網絡犯罪份子一定以新方法使用盜竊得來的信用卡資料去「刷卡」,由最初複製到磁帶開始,隨著更良的晶片卡和一次性密碼後,騙徒想到把盜竊得來的資料放到Apple Pay或Google Wallet帳號,如此一來就可透過智能電話奪取受害者的金錢。
信用卡資料的入手方法
這種網絡攻擊需要大量的事前準備,攻擊者首先要在網絡創建假網站,目的是以網絡釣魚形式獲得受害者的信用卡資料,它可以是偽裝速遞服務、大型網絡商店、支付水電費或者罰款,犯罪份也也會購入大量智能電話,並創建Apple或Google帳號,並立即安裝非接觸式支付應用程式。下一步就等待受害者掉入網站,假借藉口要求輸入信用卡資料,並輸入一次性密碼,事實上並不會在這時候收取費用。
受害者的信用卡資料差不多立即流入網絡犯罪份子的手上,並且嘗試把信用卡連到他們的流動錢包內,過程需要一次性密碼,為了把過程加速和簡化,攻擊者使用軟件把收集得來的受害者資料,生成到信用卡的圖像上,然後再從Apply Pay或Google Wallet拍照,雖然不同國家連結信用卡有不同的步驟,但通常除了卡號、到期日、持有者名字、CVV和一次性密碼外,就無需其他資料,如此一來剛才的網絡釣魚已經取得全部所需的資料。
為了令攻擊成效更佳,網絡犯罪份子使用不同的手法,當受害人輸入資料按下Submit鍵後,無論輸入甚麼資料,假網站都會顯示支付失敗,並要求受害者使用另一張信用卡,如此一來就可以一次盜竊2至3張卡的資料,加上並沒有立即付帳,令人難以察覺可疑的地方。
盜竊金錢的方法
網絡犯罪份子會把大量信用卡連到一部智能電話,但不會立即嘗試消費,手機能收藏大量信用卡號碼,然後在暗網上出售,從網絡釣魚到消費通常會隔數星期至數個月之間,消費時可能是帶著手提電話到名店消費,甚至是他們在合法的電子商貿平台上的假商店,購買並不存在的商品,部份國家甚至容許透過NFC功能用智能手機從ATM提款,以上過程全部都不需要PIN或OTP,所以能夠一定消費直至受害者信用該信用卡。
為了加快把流動錢包轉移到秘密買家,並降低店內支付的風險,攻擊者開始使用名為Ghost Tap的NFC技術,在兩部手機上安裝合法的應用程式NFCGate,一部有流動錢包和盜竊的信用卡,另一部則用作直接支付,應用程式會透過互聯網即使傳送NFC的資料。很多實體店的終端和ATM不能辨經過中繼或是原本的訊號,所以中繼的一方仍能進行購物,即使在店內被拘捕,手機上也沒有確實犯罪證據,只有合法的NFCGate應用程式,甚至1有被盜的信用卡號碼,因為它存在於千里之外的智能手機內,隨時是身在另一個國家,這種方法讓騙徒快速和安全地套現大量金錢,因為中繼方並不局限於一部手機,可以數人同時在不同地方進行消費。
拍自己手機上的卡也可能金錢損失
在2024年底騙徒使用另一種NFC中繼的方法,並成功在俄羅斯用戶身上成功,受害者甚至無需被詢問信用卡的資料,攻擊者透過社交工程,誘使用戶安裝看似方便,聲稱是政府、銀行或其他服務的應用程式,由於制裁很多類似銀行和應用程式已經從官方商店下架,但沒有懷疑的用戶可能仍然會答應安裝,然後受害者將被要求把信用卡放在手機上並輸入PIN進行授權或驗證。第一波攻擊是進行購物和在ATM提款,但由於地理位置不符的關係俄羅斯銀行的防詐騙系統很快就發現不當行為。
現在受害者方將會安裝複製卡的應用程式,攻擊者則是中繼方,以存在盜竊風險為藉口,要求受害者使用ATM把錢存入安全帳號,並使用智能手機進行授權,當受害者帶著手機到達ATM,騙徒中繼他們自己的用信卡資料,結困錢便存入自己的帳號,這種操作對於自動防騙系統而言較難偵測,因為過程看似是某人走到ATM並把錢存入帳號,防騙系統萁不知該卡由誰持有。
防範信用騙詐騙
無論是Google、Apple或支付系統,都應該加入額外的保護在支付基礎設施上,而用戶也可以採取一些措施去保護自己:
- 使用虛據卡進行網上支付,並只保留少量金錢在該戶口,只在購物前才存入足夠金錢,如果發卡者容許,停止網下付款和提款的功能。
- 每年取得新的虛擬卡並停用舊卡
- 網下支付連結不同的信用卡到Apple Pay、Google Wallet或相似的服務,永不使用該卡網上支付,盡量在實體店使用智能電話上的流動錢包。
- 對於要求把信用卡存到手機的應用程式要特別小心,只信任長期信賴的銀行應用程式,避開可疑的連結安裝。
- 在ATM使用實體卡
- 在所有電腦和手機安裝可靠保安方案,把風險降至最低。
- 啟動最快的通知方式,一旦發現可疑的消費立即通知銀行或發卡機構。
資料來源:Kaspersky Blog
