非接觸式的NFC和智能電話支付系統為現代人帶來方便,很多人上街不再帶錢包或記住自己的銀行卡密碼,所有卡都儲存在應用程式,而且也較多保安技術提供防護,但犯罪份子仍找到漏洞盜刷,幸好保護自己只需要知道幾種技巧。
甚麼是NFC中繼和NFCGate?
NFC中繼是來源(例如銀行卡)和接收器(支付系統)之間的無線資料傳輸被一台中間裝置攔截,然後即時中繼到另一台裝置的技術,情況就是手持兩部連接網絡的智能手機,其中一台安裝了中繼應用程式,如果以實體卡輕觸第一台手機,並持有第二台智能手機站在ATM或終端旁邊,第一台手機上的中繼應用程式會透過NFC讀取卡上的訊號,然後即時中繼到第二台智能手機,然後傳送該訊號到終端,在終端的角度就看似是真實的卡正在輕觸,即使該卡其實物理上在其他城市或國家。
這技術最初並非為犯罪而設,NFCGate應用程式出現在2015年作為研究工具被德國一家大學的學生所開發,原意是NFC流量分析和除錯,作為教育目的和實驗非接觸式技術,NFCGate以開源方案的方式發佈,在學術和愛好者圈內使用。五年後犯罪份子抓住了NFC中繼的潛力,開始修改NFCGate並加入模組讓它能透過惡意伺服器運行,冒充自己是合法軟件然後使用社交工程的劇本。
濫用的歷史
以經過修改的NFCGate進行攻擊首次被記錄是在2023年的捷克,到2025年初問題變得大規模和顯著,資安分析員發現超過個唯一的惡意程式樣本以NFCGate框架,攻擊進化迅速,通過NFC中繼的能力結合到其他惡意程式元件。直至2025年2月,惡意程式包結合了CraxsRAT和NFCGate,讓攻擊者能夠以受害者最少的互動進行安裝和設定,在2025年春季出現一種新方案,被稱為NFCGate的「逆向」版本,從根本上改變了攻擊的執行。
值得注意的是RatOn木馬程式,首次偵測到是在捷克,它結合了NFC中繼能力和遙距智能手機控制,讓攻擊者通過不同技術組合瞄準受害者的銀行應用程式和卡,功能包括螢幕擷取、操縱剪貼板、發送短訊、盜竊加密錢包和銀行應用程式。犯罪份子也把NFC中繼技術包裝成惡意程式服務(malware-as-a-service),把它們向其他犯罪份子以訂閱方式銷售,在2025年初,分析員發現新款在意大利的精密Android惡意程式活動,被命名為SuperCard X。2025年5月SuperCard X試圖在俄羅斯部署,同年8月則在巴西發現其蹤影。
直接NFCGate攻擊
直接攻擊源於違法利用NFCGate,刻本是受害者的智能手機扮演讀卡器,攻擊者的手機則扮演卡模擬器,首先騙徒欺騙用戶安裝偽裝成銀行服務的惡意應用程式、系統更新、「帳號安全」應用程式或知名TikTok,一旦安裝,應用程式取得NFC和互聯網存取,而且通常不要求危險模限或根源存取,部份版本更要求存取Android輔助功能。隨後經過偽裝身份核實,受害者被要求輕觸銀行卡到電話,如果掉入陷阱,經過NFC惡意讀取資料會立即發送到犯罪份子的伺服器,然後資料被中繼到手持第二部智能手機的「錢驢」負責提款的工作,這台手機模擬受害者的卡去終端支付或到ATM提取現金。
假應用程式在受害者的智能手機同時要求卡的密碼,一如在支付系統或ATM,同樣會發送到攻擊者手上,在初期版本的攻擊,犯罪份子會直接站在ATM上準備,然後即時以手機作為複製用戶的卡,稍後惡意程式經過改良,被盜資料能夠延遲或離線模式在實體店內購物,而不是即時中繼。對受害者而言,盜竊難以發現,因為卡從來沒有遺失,也沒有手動輸入或複述其內容,銀行對於消費的警告也可能延遲,甚至是被惡意應用程式所攔截。值得注意的地方是:
- 要求從非官方商店安裝應用程式
- 要求在自己電話輕觸自己的銀行卡
逆向NFCGate攻擊
逆向攻擊是比較新和更精密,受害者的智能手機不再需要讀取他們的卡,它模擬攻擊者的卡,對受害者而這所有事都顯得完全安全,無需複述卡詳情、分享密碼或輕觸卡到電話。其實它以社交工程開始,用戶收到電話或訊息遊說他們安裝應用程式作為非接觸式支付、卡保安甚至是中央銀行電子貨幣,一旦安裝,新應用程式要求設定為預調非接觸式支付方法,這一步無需根源存取,只需要用戶的准許。
惡意應用程式隨後靜靜在背景連接攻擊者的伺服器,屬於犯罪份子的卡的NFC資料會被傳送到受害者的裝置,而受害者完全不知道,下一步是受害者被導引至ATM,他們被指示以「向安全帳號轉帳」或「向自己匯款」為藉口,要求把他們的電話輕觸到ATM的NFC閱讀器,這時候ATM其實是與攻擊者的卡進行互動,密碼則會作為新或暫時性質事前通知受害者。結果是所有受害者提取或轉帳的金錢落內犯罪份子的帳號,過程中的特徵是:
- 要求更換預設NFC支付方法
- 「新」密碼
- 要求用戶到ATM或依照指示執行動作
防範NFC中繼攻擊
NFC中繼攻擊不太倚賴技術性的安全漏洞,而是用戶的信賴,防範的關鍵可採取一些簡單的預防措施:
- 確保使用可信的非接觸式支付作為預設方法(例如Google Pay或Samsung Pay)
- 不要按他人或應用程式要求輕觸自己的銀行卡,合法應用程式可能使用鏡頭掃瞄卡號碼,但永不要求NFC讀卡。
- 在ATM永不遵循陌生人要求
- 避免從非官方資源安裝應用程式,包括從通訊應用程式、社交媒體、短訊甚至是電話通知。
- 在Android智能手機使用可靠的保安方案攔截詐騙來電、防止瀏覽釣魚網站在阻止安裝惡意程式。
- 只使用官方應用程式商店,下載前檢查用戶評語、下載數量、推出日期和評分。
- 使用ATM時使用自己的實體卡而非智能電話轉帳
- 定期檢查支付預設設定,看到可疑應用程式應立即移除並完整掃瞄裝置。
- 檢視應用程式的存取權限,移除權限或移除安裝可疑應用程式。
- 儲存官方銀行客戶服務號碼,如有可疑,即時致電銀行熱線。
- 如懷疑自己的卡資料被盜,立即封鎖該卡。
資料來源:Kaspersky Blog
