Les cybercriminels ont mis au point une nouvelle méthode pour retirer des informations de carte de crédit volées liées à des systèmes de paiement mobiles tels qu’Apple Pay et Google Pay, baptisée « Ghost Tap », qui transmet les données de la carte NFC aux mules d’argent du monde entier.
La tactique s’appuie sur les méthodes précédemment déployées par des logiciels malveillants mobiles comme Ngata, documentées par ESET en août, qui impliquaient de relayer les signaux de communication en champ proche (NFC) des cartes de paiement.
Ghost Tap est plus obscurci et plus difficile à détecter, ne nécessite pas la carte ou l’appareil de la victime, n’a pas besoin d’échange continu de victimes et implique des mules d’argent sur plusieurs sites distants interagissant avec des terminaux de point de vente (PdV).
La société de sécurité mobile Threat Fabric a découvert Ghost Tap, qui met en garde contre l’adoption croissante et le potentiel de la nouvelle tactique, disant à Breahtrace qu’il a récemment constaté un pic d’utilisation de cette tactique dans la nature.
Aperçu de Ghost Tap et comparaison avec NGate
La première étape de l’attaque consiste à voler les données des cartes de paiement et à intercepter les mots de passe à usage unique (OTP) nécessaires à l’inscription au portefeuille virtuel sur Apple Pay et Google Pay.
Le vol des données de la carte de paiement peut être accompli par le biais de logiciels malveillants bancaires qui affichent des superpositions imitant les applications de paiement numérique ou par le biais de pages de phishing et d’enregistrement de frappe. Les OTP peuvent être volés par ingénierie sociale ou par des logiciels malveillants qui surveillent les messages texte.
Lors des précédentes attaques basées sur NGate, la victime devait être amenée à scanner sa carte à l’aide du système NFC de son appareil à l’aide d’un logiciel malveillant spécialisé qui la guidait tout au long de ce processus.
L’outil NFCGate est toujours utilisé pour relayer les informations de carte de paiement. Cependant, un serveur relais est placé entre maintenant, envoyant les détails à un vaste réseau de mules d’argent tout en obscurcissant leurs emplacements réels.
Les mules effectuent ensuite des achats au détail à grande échelle et à plusieurs endroits à l’aide de la puce NFC de leur appareil, ce qui rend difficile la cartographie du réseau de fraude ou la localisation de l’attaquant principal.
Dans les attaques NGate, les acteurs de la menace se limitaient à de petits paiements sans contact et à des retraits aux guichets automatiques qui risquaient leur anonymat et ont même conduit à des arrestations dans certains cas.
Avec la nouvelle opération Ghost Taps, les acteurs de la menace n’effectuent plus de retraits aux guichets automatiques. Au lieu de cela, ils n’effectuent que des retraits au point de vente et les répartissent parmi un vaste réseau de mules dans le monde entier.
Cela obscurcit la piste menant aux principaux opérateurs de l’activité malveillante, ne mettant que les mules en danger.
Protection contre le robinet fantôme
Threat Fabric avertit que la nouvelle tactique est difficile à détecter et à arrêter pour les institutions financières, car les transactions semblent légitimes et s’étendent sur plusieurs emplacements.
Alors que les mécanismes antifraude de nombreuses banques détectent les achats effectués dans des endroits inhabituels, par exemple lors d’un voyage dans un autre pays, les chercheurs affirment que les nombreux petits paiements peuvent contourner ces détections.
« La nouvelle tactique d’encaissement pose un défi aux organisations financières: la capacité des cybercriminels à faire évoluer les achats frauduleux hors ligne, en effectuant plusieurs petits paiements à différents endroits, pourrait ne pas déclencher les mécanismes antifraude et pourrait permettre aux cybercriminels d’acheter avec succès des biens qui peuvent être revendus (comme des cartes-cadeaux) », explique ThreatFabric.
Même avec toutes ces petites transactions semblant provenir d’un seul appareil (lié au même compte Apple Pay/Google Pay), le montant total perdu peut être important si l’attaque est appliquée à grande échelle.
Pour échapper au suivi, les mules ont mis leurs appareils en « mode avion », ce qui permet toujours au système NFC de fonctionner normalement.
La seule façon de se défendre contre Ghost Tap est que les banques signalent les transactions effectuées à partir de la même carte, mais à des endroits où il n’est physiquement pas possible de se rendre dans l’intervalle de temps entre les frais. Par exemple, effectuer une transaction frauduleuse à New York, puis dix minutes plus tard, en effectuer une à Chypre.
Du point de vue du consommateur, il est essentiel de surveiller les transactions frauduleuses et de les signaler immédiatement à votre banque pour bloquer la carte et minimiser les pertes.