Ghost Tap: китайские хакеры возрождают рынок кардинга новой схемой

Киберпреступники из Китая нашли новый способ зарабатывать на краденных данных банковских карт, превращая их в цифровые кошельки для цифровых и физических покупок. Пока по всему миру полным ходом идёт внедрение чипованных карт, которое ослабило рынок кардинга, китайские кибергруппировки создают инновационные схемы, которые снова делают его прибыльным.

Основой новой схемы стали фишинговые атаки через iMessage и RCS. Жертвы получают сообщения, якобы от почтовой службы или оператора платных дорог, с требованием оплатить несуществующую задолженность. Перейдя по ссылке и введя данные карты, пользователи сталкиваются с дополнительной проверкой — банк отправляет одноразовый код. Но вместо подтверждения оплаты мошенники используют этот код, чтобы привязать карту к своему устройству через Apple Pay или Google Pay.

Исследователь безопасности Форд Меррилл из SecAlliance рассказал, что мошенники привязывают от четырёх до шести чужих банковских карт к одному смартфону, после чего продают такие устройства за сотни долларов через специализированные Telegram-каналы.

Однако на этом китайские злоумышленники не остановились. Так называемый «призрачный тап» (Ghost Tap) — является более продвинутой технологией в данной сфере. Приложение ZNFC, продаваемое в даркнете за $500 в месяц, позволяет удалённо передавать NFC-транзакции. Достаточно поднести свой собственный смартфон к терминалу оплаты в любой стране мира, и платёжная операция будет проведена с устройства мошенников в Китае.

Метод Ghost Tap уже привёл к ряду арестов в Сингапуре: власти задержали нескольких человек, покупавших дорогие товары с помощью поддельных цифровых кошельков. По данным полиции, за неделю таким способом было украдено более $100 000.

Тем не менее, на этом арсенал злоумышленников не заканчивается. Чтобы максимизировать прибыль, они применяют и другие методы. Например, они фиксируют любые введённые на поддельных сайтах данные в режиме реального времени, даже если жертва заметила подвох и не отправила свои данные. Также мошенники убеждают пользователей ввести платёжные данные сразу от пары карт, утверждая, что первая карта не прошла проверку.

Банки и платёжные системы пока не успевают реагировать на новые схемы атак. Хотя в Европе и Азии некоторые банки уже требуют авторизации через мобильное приложение перед привязкой карты к цифровому кошельку, в других странах эта практика пока что не стала нормой.

Эксперты предупреждают, что борьба с Ghost Tap потребует существенной модернизации POS-терминалов и усиления контроля за массовым созданием учётных записей Apple и Google. Однако ни один из техногигантов пока не предпринял видимых шагов для противодействия этой угрозе.