Кардеры используют NFC для превращения украденных кредитных карт в наличные без PIN-кода

[Man]

ThreatFabric выявила новую тактику обналичивания, которая ранее не встречалась, под названием «Ghost Tap», которую кардеры используют для эксплуатации украденных данных кредитных карт, связанных с мобильными платежными сервисами, такими как Google Pay и Apple Pay. Этот метод включает в себя ретрансляцию трафика NFC (Near Field Communication) для анонимного и масштабного выполнения транзакций. Кардеры используют такие инструменты, как NFCGate, для ретрансляции трафика NFC между устройством с украденной картой и терминалом точки продаж, что позволяет им совершать покупки без физического присутствия на месте. Эта тактика создает значительные проблемы для финансовых учреждений в обнаружении и предотвращении таких мошеннических действий. Я объяснил, как это работает, и продемонстрировал ретрансляцию NFC из приложения Google Wallet в видео ниже.

Как это работает​

Эта техника вводит несколько новых элементов, которые делают ее особенно интересной:

1. Кража данных кредитной карты: кардер крадет данные кредитной карты жертвы и перехватывает OPT-коды, используя вредоносное ПО для Android, которое должно быть заранее установлено на устройстве жертвы, или используя фишинг.
2. Регистрация кредитной карты: кардер регистрирует украденную карту с помощью своего смартфона, используя приложение Google Wallet или Apple Pay.
3. Избежать обнаружения: чтобы скрыть от правоохранительных органов местонахождение и личность кардера, они используют мулов и ретрансляторы трафика NFC.
4. Использование мулов: Используя посредников (мулов), они выполняют часть своих операций, например, обналичивание украденных карт, чтобы еще больше дистанцироваться от преступления - кардинга. Мул может находиться на другом конце света, но быть подключенным к интернету. На картинке ниже вы можете видеть посты с подпольного форума, где кардеры ищут мулов (дропов).
   
   
5. NFC Relay Attack: в отличие от традиционных методов, Ghost Tap использует атаки с ретрансляцией для эксплуатации украденных данных кредитной карты. Это позволяет мошенникам совершать транзакции без наличия физической карты или нахождения рядом с терминалом POS.
6. NFCGate: чтобы иметь возможность ретранслировать трафик NFC от кардера, который зарегистрировал данные украденной кредитной карты, к мулу, который может совершать платежи на терминале, они использовали набор инструментов NFCGate, который может многократно пересылать сеанс NFC с устройства кардера к мулу, см. архитектуру NFCGate ниже.
   
   
7. Покупка товаров или возврат наличных: Мул может совершить несанкционированную покупку в терминале на другом конце света и, возможно, получить возврат наличных, если это возможно.

Обход проверки PIN-кода: обналичивание разницы между украденной физической картой и картой, зарегистрированной в приложении мобильного кошелька​

Подводя итог, можно сказать, что с украденной физической платежной картой можно совершать небольшие бесконтактные платежи, которые ограничены банком. Все, что превышает этот порог, требует ввода PIN-кода.

Платежная карта, зарегистрированная в приложении кошелька на устройстве кардера, не запрашивает ввод PIN-кода для бесконтактных платежей сверх порога в рамках авторизации, вместо держателя карты требуется только авторизация владельца устройства. Благодаря этому этот тип атаки эффективно обходит ограничение для бесконтактных платежей без знания PIN-кода.

История атак на ретрансляторы NFC​

Это второй случай использования NFC-реле через набор инструментов NFCGate кардерами в этом году. Впервые задокументированный случай был использован для отправки данных с бесконтактной платежной карты жертвы через смартфон жертвы, на котором была установлена вредоносная программа NGate, на смартфон кардера, который мог снимать деньги в банкомате. Демонстрация визуализирована на видео ниже.

Я представлю это исследование со своими идеями на конференции по кибербезопасности AVAR 2024. Если вы собираетесь на конференцию, не стесняйтесь зайти и поздороваться .

Профилактика​

Поскольку весь сценарий атаки основан на том факте, что устройство жертвы уже скомпрометировано вредоносным ПО, которое выманивает данные кредитной карты, обязательно устанавливайте приложения только из надежных источников.

Обратите внимание на электронные письма, полученные от банка. Когда кредитная карта регистрируется на втором смартфоне, первый смартфон обычно не уведомляется напрямую. Однако эмитент карты или мобильный платежный сервис (например, Google Pay или Apple Pay) может отправить электронное письмо или push-уведомление владельцу счета, чтобы сообщить ему о регистрации нового устройства. Это мера безопасности, призванная предупредить владельца карты о любой потенциальной несанкционированной активности.

Заключение​

Ghost Tap позволяет проводить транзакции анонимно и в большем масштабе. Использование таких инструментов, как NFCGate, позволяет передавать трафик NFC между устройством с украденной картой и POS-терминалом, что затрудняет отслеживание мошенничества до преступников. Этот метод создает значительные проблемы для финансовых учреждений в обнаружении и предотвращении таких мошеннических действий. Транзакции кажутся законными, поскольку они обрабатываются через стандартные мобильные платежные сервисы, что затрудняет выявление и блокировку подозрительной активности.

