Siber suçlular, Apple Pay ve Google Pay gibi mobil ödeme sistemleriyle bağlantılı çalıntı kredi kartı bilgilerinden para çekmek için, NFC kart verilerini dünya çapındaki para kuryelerine aktaran ‘Ghost Tap’ adı verilen yeni bir yöntem geliştirdi.
Taktik, ESET tarafından Ağustos ayında belgelenen ve ödeme kartlarından Yakın Alan İletişimi (NFC) sinyallerinin iletilmesini içeren, NGate gibi mobil kötü amaçlı yazılımlar tarafından daha önce kullanılan yöntemlere dayanıyor.
Ghost Tap daha karmaşıktır ve tespit edilmesi daha zordur, karta veya kurbanın cihazına ihtiyaç duymaz, sürekli kurban değişimine ihtiyaç duymaz ve birden fazla uzak konumdaki Satış Noktası (PoS) terminalleriyle etkileşime giren para katırlarını içerir.
Mobil güvenlik şirketi Threat Fabric, yeni taktiğin artan benimsenmesi ve potansiyeli hakkında uyarıda bulunan Ghost Tap’ı keşfetti ve BleepingComputer’a, son zamanlarda bu taktiğin vahşi ortamda kullanımında bir artış gördüğünü söyledi.
Kaynak: Tehdit Dokusu
Ghost Tap’a genel bakış ve NGate ile karşılaştırma
Saldırının ilk adımı, ödeme kartlarının verilerini çalmak ve Apple Pay ve Google Pay’de sanal cüzdan kaydı için gereken tek kullanımlık şifrelere (OTP) müdahale etmektir.
Ödeme kartı verilerinin çalınması, dijital ödeme uygulamalarını taklit eden katmanları görüntüleyen bankacılık kötü amaçlı yazılımları veya kimlik avı sayfaları ve tuş kaydetme yoluyla gerçekleştirilebilir. OTP’ler sosyal mühendislik yoluyla veya kısa mesajları izleyen kötü amaçlı yazılımlar aracılığıyla çalınabilir.
Önceki NGate tabanlı saldırılarda, kurbanın, bu süreçte kendisine rehberlik eden özel kötü amaçlı yazılım kullanarak, cihazının NFC sistemini kullanarak kartını taraması için kandırılması gerekiyordu.
NFCGate aracı hala ödeme kartı bilgilerini aktarmak için kullanılıyor. Bununla birlikte, şimdi arasına bir aktarma sunucusu yerleştirildi ve ayrıntıları geniş bir para katırları ağına göndererek gerçek konumlarını gizledi.
Katırlar daha sonra cihazlarının NFC çipini kullanarak geniş ölçekte ve birden fazla konumda perakende satın alımlar gerçekleştiriyor, bu da dolandırıcılık ağının haritasını çıkarmayı veya birincil saldırganın izini sürmeyi zorlaştırıyor.
NGate saldırılarında tehdit aktörleri, anonimliklerini riske atan ve hatta bazı durumlarda tutuklamalara yol açan küçük temassız ödemeler ve ATM’lerden para çekme işlemleriyle sınırlıydı.
Yeni Ghost Taps operasyonuyla birlikte tehdit aktörleri artık ATM’lerden para çekme işlemi gerçekleştirmiyor. Bunun yerine, yalnızca satış noktasında nakit çıkışı gerçekleştiriyorlar ve bunları dünya çapındaki geniş bir katır ağına dağıtıyorlar.
Bu, kötü niyetli faaliyetin ana operatörlerinin izini gizleyerek yalnızca katırları riske atar.
Kaynak: Tehdit Kumaşı
Ghost Tap’a karşı koruma
Threat Fabric, işlemlerin meşru görünmesi ve birden fazla lokasyona yayılması nedeniyle yeni taktiğin finansal kurumların tespit edip durdurmasının zor olduğu konusunda uyarıyor.
Birçok bankanın dolandırıcılıkla mücadele mekanizmaları, başka bir ülkeye seyahat etmek gibi olağandışı yerlerden yapılan alışverişleri tespit etse de araştırmacılar, çok sayıda küçük ödemenin bu tespitleri atlayabileceğini söylüyor.
“Yeni para çekme taktiği finansal kuruluşlar için bir zorluk teşkil ediyor: Siber suçluların hileli çevrimdışı satın alma işlemlerini ölçeklendirme, farklı yerlerde birden fazla küçük ödeme yapma yeteneği, dolandırıcılık önleme mekanizmalarını tetiklemeyebilir ve siber suçluların başarılı bir şekilde mal satın almasına olanak tanıyabilir bu daha sonra yeniden satılabilir (hediye kartları gibi),” diye açıklıyor ThreatFabric.
Tüm bu küçük işlemler tek bir cihazdan (aynı Apple Pay/Google Pay hesabına bağlı) geliyormuş gibi görünse bile, saldırının geniş ölçekte uygulanması durumunda kaybedilen toplam miktar önemli olabilir.
Takipten kaçınmak için katır, cihazlarını “uçak moduna” alıyor, bu da NFC sisteminin her zamanki gibi çalışmasına hâlâ izin veriyor.
Ghost Tap’a karşı korunmanın tek yolu, bankaların aynı karttan, ancak ödemeler arasındaki zaman diliminde fiziksel olarak ulaşılması mümkün olmayan konumlardan yapılan işlemleri işaretlemesidir. Örneğin, New York’ta hileli bir işlem yapmak ve on dakika sonra Kıbrıs’ta bir işlem yapmak.
Tüketici açısından bakıldığında dolandırıcılık işlemlerinin takip edilmesi ve anında bankanıza bildirilmesi, kartın bloke edilmesi ve kayıpların en aza indirilmesi açısından büyük önem taşıyor.