近年来,网络犯罪分子不断开发新技术,通过近场通信 (NFC) 对移动支付服务进行大规模攻击。其中,由ThreatFabric命名为Ghost Tap的新型攻击手法正在成为网络犯罪分子窃取资金的利器。
Ghost Tap的核心技术
Ghost Tap攻击的主要目标是利用受害者的信用卡或移动支付服务(如Google Pay和Apple Pay)套现资金,而无需持有实体卡或设备。这种攻击依赖于一种名为NFCGate的合法工具,用于捕获、分析或中继NFC流量。
NFCGate由德国达姆施塔特工业大学的研究人员开发,最初是用于安全研究的工具。它允许:
- 一台设备读取NFC标签(作为读取器)。
- 另一台设备通过主机卡模拟(HCE)模拟NFC标签。
- 两台设备通过服务器中继NFC流量。
黑客正是利用这项功能,将受害者的NFC信息传输到远程设备,使攻击者能够在全球范围内实施欺诈性交易。
Ghost Tap的攻击流程
1. 获取受害者信息
Ghost Tap攻击的起点是诱骗受害者安装手机银行恶意软件。这些恶意软件通过覆盖攻击、键盘记录或语音钓鱼窃取银行凭证和一次性密码。
2. 绑定虚拟支付
获取信用卡详细信息后,攻击者将信用卡关联到移动支付服务,如Google Pay或Apple Pay。
3. 中继支付信息
为了规避发卡机构的检测,点击支付的信息会被通过NFCGate转发到所谓的“骡子”设备上。这些“骡子”负责在商店内使用虚拟卡完成欺诈性购买,例如礼品卡或高价值商品。
4. 匿名与多点操作
犯罪分子可以通过以下方式保持匿名并扩大攻击规模:
在不同国家或地点远程使用被盗卡。
在短时间内通过多个“骡子”设备完成多点交易。
为什么Ghost Tap如此危险?
Ghost Tap攻击的高效性和隐蔽性对金融机构和零售商构成了巨大威胁:
- 绕过反欺诈机制
交易看似来自受害者的合法设备,导致难以检测。设备可能处于飞行模式,无法通过地理位置识别其异常行为。 - 快速扩大规模
攻击者可以在短时间内发动多点攻击,通过多个“骡子”设备同时进行交易,提升作案效率。 - 交易伪装
由于交易流程符合正常支付路径,反欺诈系统无法轻易识别这些交易为欺诈行为。
对金融行业的挑战
ThreatFabric指出,随着通信技术的进步和ATM/POS终端缺乏基于时间的检测机制,这种攻击手段的可操作性进一步提高。黑客的设备可以远离交易地点,从而绕过现有的防御体系。
此外,Ghost Tap的操作匿名性和多点分布性让金融机构难以快速响应并阻止大规模欺诈。这种新型攻击还可能被用来招募多个“骡子”,进一步扩大欺诈计划的规模。
如何应对Ghost Tap攻击?
为了防范Ghost Tap攻击,金融机构、零售商和用户需要采取以下措施:
- 强化反欺诈系统:改进POS终端和银行系统的基于时间和位置的检测功能。
- 用户教育:提高用户对恶意软件和语音钓鱼攻击的警觉性,避免下载未知来源的应用程序。
- 多层次验证:对新增支付设备或高风险交易进行更严格的身份验证。
- 实时监控NFC流量:识别异常的NFC通信行为。
- 暂时关闭NFC支付功能:Ghost Tap攻击依赖于NFC流量的捕获和中继。如果NFC支付被关闭,攻击者无法从你的设备获取NFC数据,自然无法完成欺诈性交易
总结
Ghost Tap攻击标志着网络犯罪利用移动支付的新高度。通过结合NFCGate技术和移动支付服务,犯罪分子能够在全球范围内快速套现并保持匿名。这种新型欺诈手段对金融系统提出了巨大挑战,迫切需要多方协作加强防御机制,保护用户资金安全。