Cyberkriminelle haben „Ghost Tap“ entwickelt, eine ausgeklügelte Methode zur Ausnutzung mobiler Bezahlsysteme wie Apple Pay und Google Pay für betrügerische Transaktionen. Im Gegensatz zu früheren Methoden wie NGate erfordert Ghost Tap weder das Gerät des Opfers noch eine kontinuierliche Interaktion, was die Erkennung und Rückverfolgung erheblich erschwert. Der Angriff umfasst den Diebstahl von Zahlungskartendaten, das Abfangen von Einmalpasswörtern (OTP) und die Übertragung von NFC-Daten (Near Field Communication) an ein globales Netzwerk von „Finanzagenten“ (Money Mules) für Einkäufe an Point-of-Sale-Terminals (PoS). Sicherheitsforscher von Threat Fabric haben einen Anstieg bei der Anwendung dieser Technik gemeldet und betonen, dass deren Skalierbarkeit und Verschleierungsmöglichkeiten eine erhebliche Herausforderung für Finanzinstitute darstellen.

Datum	21.11.2024 10:41:12
Informationen	Banking Trending

Technische Zusammenfassung

Ghost Tap stellt eine hochentwickelte Weiterentwicklung von NFC-basiertem Betrug dar, die es Angreifern ermöglicht, anonyme Abhebungen in großem Maßstab unter Verwendung gestohlener Kreditkartendaten durchzuführen, die mit mobilen Bezahldiensten wie Apple Pay und Google Pay verknüpft sind. Diese Methode nutzt das Relaying von NFC-Datenverkehr unter Verwendung von Tools wie NFCGate, die ursprünglich für Forschungszwecke entwickelt, nun aber für illegale Zwecke zweckentfremdet wurden.

Die Angriffskette umfasst:

• Diebstahl von Zahlungskartendaten und OTPs:
• Erfolgt über mobile Malware mit Overlay-Angriffen oder Keyloggern auf den Geräten der Opfer.
• Die für die Registrierung im virtuellen Wallet erforderlichen OTPs werden durch SMS-Überwachung oder Phishing-Techniken abgefangen.
• Verknüpfung der Karten mit von Angreifern kontrollierten Geräten:
• Die Karten werden mit NFC-fähigen Geräten unter der Kontrolle der Angreifer verknüpft, ohne dass das physische Gerät des Opfers benötigt wird.
• Übertragung des NFC-Datenverkehrs über Zwischenserver:
• Die Cyberkriminellen etablieren ein NFC-Relay zwischen dem Gerät des Angreifers (mit der gestohlenen Karte) und den Geräten der Finanzagenten, die mit PoS-Terminals interagieren.
• Durchführung von Abhebungen im großen Stil:
• Die Finanzagenten, die sich in verschiedenen geografischen Gebieten befinden, tätigen Einzelhandelseinkäufe unter Verwendung der übertragenen Kartendaten und wahren so die Anonymität des Angreifers.
• Die Geräte werden oft in den Flugmodus versetzt, um den Ursprung und den Standort der betrügerischen Transaktionen weiter zu verschleiern.

Im Gegensatz zu früheren Taktiken (z. B. NGate) macht Ghost Tap die ständige Interaktion des Opfers oder Abhebungen an Geldautomaten im kleinen Maßstab überflüssig. Stattdessen unterstützt es groß angelegte Operationen unter Verwendung verteilter Netzwerke von Finanzagenten, was die Identifizierung durch Betrugserkennungssysteme erschwert.

Herausforderungen bei der Erkennung:

• Die Transaktionen erscheinen legitim, da sie mit bekannten Karten verknüpft sind.
• Zahlungen werden in kleinen Beträgen an mehreren Standorten getätigt, wodurch schwellenwertbasierte Alarme umgangen werden.
• Schnelle Transaktionen an geografisch weit entfernten Standorten erschweren die Rückverfolgung, sofern keine Mechanismen zur Erkennung „unmöglicher Reisen“ vorhanden sind.

Empfehlungen

Um der Ghost-Tap-Taktik und ähnlichem NFC-Relay-Betrug entgegenzuwirken, ist es entscheidend, verdächtige Ereignisse im Kundenverhalten zu erkennen. Finanzinstitute und App-Entwickler können ihre Sicherheitsvorkehrungen stärken, indem sie sich auf Folgendes konzentrieren:

• Karte mit einem neuen Gerät verknüpft: Identifizierung und Meldung von Fällen, in denen eine Karte mit einem neuen Gerät verknüpft wird, insbesondere wenn Anzeichen für mobile Malware auf dem ursprünglichen Gerät des Kunden vorliegen. Diese Kombination ist ein starkes Indiz für potenziellen Betrug.
• Unmögliche Reisezeiten: Überwachung von Transaktionen, die an geografisch weit entfernten Standorten innerhalb eines Zeitrahmens durchgeführt werden, der mit einer physischen Ortsveränderung unvereinbar ist. Solche Muster können betrügerische Aktivitäten aufdecken.
• Anomalien bei den Gerätemetadaten: Erkennung ungewöhnlicher Gerätezustände, wie z. B. der Flugmodus, die auf einen Versuch hindeuten könnten, den Standort des für die Transaktionen verwendeten Geräts zu verschleiern.
• Transaktionsinkonsistenzen: Überwachung einer Häufung kleiner, häufiger Zahlungen, die von einer einzelnen Karte getätigt werden, oft an mehreren Standorten, da diese Teil eines groß angelegten Abhebungsplans sein könnten.

[Callforaction-THREAT-Footer]