(https://i.postimg.cc/6pCqYVYb/Ghost.png) (https://postimg.cc/gxkG0h93)
Los cibercriminales han ideado un nuevo método para retirar dinero de los datos de tarjetas de crédito robadas vinculadas a sistemas de pago móviles como Apple Pay y Google Pay, denominado "Ghost Tap", que transmite datos de tarjetas NFC a mulas de dinero en todo el mundo.
La táctica se basa en los métodos implementados anteriormente por malware móvil como NGate, documentado por ESET en agosto, que implicaba la transmisión de señales de comunicación de campo cercano (NFC) desde tarjetas de pago.
Ghost Tap es más ofuscado y más difícil de detectar, no requiere la tarjeta o el dispositivo de la víctima, no necesita un intercambio continuo de la víctima e implica mulas de dinero en múltiples ubicaciones remotas que interactúan con terminales de punto de venta (PoS).
La empresa de seguridad móvil Threat Fabric descubrió Ghost Tap, que advierte sobre la creciente adopción y el potencial de la nueva táctica, y le dijo a BleepingComputer que recientemente ha visto un aumento en el uso de esta táctica.
Actores de amenazas buscan mulas de dinero en foro de cibercrimen
(https://i.postimg.cc/N0YMVyns/money-mules.png) (https://postimg.cc/TK7f5PGF)
Descripción general de Ghost Tap y comparación con NGate
El primer paso del ataque es robar los datos de las tarjetas de pago e interceptar las contraseñas de un solo uso (OTP) necesarias para la inscripción en la billetera virtual de Apple Pay y Google Pay.
El robo de los datos de las tarjetas de pago se puede lograr mediante malware bancario que muestra superposiciones que imitan las aplicaciones de pago digital o mediante páginas de phishing y keylogging. Las OTP se pueden robar mediante ingeniería social o mediante malware que monitorea los mensajes de texto.
En los ataques anteriores basados en NGate, era necesario engañar a la víctima para que escaneara su tarjeta utilizando el sistema NFC de su dispositivo mediante malware especializado que la guiaba a través de este proceso.
La herramienta NFCGate todavía se utiliza para transmitir información de tarjetas de pago. Sin embargo, se coloca un servidor de retransmisión en el medio, que envía los detalles a una extensa red de mulas de dinero mientras oculta sus ubicaciones reales.
Luego, las mulas realizan compras minoristas a gran escala y en múltiples ubicaciones utilizando el chip NFC de su dispositivo, lo que dificulta mapear la red de fraude o rastrear al atacante principal.
En los ataques a NGate, los actores de amenazas se limitaron a pequeños pagos sin contacto y retiros en cajeros automáticos que ponían en riesgo su anonimato e incluso condujeron a arrestos en algunos casos.
Con la nueva operación Ghost Taps, los actores de amenazas ya no realizan retiros en cajeros automáticos. En su lugar, solo realizan retiros de efectivo en puntos de venta y los distribuyen entre una amplia red de mulas en todo el mundo.
Esto ofusca el rastro hacia los principales operadores de la actividad maliciosa, lo que solo pone en riesgo a las mulas.
Descripción general de la táctica Ghost Tap
(https://i.postimg.cc/D0tfcmsK/Overview-of-the-Ghost-Tap.png) (https://postimg.cc/7JnyHHmB)
Protección contra el Ghost Tap
Threat Fabric advierte que la nueva táctica es difícil de detectar y detener para las instituciones financieras, ya que las transacciones parecen legítimas y abarcan múltiples ubicaciones.
Si bien los mecanismos antifraude de muchos bancos detectan compras desde ubicaciones inusuales, como cuando se viaja a otro país, los investigadores dicen que los numerosos pagos pequeños pueden pasar por alto estas detecciones.
"La nueva táctica para los retiros de efectivo plantea un desafío para las organizaciones financieras: la capacidad de los cibercriminales para escalar las compras fraudulentas fuera de línea, realizando múltiples pagos pequeños en diferentes lugares, podría no activar los mecanismos antifraude y podría permitir a los cibercriminales comprar con éxito bienes que luego pueden revenderse (como tarjetas de regalo)", explica ThreatFabric.
Incluso aunque todas estas pequeñas transacciones parezcan provenir de un solo dispositivo (vinculado a la misma cuenta de Apple Pay/Google Pay), la cantidad total perdida puede ser significativa si el ataque se aplica a gran escala.
Para evadir el seguimiento, las mulas ponen sus dispositivos en "modo avión", lo que aún permite que el sistema NFC funcione como de costumbre.
La única forma de protegerse contra Ghost Tap es que los bancos señalen las transacciones realizadas con la misma tarjeta, pero en lugares a los que no sea físicamente posible llegar en el lapso de tiempo entre los cargos. Por ejemplo, realizar una transacción fraudulenta en Nueva York y, diez minutos después, realizar otra en Chipre.
Desde la perspectiva del consumidor, controlar las transacciones fraudulentas e informarlas al banco de inmediato es crucial para bloquear la tarjeta y minimizar las pérdidas.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-ghost-tap-attack-abuses-nfc-mobile-payments-to-steal-money/