Ghost Tap: Hackers exploram o NFCGate para roubar saldos bancários por meio de pagamentos móveis

A Técnica, Batizada de Ghost Tap pela ThreatFabric, permite que hackers realizem saques em dinheiro de cartões de crédito roubados vinculados a serviços de pagamento móvel como Google Pay ou Apple Pay, relacionando o tráfego NFC.

"Criminosos agora podem eplorar o Google Pay e Apple Pay para transmitir suas informações de pagamento por toque em questão de segundos," disse a empresa de segurança holandesa ThreatFabric em uma declaração ao The Hacker News. "Isso significa que, mesmo sem o cartão físico ou o telefone, eles podem fazer pagamentos da sua conta em qualquer parte do mundo."

Esses ataques geralmente funcionam enganando as vítimas para que baixem malware bancário móvel, que pode capturar credenciais bancárias e senhas de uso único por meio de um ataque de sobreposição ou um registrador de teclas. Alternativamente, pode envolver um componente de phishing por voz.

Uma vez em posse dos detalhes do cartão, os hackers procedem para vincular o cartão ao Google Pay ou Apple Pay. No entanto, numa tentativa de evitar que os cartões sejam bloqueados pela emissora, as informações de pagamento por toque são repassadas para um "mula", responsável por fazer compras fraudulentas em uma loja.

Isso é realizado através de uma ferramenta de pesquisa legítima chamada NFCGate, que pode capturar, analisar ou modificar o tráfego NFC. Também pode ser usada para passar o tráfego NFC entre dois dispositivos usando um servidor.

"Um dispositivo atua como 'leitor', lendo uma etiqueta NFC, enquanto o outro dispositivo emula uma etiqueta NFC usando a Emulação de Cartão Host (HCE)", de acordo com pesquisadores do Laboratório de Redes Móveis Seguras da TU Darmstadt.

Embora o NFCGate já tenha sido utilizado por maus atores para transmitir informações NFC dos dispositivos das vítimas para o atacante, como documentado pela ESET em agosto de 2024 com o malware NGate, o desenvolvimento mais recente marca a primeira vez que a ferramenta é mal utilizada para retransmitir dados.

"Hackers podem estabelecer um relé entre um dispositivo com o cartão roubado e um terminal de ponto de venda (POS) de um varejista, permanecendo anônimos e realizando saques em maior escala", observou a ThreatFabric.

"O hacker com o cartão roubado pode estar longe do local (mesmo em outro país) onde o cartão será utilizado, bem como usar o mesmo cartão em múltiplos locais em um curto período de tempo."

A tática oferece mais vantagens pois pode ser usada para comprar cartões-presente em varejistas offline sem que os hackers precisem estar presentes fisicamente. Ainda pior, pode ser utilizada para escalar o esquema fraudulento com a ajuda de várias "mulas" em diferentes locais num curto espaço de tempo.

A complicação na detecção de ataques Ghost Tap reside no fato de que as transações parecem originar do mesmo dispositivo, assim, contornando mecanismos antifraude. O dispositivo com o cartão vinculado também pode estar no modo avião, o que pode complicar os esforços para detectar sua localização real e que ele não foi realmente utilizado para fazer a transação no terminal de ponto de venda.

"Suspeitamos que a evolução das redes com velocidades de comunicação crescentes, juntamente com a falta de detecção baseada em tempo adequada em terminais de ATM/POS, tornou esses ataques possíveis, onde os dispositivos reais com os cartões estão fisicamente localizados longe do lugar onde a transação é realizada (o dispositivo não está presente no POS ou ATM)", notou a ThreatFabric.

"Com a capacidade de escalar rapidamente e operar sob um manto de anonimato, este método de saque apresenta desafios significativos tanto para instituições financeiras quanto para estabelecimentos comerciais."

Via - THN