“Hayalet-dokunma” olarak bilinen sofistike yeni siber suçlu tekniği, temassız ödeme sistemleri için önemli bir tehdit olarak ortaya çıktı ve Çince konuşan tehdit aktörlerinin Apple Pay ve Google Pay gibi mobil cüzdan hizmetlerine bağlı çalıntı ödeme kartı detaylarını kullanmasını sağladı.
Bu yenilikçi saldırı vektörü, perakende sahtekarlığı kolaylaştırmak için Saha İletişimine Yakın (NFC) röle taktiklerinden yararlanır ve siber suçluların ayrıntılı bir katır ve otomatik sistem ağı aracılığıyla dijital hırsızlığı fiziksel mallara dönüştürmesine izin verir.
Hayalet dokunma ekosistemi, en yeni NFC rölesi teknolojisi ile geleneksel kimlik avı tekniklerinin yakınsamasını temsil eder ve birden fazla ülkeyi kapsayan ve çeşitli suç rollerini içeren uçtan uca bir sahtekarlık operasyonu oluşturur.
Yalnızca çevrimiçi işlemlere dayanan geleneksel kart sahtekarlığının aksine, hayalet dokunma, suçluların perakende mağazalarda yüz yüze satın almalar yapmalarını sağlar ve bu da tespiti geleneksel sahtekarlık izleme sistemleri için önemli ölçüde daha zor hale getirir.
Teknik, tehdit aktörlerinin ödeme bilgilerini, ödeme terminallerini gerçek zamanlı olarak ayırmak ve fiziksel yakınlık gereksinimlerini etkili bir şekilde atlamak için mobil cihazlara yüklenen uzatılmış kartlardan aktarmasına izin verir.
Singapur yetkililerinden gelen son veriler, Ekim ve Aralık 2024 arasında kaydedilen mobil cüzdanları içeren 656 uzlaşmacı ödeme kartının raporlarıyla, bu ortaya çıkan tehdidin ölçeğini göstermektedir ve bu da kayıpların 1,2 milyon $ SGD’yi aşmasına neden olmaktadır.
Bu olaylardan, en az 502 vaka, özellikle popüler mobil ödeme platformlarının bu saldırı yöntemine özel olarak savunmasızlığını gösteren Apple Pay ile bağlantılı tehlikeye atılmış kartları içermektedir.
Kaydedilen gelecek analistler, özellikle Çince konuşan suç sendikalarına özel brülör telefonları ve hayalet-dokunma hizmetlerini tanıtan Telegram platformlarında faaliyet gösteren temel tehdit aktörlerini belirledi.
.webp)
Analistler, bu tehdit aktörleriyle kapsamlı araştırma ve doğrudan katılım yoluyla, Güneydoğu Asya’da uzanan, Kamboçya ve Çin’de merkezlenmiş ancak küresel olarak kurbanları hedefleyen sofistike bir cezai altyapıyı ortaya çıkardılar.
Teknik Altyapı ve Saldırı Metodolojisi
Hayalet dokunma saldırı zinciri, kimlik avı kampanyaları ve mobil kötü amaçlı yazılımlar aracılığıyla ödeme kartı kimlik bilgilerini toplamak için otomatik sistemler kullanarak siber suçlularla başlar.
Bu çalıntı kimlik bilgileri daha sonra, geleneksel kimlik doğrulama önlemlerini atlayabilen tescilli yazılım kullanılarak brülör telefonlarındaki temassız ödeme cüzdanlarına sistematik olarak eklenir.
Süreç, gözlemlenen DBS banka kartlarını Apple’a ödünç verilen ve bu operasyonların endüstriyel ölçeğini gösteren kesin dört ila sekiz dakikalık aralıklarla ekleme girişimlerinin kanıtlandığı gibi sofistike otomasyon yeteneklerini içermektedir.
# Automated card addition attempt simulation
import time
import requests
def attempt_card_addition(card_details, wallet_service):
"""
Simulates automated attempts to add stolen card to mobile wallet
"""
for attempt in range(1, 10):
response = wallet_service.add_card(card_details)
if response.status == "success":
return True
elif "enable_mobile_wallets" in response.message:
# Wait for security feature timeout
time.sleep(600) # 10 minute window
else:
time.sleep(240) # 4 minute interval before retry
return FalseHayalet dokunmasının teknik temeli, başlangıçta meşru NFC trafik analizi için tasarlanmış ancak cezai faaliyetler için yeniden tasarlanmış bir Android uygulaması olan NFCGate gibi NFC röle araçlarına dayanmaktadır.
Saldırı, NFCGate yüklü iki mobil cihaz ve konumlar arasında trafiği aktarmak için yapılandırılmış bir sunucu gerektirir.
Bir para katır bir satış noktası terminaline yaklaştığında, sistem tokenize kart verilerini saldırganın altyapısından katırın cihazına gerçek zamanlı olarak aktarabilir ve orijinal kartın fiziksel varlığı olmadan yetkisiz işlemleri sağlayabilir.
.webp)
Hayalet-dokunma işlemlerini destekleyen cezai ekosistem, birden fazla özel rol içeren sofistike bir tedarik zincirini kapsayacak şekilde basit kart hırsızlığının ötesine uzanır.
@Webu8 gibi siber suçlular tedarikçiler olarak çalışır, sadece çalıntı kimlik bilgileriyle yüklenen brülör telefonları sağlamakla kalmaz, aynı zamanda operasyonel verimliliği en üst düzeye çıkarmak için telefon geri dönüşüm hizmetleri sunar.
Bu tehdit aktörleri, uzlaşmış on ödeme kartı yüklendiğinde yaklaşık 500 USDT için cihaz satıyor ve büyük ölçekli operasyonları teşvik eden açık bir ekonomik model oluşturuyor.
Ödeme kartı kimlik doğrulama sistemleri, tekniğin meşru NFC iletişim protokollerinden yararlandığı için hayalet dokunma saldırılarıyla yüzleşirken belirli zorluklarla karşı karşıyadır.
Bu saldırılarda gözlenen otomasyon, suçluların, çok faktörlü kimlik doğrulama ve zaman sınırlı onay pencereleri de dahil olmak üzere bankalar tarafından uygulanan güvenlik özelliklerinin üstesinden gelmek için sofistike yöntemler geliştirdiklerini göstermektedir.
Suçlular, kapsamlı kimlik avı kampanyaları veya mobil kötü amaçlı yazılım enfeksiyonları aracılığıyla mağdurların bankacılık kimlik bilgilerine erişim sağladıklarında mobil uygulama kimlik doğrulaması gerektirmek gibi güvenlik önlemleri bile atlatılabilir.
.webp)
Hayalet-dokunma operasyonlarının coğrafi dağılımı, modern siber suçların küresel doğasını yansıtır, Kamboçya ve Çin’de bulunan suç sendikaları, dünya çapında kurbanları hedefleyen saldırıları düzenlerken, sağlam perakende altyapısına sahip ülkelerde hileli alımlar yürütmek için katırlar uygular.
Bu uluslararası kapsam, kolluk kuvvetlerini zorlaştırıyor ve suçluların siber suçlu kovuşturmada yargı boşluklarından yararlanmalarını sağlayarak hayalet dokunmayı küresel ödeme ekosistemi için özellikle esnek bir tehdit haline getiriyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.