Gli attacchi cyber stanno diventando sempre più sofisticati, sfruttando nuove tecnologie per perpetrare frodi su scala globale. Un recente esempio di questo trend è rappresentato dalla tecnica denominata "Ghost Tap", che sfrutta la comunicazione near-field (NFC) per rubare fondi dai conti delle vittime. Questo metodo permette ai criminali informatici di effettuare pagamenti fraudolenti utilizzando carte di credito rubate collegate a servizi di pagamento mobile come Google Pay o Apple Pay, il tutto relazionando il traffico NFC.

Gli attacchi iniziano con il convincere le vittime a scaricare malware bancario sui loro dispositivi mobili. Questo malware cattura le credenziali bancarie e le password temporanee attraverso attacchi di overlay o keylogger. In alcuni casi, viene utilizzato anche il phishing vocale. Una volta in possesso dei dati della carta, i criminali procedono a collegare la carta a servizi come Google Pay o Apple Pay. Per evitare che le carte vengano bloccate, le informazioni di pagamento vengono trasmesse a un "mulo", incaricato di effettuare acquisti fraudolenti in un negozio fisico.

Un elemento chiave di questa tecnica

Un elemento chiave di questa tecnica è l'uso di NFCGate, uno strumento legittimo che consente di catturare, analizzare o modificare il traffico NFC. Questo strumento può anche essere utilizzato per trasmettere il traffico NFC tra due dispositivi tramite un server. In questo modo, un dispositivo opera come "lettore" e l'altro emula un tag NFC, consentendo ai criminali di effettuare transazioni da remoto.

Il metodo Ghost Tap presenta diversi vantaggi per i cybercriminali. Può essere utilizzato per acquistare carte regalo presso rivenditori fisici senza che i criminali debbano essere fisicamente presenti. Inoltre, permette di scalare la frode reclutando più muli in diverse località, effettuando transazioni in rapida successione con la stessa carta.

La rilevazione di questi attacchi è complicata dal fatto che le transazioni sembrano originare dallo stesso dispositivo, bypassando i meccanismi antifrode. Inoltre, il dispositivo con la carta collegata può essere in modalità aereo, complicando ulteriormente l'individuazione della sua posizione reale e dimostrando che non è stato effettivamente utilizzato per la transazione al terminale PoS.

La crescente velocità delle comunicazioni e la mancanza di rilevamento basato sul tempo nei terminali ATM/PoS hanno reso possibile questi attacchi, dove i dispositivi con le carte sono fisicamente lontani dal luogo in cui viene effettuata la transazione. Questo metodo di prelievo di contante rappresenta una sfida significativa per le istituzioni finanziarie e i punti vendita al dettaglio, grazie alla sua capacità di operare rapidamente e sotto un velo di anonimato.