Tehdit aktörleri, çalınan ve Apple Pay veya Google Pay gibi mobil ödeme hizmetlerine bağlanan kredi kartı bilgilerini kullanarak para çekmek için “Ghost Tap” adı verilen yeni bir para çekme tekniğini aktif olarak kullanıyor.
Bu teknik, yakın alan iletişimi (NFC) trafiğinin aktarılmasını içerir. Tipik olarak NFC tabanlı saldırılar, NFC özellikli cihazların güvenliğini ve içerdikleri kişisel ve finansal bilgileri tehlikeye atabilecek bir siber saldırı biçimidir.
Bilgisayar korsanlarının bu tür saldırılara artan ilgisinin son örnekleri arasında NFSkate gibi mobil kötü amaçlı yazılımlar, fiziksel kartlar üzerinde NFCGate tabanlı araçları kullanan saldırılar ve bağlantılı çalıntı karta sahip bir cihaz ile POS’taki bir “katır” arasında NFC trafiğinin aktarılması yer alıyor.
“İletişim hızının arttığı ağların evrimi ve ATM/POS terminallerinde zamana dayalı uygun tespit eksikliğinin, kartlı gerçek cihazların fiziksel olarak işlemin yapıldığı yerden çok uzakta konumlandırıldığı bu saldırıları mümkün kıldığından şüpheleniyoruz. ThreatFabric, Cyber Security News ile paylaştı.
NFC Rölesi ile Nakit Çıkışı
Araştırmacılar, araştırma sırasında yer altı forumlarından birinde bir kullanıcının “NFC işlemi için apple pay/google pay kartımı telefonumdan sizin telefonunuza gönderebildiğini” iddia ettiği bir gönderiyi fark etti.
Bir başka kişi ise “Benzer yöntemi sunan başka kişiler de var, … işlemler telefonun dahili NFC okuyucusu kullanılarak yapılıyor” dedi.
Bu olayların aktörleri, Google Pay veya Apple Pay gibi mobil ödeme sistemlerine bağlı çalıntı kartlardan para çekme işine karıştı. Kartı Apple Pay veya Google Pay kullanarak yeni bir cihaza bağlamak için suçluların bankadan (genellikle SMS yoluyla verilen) bir OTP alması gerekir.
Kurbanın akıllı telefonunda mobil bankacılıkla ilgili kötü amaçlı yazılım yüklü. Kredi kartı bilgilerini çalmak için keylogging yetenekleri veya katman saldırıları kullanılır.
Kötü amaçlı yazılım, OTP kodunu (anlık bildirimler veya SMS yoluyla) ele geçirip saldırganlara gönderebilir, böylece kartın mobil ödeme sistemiyle bağlantısını doğrulayabilir.
Kurban, kimlik avı web sitesine kartın kimlik bilgilerini sağlar ve ardından bir OTP ister (saldırganlara ihtiyaç duydukları tüm bilgileri yeniden sağlar).
Sonuç olarak, tehdit aktörleri, bir sunucu kullanarak iki cihaz arasındaki NFC trafiğini aktarmak için halka açık NFCGate aracını kullandı ve esasen para ödedi.
Tehdit aktörleri, TU Darmstadt’ın başlangıçta araştırma amaçlı oluşturulan NFCGate’ini silaha dönüştürdü.
Bu çabanın aynı zamanda NFSkate kötü amaçlı yazılım ailesi için de temel oluşturması dikkat çekicidir ve suç aktörlerinin akademik araştırmaları kendi yasa dışı amaçları için kullanma konusundaki giderek artan uygulamalarının altını çizmektedir.
Ayrıca, siber suçlular, anonim kalmak ve daha büyük ölçekte para çekme işlemi gerçekleştirmek için, çalıntı kartı olan bir cihaz ile bir perakendecinin satış noktası terminali arasında bir aktarım kurabilir.
Çalınan kartı olan bir siber suçlu, kullanım amacından uzakta (belki de farklı bir ülkede) bulunabilir ve aynı kartı kısa süre içinde birçok farklı yerde kullanabilir.
Dolandırıcılığa Karşı Önlemleri Uygulayın
Finansal kurumlar, yeni stratejinin farkında olarak şüpheli tüketici davranışlarını tespit etmek için dolandırıcılığa karşı önlemler uygulayabilir. Bu olaylar şunlardan oluşur:
- Yeni bir cihaza bağlanan kart (bilinen müşterinin cihazında tanımlanan mobil kötü amaçlı yazılımlarla birleştirildiğinde güçlü bir sahtekarlık kanıtı haline gelir).
- İşlemler arasındaki süre içinde (imkansız seyahat süresi) erişilemeyen yerlerde birden fazla işlem gerçekleştirilir.
Bu nedenle, bu yeni tehdidin bir adım önünde olmak ve müşteri parasını başarılı bir şekilde korumak için, bu tür dolandırıcılıkların tespit edilmesi ve önlenmesi, gelişmiş tespit modellerine, güçlü güvenlik önlemlerine ve sektör işbirliğine ihtiyaç duyacaktır.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin