Pelaku ancaman semakin mengandalkan teknik baru yang memanfaatkan komunikasi jarak dekat (NFC) untuk menguangkan dana korban dalam skala besar.
Tekniknya, diberi nama kode Ketuk Hantu oleh ThreatFabric, memungkinkan penjahat dunia maya untuk mencairkan uang dari kartu kredit curian yang terhubung dengan layanan pembayaran seluler seperti Google Pay atau Apple Pay dan meneruskan lalu lintas NFC.
“Penjahat sekarang dapat menyalahgunakan Google Pay dan Apple Pay untuk mengirimkan informasi tap-to-pay Anda secara global dalam hitungan detik,” kata perusahaan keamanan Belanda tersebut kepada The Hacker News dalam sebuah pernyataan. Artinya, bahkan tanpa kartu fisik atau ponsel Anda, mereka dapat melakukan pembayaran dari rekening Anda di mana pun di dunia.
Serangan ini biasanya bekerja dengan mengelabui korban agar mengunduh malware mobile banking yang dapat menangkap kredensial perbankan dan kata sandi satu kali mereka menggunakan serangan overlay atau keylogger. Alternatifnya, ini dapat melibatkan komponen phishing suara.
Setelah memiliki detail kartu, pelaku ancaman akan menghubungkan kartu tersebut ke Google Pay atau Apple Pay. Namun dalam upaya menghindari pemblokiran kartu oleh penerbit, informasi tap-to-pay diteruskan ke bagal, yang bertanggung jawab melakukan pembelian palsu di toko.
Hal ini dicapai melalui alat penelitian sah yang disebut NFCGate, yang dapat menangkap, menganalisis, atau memodifikasi lalu lintas NFC. Ini juga dapat digunakan untuk meneruskan lalu lintas NFC antara dua perangkat menggunakan server.
“Satu perangkat beroperasi sebagai 'pembaca' yang membaca tag NFC, perangkat lainnya mengemulasi tag NFC menggunakan Host Card Emulation (HCE),” menurut peneliti dari Secure Mobile Networking Lab di TU Darmstadt.
Meskipun NFCGate sebelumnya telah digunakan oleh pelaku kejahatan untuk mengirimkan informasi NFC dari perangkat korban ke penyerang, seperti yang didokumentasikan oleh ESET pada bulan Agustus 2024 dengan malware NGate, perkembangan terbaru ini menandai pertama kalinya alat tersebut disalahgunakan untuk menyampaikan informasi NFC. data.
“Penjahat dunia maya dapat menghubungkan perangkat dengan kartu curian dan PoS [point-of-sale] terminal di pengecer, tetap anonim dan melakukan pembayaran tunai dalam skala yang lebih besar,” kata ThreatFabric.
“Penjahat dunia maya dengan kartu yang dicuri bisa berada jauh dari lokasi (bahkan berbeda negara) di mana kartu tersebut akan digunakan serta menggunakan kartu yang sama di beberapa lokasi dalam waktu singkat.”
Taktik ini menawarkan lebih banyak keuntungan karena dapat digunakan untuk membeli kartu hadiah di pengecer offline tanpa harus hadir secara fisik oleh penjahat dunia maya. Lebih buruk lagi, hal ini dapat digunakan untuk meningkatkan skema penipuan dengan meminta bantuan beberapa orang di lokasi berbeda dalam kurun waktu singkat.
Yang memperumit pendeteksian serangan Ghost Tap adalah kenyataan bahwa transaksi tampak seolah-olah berasal dari perangkat yang sama, sehingga melewati mekanisme anti-penipuan. Perangkat dengan kartu tertaut juga dapat berada dalam mode pesawat, yang dapat mempersulit upaya untuk mendeteksi lokasi sebenarnya dan tidak digunakan untuk melakukan transaksi di terminal PoS.
“Kami menduga bahwa evolusi jaringan dengan meningkatnya kecepatan komunikasi dan kurangnya deteksi berbasis waktu yang tepat pada terminal ATM/POS membuat serangan ini mungkin terjadi, di mana perangkat dengan kartu secara fisik berlokasi jauh dari tempat transaksi dilakukan. dilakukan (perangkat tidak ada di PoS atau ATM),” kata ThreatFabric.
“Dengan kemampuan untuk berkembang dengan cepat dan beroperasi secara anonim, metode pembayaran tunai ini menghadirkan tantangan yang signifikan bagi lembaga keuangan dan perusahaan ritel.”