Negli ultimi anni, le truffe basate sulla tecnologia NFC (Near Field Communication) sono cresciute rapidamente, attirando l’interesse dei cybercriminali per la loro versatilità e anonimato. Una delle più recenti innovazioni in questo campo è il metodo noto come “Ghost Tap“, individuato dagli analisti di ThreatFabric. Questa tecnica sfrutta strumenti come NFCGate per rubare denaro da carte di credito legate a sistemi di pagamento digitale come Google Pay o Apple Pay, aggirando i tradizionali meccanismi di sicurezza.
Il processo inizia con il furto dei dati della carta di credito, ottenuti attraverso malware o phishing (o banalmente rubando la carta fisica). Ad esempio, i criminali possono installare malware sul dispositivo della vittima per rubare le credenziali e intercettare i codici OTP inviati dalla banca. Alternativamente, convincono l’utente a inserire i propri dati su siti web di phishing apparentemente legittimi. Non si tratta di una falla in Google Pay o Apple Pay, i quali vengono presi di mira soltanto dopo che la carta rubata è stata legata al dispositivo dell’attaccante, dandogli la possibilità di utilizzarla per effettuare transazioni fisiche senza mai essere presente sul posto.
Con NFCGate, un software progettato per scopi di ricerca accademica ma sfruttato in modo illecito, i criminali stabiliscono un relay tra il dispositivo contenente la carta rubata e il POS del negozio. Grazie a questa configurazione, il “mulo”, una persona complice, può effettuare acquisti in un negozio fisico, mentre l’attaccante rimane anonimo e spesso situato a chilometri di distanza. Il sistema consente di utilizzare la stessa carta in più località contemporaneamente, massimizzando i profitti e riducendo il rischio di essere scoperti.
In sostanza, Ghost Tap è la conseguenza del furto della carta, a prescindere che essa sia stata rubata fisicamente o che i dati siano stati trafugati tramite malware o phishing. La problematica resta l’inconsapevolezza della persona comune nel cliccare siti loschi o apparentemente sicuri, oppure farsi ingannare da notifiche e comunicazioni che sfruttano la pressione e l’ansia sull’individuo. Metodi come Google Pay o Apple Pay sono sicuri, e lo sono anche più dell’utilizzo della carta fisica, considerando anche il loro occultamento dei dati al momento del pagamento o i controlli sulla geolocalizzazione, ma soprattutto le loro notifiche immediate che permettono all’utente di bloccare subito la carta nell’eventualità.
Ghost Tap è un serio problema: il futuro dei pagamenti NFC
Il Ghost Tap rappresenta una sfida significativa per le istituzioni finanziarie, poiché sfrutta transazioni apparentemente innocue per evitare i controlli anti-frode. I pagamenti effettuati con questa tecnica appaiono legittimi perché sembrano provenire dallo stesso dispositivo, mentre in realtà coinvolgono più apparecchi in una rete complessa di relay. Le transazioni di piccolo importo, sommate in brevi periodi, permettono ai cybercriminali di rubare somme considerevoli senza superare le soglie che attiverebbero un allarme. Inoltre, l’uso della “modalità aereo” complica l’identificazione della posizione del dispositivo, ostacolando il riconoscimento di anomalie geografiche.
Per mitigare questo rischio, ThreatFabric suggerisce di introdurre sistemi di rilevamento più avanzati nei terminali POS, come meccanismi per individuare la latenza nelle transazioni e verificare l’effettiva posizione del dispositivo. Anche i servizi di pagamento digitale e i lettori NFC devono intensificare le verifiche sui dispositivi collegati, monitorando le incongruenze nei dati, come le transazioni effettuate in luoghi distanti in tempi impossibili o il collegamento di una carta a un nuovo dispositivo.
La crescente popolarità di queste tecniche di frode dimostra che i criminali informatici stanno diventando sempre più abili nello sfruttare tecnologie accessibili e non proprietarie. Strumenti come NFCGate, inizialmente pensati per la ricerca, si stanno trasformando in armi potenti nelle mani di malintenzionati. Per combattere efficacemente queste minacce, sarà necessaria una stretta collaborazione tra le aziende di sicurezza informatica, le banche e i fornitori di servizi di pagamento digitale, per sviluppare soluzioni innovative e proteggere i clienti (anch’essi esortati ad avere maggiore consapevolezza) da questa nuova ondata di attacchi.