Источник

 

[Man]

Злоумышленники увеличивают масштабы обналичивания​

Тактики обналичивания, применяемые мошенниками, представляют особый интерес для финансовых учреждений по очевидным причинам: возможность обнаружить аномалию в потоке активов клиентов, соответствующую известной тактике обналичивания, позволяет защитить активы ничего не подозревающих клиентов, а также выявить схемы отмывания денег в рамках соблюдения требований по борьбе с мошенничеством.

Зная это, мошенники постоянно ищут новые способы обналичить украденные средства, чтобы избежать обнаружения на основе мониторинга транзакций, а также обеспечить стабильность и масштабируемость процесса обналичивания, оставаясь анонимными и при этом легко находя новых мулов.

В ходе наших недавних расследований аналитики ThreatFabric обнаружили новую тактику обналичивания, активно используемую злоумышленниками, а также продвигаемую на подпольных форумах. Этот отчет посвящен объяснению этой новой тактики, которую мы назвали «Ghost Tap», используемой злоумышленниками для обналичивания денег, украв данные кредитных карт, связанных с мобильными платежными сервисами, такими как Google Pay или Apple Pay, и включающей ретрансляцию трафика NFC.

Новая тактика вывода наличных: ретрансляция трафика NFC​

В ходе расследования аналитики ThreatFabric наткнулись на пост на одном из подпольных форумов, где пользователь утверждал, что может «отправить мою карту Apple Pay/Google Pay с моего телефона на ваш телефон для работы NFC». Другой пользователь упоминал, что «есть и другие люди, которые предлагают похожий метод, … транзакции совершаются с использованием встроенного в телефон считывателя NFC».

Пост на форуме Underground

В этих случаях преступники имели в виду некий способ обналичить деньги с украденных карт, которые были привязаны к мобильным платежным системам, таким как Apple Pay или Google Pay. Чтобы привязать карту к новому устройству с Apple Pay или Google Pay, киберпреступникам нужно было получить OTP от банка (вероятно, отправленный по SMS). Наиболее вероятные сценарии для этого:

1. На устройстве жертвы установлено вредоносное ПО для мобильного банкинга. Данные кредитной карты похищаются с помощью оверлейной атаки или возможностей кейлоггера. Код OTP может быть далее перехвачен вредоносным ПО (из SMS или push-уведомления) и отправлен злоумышленникам, успешно подтвердив привязку карты к мобильной платежной системе.
2. Жертва отправляет данные своей карты на фишинговый сайт, который затем запрашивает одноразовый пароль (тем самым снова предоставляя злоумышленникам все необходимые данные).

На этом этапе киберпреступники привязывают украденную карту к своему устройству, которое они могут в дальнейшем использовать и тратить довольно значительные суммы в офлайн-магазинах.

Однако это, очевидно, представляет значительный риск для преступников — если они используют устройство с украденной картой напрямую, правоохранительные органы могут дополнительно идентифицировать их в ходе расследования после заявления владельца карты. Более того, если преступникам нужно «обработать» значительное количество карт, они не смогут сделать это быстро, тем самым увеличивая риск блокировки карт эмитентом. Это ставит перед преступниками задачу масштабировать обналичивание, а также оставаться анонимными на этом последнем этапе осуществления мошенничества.

В результате злоумышленники применили тактику, о которой мы сообщили в закрытом отчете для клиентов о NFSkate в апреле 2024 года (также опубликованном в августе компанией ESET под названием NGate): с помощью общедоступного инструмента NFCGate они передают трафик NFC от одного киберпреступника (злоумышленника) другому (дропу) и делают это масштабируемым образом, эффективно обналичивая деньги.

Концепция призрачного крана​

Киберпреступники все чаще используют законные исследовательские инструменты для вредоносных целей. Ярким примером является NFCGate, разработанный в Техническом университете Дармштадта, который изначально был разработан для исследовательских целей, но был превращен в оружие злоумышленниками. Примечательно, что семейство вредоносных программ NFSkate также основано на этом проекте, что подчеркивает растущую тенденцию злоумышленников использовать академические исследования для незаконной выгоды.

На этот раз киберпреступники нашли другое применение этому инструменту: обналичивание денег. Киберпреступники могут установить связь между устройством с украденной картой и POS-терминалом в розничном магазине, оставаясь анонимными и выполняя обналичивание в более крупных масштабах. Киберпреступник с украденной картой может находиться далеко от места (даже в другой стране), где будет использоваться карта, а также использовать одну и ту же карту в нескольких местах в течение короткого периода времени.

В следующем объяснении мы используем термин « Злоумышленник » в отношении киберпреступника, владеющего данными украденной карты и устройством с зарегистрированной украденной картой, а « Мул » — в отношении человека, который взаимодействует с POS-терминалом и покупает товары в офлайн-магазинах.

