectivo en efectivo.
Esta tecnología implica la retransmisión del tráfico de comunicación de campo cercano (NFC). Los ataques basados en NFC suelen ser un tipo de ciberataque que puede comprometer la seguridad de los dispositivos habilitados para NFC y la información personal y financiera que contienen.
Ejemplos recientes del creciente interés de los piratas informáticos en este tipo de ataques incluyen malware móvil como NFSkate, ataques que utilizan herramientas basadas en NFCGate contra tarjetas físicas y “mulas” de dispositivos y POS a los que están vinculadas tarjetas robadas. Esto incluye la retransmisión de tráfico NFC entre ellos.
“Aumento de las velocidades de comunicación debido a los avances de la red y la falta de detección adecuada basada en el tiempo en las terminales de cajeros automáticos/POS, ya que el dispositivo real con la tarjeta está ubicado físicamente lejos del lugar de la transacción. “El dispositivo no estaba presente en el POS o cajero automático. ),”, compartió ThreatFabric con Cyber Security News.
Retiro a través de retransmisión NFC
Durante su investigación, los investigadores encontraron una publicación en uno de los foros clandestinos en la que un usuario afirmaba que “puedo enviar una tarjeta Apple Pay/Google Pay desde mi teléfono al tuyo para operaciones NFC”.
Otro dijo: “Algunas personas ofrecen un método similar. Las transacciones se realizan utilizando el lector NFC integrado en su teléfono”.
En estos casos, los perpetradores estaban involucrados en el retiro de fondos de tarjetas robadas conectadas a sistemas de pago móvil como Google Pay y Apple Pay. Para vincular su tarjeta a un nuevo dispositivo mediante Apple Pay o Google Pay, los delincuentes deben obtener una OTP de su banco (a menudo proporcionada por SMS).
El teléfono inteligente de la víctima tiene instalado malware relacionado con la banca móvil. Las funciones de registro de teclas o ataques de superposición se utilizan para robar información de tarjetas de crédito.
El malware también podría interceptar el código OTP (mediante notificación push o SMS) y enviárselo al atacante para confirmar la conexión de la tarjeta al sistema de pago móvil.
Las víctimas proporcionan las credenciales de su tarjeta a un sitio web de phishing y luego solicitan una OTP (proporcionando nuevamente toda la información necesaria al atacante).
Retiro a través de retransmisión NFC
Como resultado, los atacantes utilizaron una herramienta disponible públicamente, NFCGate, para utilizar un servidor para pasar el tráfico NFC entre dos dispositivos, pagando efectivamente por ello.
Los actores de amenazas han reutilizado el NFCGate de la Universidad Tecnológica de Darmstadt (creado originalmente con fines de investigación) en un arma.
Cabe señalar que este esfuerzo también sirvió como base para la familia de malware NFSkate, destacando el uso cada vez mayor de la investigación académica por parte de los delincuentes para sus propios fines ilícitos.
Además, los ciberdelincuentes pueden instalar intermediarios entre los dispositivos con tarjetas robadas y los terminales POS de las tiendas minoristas para mantener el anonimato y realizar mayores retiros de efectivo.
Un ciberdelincuente con una tarjeta robada podría ubicarse lejos del lugar previsto (quizás en otro país) y podría utilizar la misma tarjeta en varios lugares diferentes en un corto período de tiempo.
Implementación de medidas antifraude
Al estar al tanto de las nuevas estrategias, las instituciones financieras pueden tomar medidas antifraude e identificar comportamientos sospechosos de los consumidores. Estos eventos consisten en:
Una tarjeta vinculada a un nuevo dispositivo (combinada con malware móvil identificado en el dispositivo de un cliente conocido es una fuerte evidencia de fraude). Se ejecutan múltiples transacciones en una ubicación inaccesible durante un período de tiempo entre transacciones (tiempo de viaje imposible).
Por lo tanto, para adelantarse a esta amenaza emergente y proteger adecuadamente el efectivo de los clientes, se necesitan modelos de detección avanzados, fuertes medidas de seguridad y cooperación de la industria para detectar y prevenir dicho fraude.
¿Es miembro del equipo SOC/DFIR? Analice archivos y enlaces de malware con ANY.RUN -> Pruébelo gratis
