Cibercriminosos desenvolveram um novo método para lucrar a partir de detalhes de cartões de crédito roubados vinculados a sistemas de pagamento móvel, como Apple Pay e Google Pay, apelidado de "Ghost Tap", que transmite dados de cartões NFC para mulas de dinheiro em todo o mundo.
A tática se baseia nos métodos anteriormente utilizados por malwares móveis como o NGate, documentado pela ESET em agosto, que envolvia a transmissão de sinais de Comunicação por Campo de Proximidade (NFC) de cartões de pagamento.
Ghost Tap é mais ofuscado e mais difícil de detectar, não requer o cartão ou o dispositivo da vítima, não precisa de interação contínua com a vítima e envolve mulas de dinheiro em múltiplas localizações remotas interagindo com terminais de Ponto de Venda (PoS).
A empresa de segurança móvel Threat Fabric descobriu o Ghost Tap, alertando sobre a adoção crescente e o potencial da nova tática, informando que recentemente observou um aumento no uso dessa tática ao vivo.
O primeiro passo no ataque é roubar os dados dos cartões de pagamento e interceptar as senhas de uso único (OTP) necessárias para o registro da carteira virtual no Apple Pay e Google Pay.
Roubar os dados do cartão de pagamento pode ser realizado por meio de malware bancário que exibe sobreposições que imitam aplicativos de pagamento digital ou através de páginas de phishing e keylogging.
OTPs podem ser roubados através de engenharia social ou por malwares que monitoram mensagens de texto.
Nos ataques baseados em NGate anteriores, era necessário enganar a vítima para escanear seu cartão usando o sistema NFC de seu dispositivo através de um malware especializado que os guiava por esse processo.
A ferramenta NFCGate ainda é usada para transmitir informações do cartão de pagamento.
No entanto, agora um servidor de retransmissão é colocado entre eles, enviando os detalhes para uma extensa rede de mulas de dinheiro enquanto ofusca suas localizações reais.
As mulas, então, realizam compras no varejo em escala e em múltiplas localizações usando o chip NFC de seus dispositivos, tornando difícil mapear a rede de fraude ou rastrear o atacante principal.
Nos ataques NGate, os atores de ameaças estavam limitados a pequenos pagamentos sem contato e saques em caixas eletrônicos que arriscavam sua anonimidade e até levavam a prisões em alguns casos.
Com a nova operação Ghost Taps, os atores de ameaças não realizam mais saques em caixas eletrônicos.
Em vez disso, realizam apenas saques em pontos de venda e os espalham entre uma ampla rede de mulas em todo o mundo.
Isso ofusca o caminho para os principais operadores da atividade maliciosa, colocando apenas as mulas em risco.
A Threat Fabric avisa que a nova tática é desafiadora para as instituições financeiras detectarem e interromperem, já que as transações parecem legítimas e abrangem múltiplas localizações.
Enquanto muitos mecanismos antifraude dos bancos detectam compras de locais incomuns, como ao viajar para outro país, os pesquisadores dizem que os inúmeros pequenos pagamentos podem burlar essas detecções.
"O novo tática para saques coloca um desafio para as organizações financeiras: a capacidade dos cibercriminosos de escalar as compras fraudulentas offline, fazendo múltiplos pequenos pagamentos em diferentes lugares, pode não acionar os mecanismos anti-fraude e pode permitir que cibercriminosos comprem com sucesso bens que podem ser revendidos (como cartões-presente)", explica a ThreatFabric.
Mesmo com todas essas pequenas transações aparentando vir de um único dispositivo (vinculado à mesma conta Apple Pay/Google Pay), o valor total perdido pode ser significativo se o ataque for aplicado em escala.
Para evitar rastreamento, as mulas colocam seus dispositivos em "modo avião", que ainda permite o funcionamento usual do sistema NFC.
A única maneira de se defender contra o Ghost Tap é para os bancos sinalizarem transações feitas a partir do mesmo cartão mas em locais que não são fisicamente possíveis de chegar no intervalo de tempo entre as cobranças.
Por exemplo, realizar uma transação fraudulenta em Nova York e, dez minutos depois, realizar outra em Chipre.
Do ponto de vista do consumidor, monitorar transações fraudulentas e reportá-las imediatamente ao seu banco é crucial para bloquear o cartão e minimizar as perdas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...