Предпосылки для реализации этой тактики довольно просты: мобильное устройство с NFC и украденной картой, привязанной к мобильной платежной системе (это может быть устройство iOS или Android), два устройства с установленным NFCGate и сервер, настроенный на ретрансляцию трафика.

В список не включены какие-либо дорогостоящие или закрытые проприетарные ресурсы, все может быть легко получено киберпреступниками, действующими в качестве злоумышленников, и, что еще важнее, легко получено преступниками, действующими в качестве мулов, поскольку никаких специальных знаний/навыков не требуется.

Такой подход позволяет киберпреступникам привязывать карты к сервисам мобильных платежей, чтобы:

• Покупайте товары (например, подарочные карты) в офлайн-магазинах, сохраняя анонимность и находясь далеко от местонахождения магазина.
• Масштабируйте мошенничество, позволяя нескольким посредникам в разных местах скупать товары в течение короткого периода времени.

На следующем рисунке показана схема взаимодействий:

Атаки на основе NFC становятся популярными​

Как уже упоминалось ранее в блоге, киберпреступники все больше внимания уделяют атакам на основе NFC. Мобильное вредоносное ПО, такое как NFSkate, атаки с использованием инструментов на основе NFCGate на физические карты, ретрансляция трафика NFC между устройством с привязанной украденной картой и «мулом» в POS — все это недавние примеры растущего интереса киберпреступников к таким атакам.

Мы подозреваем, что развитие сетей с ростом скорости связи в сочетании с отсутствием надлежащего временного обнаружения на банкоматах/POS-терминалах сделало эти атаки возможными, поскольку реальные устройства с картами физически расположены далеко от места, где выполняется транзакция (устройство не присутствует в POS-терминале или банкомате).

Без дальнейшего внедрения механизмов обнаружения на стороне считывателей NFC (банкоматы и POS-терминалы должны обнаруживать задержку во время транзакции и определять фактическое взаимодействие устройства со считывателем), сервисов мобильных платежей (обнаруживать подозрительное несоответствие местоположения устройства и места оплаты) эти атаки могут стать еще более популярными среди киберпреступников.

Выявление мошеннических обналичиваний​

Новая тактика обналичивания денег представляет собой проблему для финансовых организаций: способность киберпреступников масштабировать мошеннические офлайн-покупки, совершая несколько небольших платежей в разных местах, может не сработать антимошеннические механизмы и позволить киберпреступникам успешно покупать товары, которые можно перепродать (например, подарочные карты). Проблема обнаружения Ghost Tap возникает по нескольким причинам:

• Судя по всему, транзакции происходят с одного и того же устройства (нет подозрительных новых устройств с привязанной картой, нет признаков участия других устройств)
• Суммы, потраченные за одну транзакцию, могут быть довольно низкими, ниже определенного порога, в то время как общая сумма, потраченная за короткий промежуток времени, может быть значительной.
• Устройство с привязанной картой может быть переведено в режим «в самолете», что усложнит определение местоположения фактического устройства с картой и обнаружение фактического отсутствия его у POS-терминала.

Однако осведомленность о новой тактике позволяет финансовым организациям внедрять механизмы борьбы с мошенничеством для обнаружения подозрительных событий в поведении клиентов. К таким событиям относятся:

• Карта, привязанная к новому устройству (в сочетании с вредоносным ПО для мобильных устройств, обнаруженным на известном устройстве клиента, становится весомым признаком мошенничества)
• Множественные транзакции выполняются в местах, которые недоступны в течение периода времени между транзакциями (невозможное время в пути).

Поскольку эти мошеннические обналичивания Ghost Tap на самом деле являются последним шагом в совершении мошенничества, важно предотвратить (или быть готовым) к возможности самого мошенничества. Вредоносное/необычное поведение, обнаруженное на устройстве клиента (которое потенциально может быть причиной кражи данных кредитной карты), может еще больше увеличить риск мошеннических событий с учетной записью клиента — карта привязана к новому устройству, транзакции, выполненные с этим новым привязанным устройством и т. д. — таким образом, предоставляя эффективный инструмент для предотвращения мошеннических транзакций с NFC-реле.

Заключение​

Растущее внимание к атакам на основе NFC подчеркивает тревожную тенденцию в финансовой киберпреступности, поскольку все больше и больше злоумышленников осознают потенциал методов ретрансляции NFC для мошеннической деятельности и схем обналичивания. Этот недавно обнаруженный подход Ghost Tap использует общедоступную технологию, делая ее доступной для более широкого круга киберпреступников без необходимости в дорогостоящих или специализированных ресурсах. Благодаря возможности быстрого масштабирования и работы под прикрытием анонимности этот метод обналичивания представляет собой серьезные проблемы как для финансовых учреждений, так и для розничных предприятий. Для обнаружения и смягчения такого мошенничества потребуются передовые модели обнаружения, надежные меры безопасности и сотрудничество в отрасли, чтобы идти в ногу с этой новой угрозой и эффективно защищать активы клиентов.

Источник

 

[chirivicki_10]

познавательно