La tecnologia NFC, alla base dei pagamenti contactless, è ormai un elemento essenziale della vita quotidiana. Purtroppo però rappresenta anche un terreno fertile per le attività dei cybercriminali. A tal proposito, gli esperti di sicurezza informatica di ThreatFabric hanno individuato una nuova tecnologia, denominata Ghost Tap. Quest’ultima effettua transazioni fraudolente e sottrarre denaro in modo anonimo e difficilmente tracciabile.
Truffa condotta grazie alla tecnologia Ghost Tap
Il processo comincia con il furto dei dati di una carta di credito collegata a un sistema di pagamento digitale. I criminali ottengono tali informazioni principalmente attraverso diversi metodi. Tra cui l’intercettazione dei codici OTP inviati via SMS e l’uso di malware o il phishing. Una volta in possesso delle informazioni della carta, i truffatori possono aggiungerla a un dispositivo per eseguire transazioni digitali. A tal punto, per eludere i controlli antifrode e mantenere l’anonimato, entra in gioco NFCGate.
Tale strumento, originariamente progettato per scopi accademici dal Politecnico di Darmstadt, consente di trasmettere i dati NFC tra due dispositivi, anche da lunghe distanza. Attraverso un server intermedio, il criminale può stabilire un collegamento tra il proprio dispositivo, contenente la carta rubata, e un complice che si trova fisicamente nel negozio e utilizza un POS per completare il pagamento.
Tale tecnica rappresenta una minaccia concreta per diversi motivi. Innanzitutto, le transazioni appaiono legittime poiché sembrano provenire da un solo dispositivo, nonostante siano coinvolti più apparecchi. Inoltre, gli importi delle diverse operazioni sono spesso piccoli, evitando di attivare i sistemi di allerta antifrode. La possibilità di operare con lo smartphone in modalità aereo impedisce ulteriormente la localizzazione dell’attaccante.
Gli esperti sottolineano l’urgenza di introdurre misure di sicurezza avanzate sui POS. Tra cui, ad esempio, la capacità di rilevare anomalie nella latenza delle transazioni e di tracciare la posizione dei dispositivi utilizzati per i pagamenti. Parallelamente, è fondamentale sensibilizzare gli utenti sui rischi del phishing e sull’importanza di proteggere i propri dati sensibili.