A kártyacsalás (carding) régóta az orosz hackerek dominanciája alatt állt, de az amerikai chip-alapú bankkártyák elterjedése csökkentette ezt a bűnözési formát. Azonban a kínai kibercsoportok innovációja új életet lehelt a csalásokba, kihasználva a mobilfizetési rendszereket. A támadók a phishing (adathalász) módszereket alkalmazzák, hogy ellopják az áldozatok bankkártya-adatait, majd ezeket digitális tárcákba integrálják, amelyeket a saját ellenőrzésük alatt álló telefonokon használnak.
Új generációs adathalászat és mobil tárcák
A phishing támadások középpontjában olyan SMS-ek állnak, amelyek postai szolgáltatásokat vagy autópályadíjakat szimulálnak, és arra késztetik a címzetteket, hogy adják meg fizetési adataikat. Ezek az üzenetek nem hagyományos mobilhálózaton, hanem Apple iMessage-en vagy Google RCS-en keresztül érkeznek.
Ha az áldozat megadja bankkártya-adatait, az adathalász oldalak egy SMS-kódot kérnek az áldozat bankjától azzal az ürüggyel, hogy az összeg hitelesítéséhez szükséges. Valójában azonban ezt a kódot a csalók használják arra, hogy a bankkártyát egy új Apple vagy Google Pay tárcához kapcsolják egy általuk ellenőrzött eszközön.
Ford Merrill, a SecAlliance biztonsági kutatója szerint a kínai csalók egy új modellt dolgoztak ki: egyetlen telefonra több lopott digitális tárcát is feltelepítenek, majd az ilyen készülékeket több száz dollárért értékesítik. Ezek a telefonok gyakran teljes dobozokban, ládákban sorakoznak készen az eladásra. Az eladók megjegyzéseket írnak a telefonokra, amelyek az adott eszközön tárolt tárcák számát és az aktiválás dátumát tartalmazzák.
A csalók különböző módszerekkel váltják pénzre az ellopott tárcák tartalmát. Például hamis online üzleteket hoznak létre, és Stripe vagy Zelle segítségével futtatnak kisebb, 100-500 dolláros tranzakciókat. Kezdetben a csalók hónapokat vártak, mielőtt felhasználták volna az ellopott adatokat, de ma már mindössze 7-10 napot várnak.
A „Ghost Tap” technológia
A csalók egy fejlettebb technológiát is alkalmaznak, amely lehetővé teszi az NFC-alapú fizetések világméretű továbbítását. Egy kínai adathalász csoport által kínált “ZNFC” nevű Android-alkalmazás lehetővé teszi, hogy a felhasználó egy helyi fizetési terminálnál „lehúzza” a telefonját, miközben az igazi tranzakció egy távoli eszközről történik. Ez azt jelenti, hogy egy csaló akár Kínából is lebonyolíthat egy vásárlást egy amerikai boltban.
A „ghost tap” csalások már a világ több pontján megjelentek. 2024 novemberében Szingapúrban letartóztattak több embert, akik ezzel a módszerrel luxuscikkeket, például ékszereket és iPhone-okat vásároltak mások pénzéből.
A kínai phishing csoportok innovatív módszereket alkalmaznak az áldozatok adatainak maximális megszerzésére. Például az adathalász oldalak azonnal továbbítják az áldozatok által beírt adatokat, még akkor is, ha azok nem nyomják meg a „küldés” gombot. Egy másik módszer szerint, ha egy kártyát elutasít a rendszer, az áldozatot egy másik kártya megadására kérik, így egy emberről akár több lopott fizetési adatot is összegyűjtenek.
A csalók saját adatbázisokat működtetnek, így ha az adathalász oldalak leállnak, az ellopott adatok továbbra is elérhetők számukra. Emellett tömegesen hoznak létre Apple és Google fiókokat, amelyeket üzenetek küldésére használnak, és ezeket fizikai eszközökön tárolják és kezelik.
A kínai adathalászok által okozott károk mértéke elképesztő. A Resecurity nevű biztonsági cég 2023-ban felfedezett egy sebezhetőséget egy ilyen csalócsoport rendszerében, amely több mint 108 000 lopott bankkártya adatait tárta fel. 2024-ben egy másik kutatás szerint 438 000 kártyaadatot sikerült begyűjteni egyetlen csoport által.
Merrill becslése szerint ezek a csoportok évente mintegy 15 milliárd dollár értékű csalást hajtanak végre a mobil tárcák kihasználásával.
Mit lehet tenni?
A csalások ellen a bankok és a technológiai cégek együttműködése szükséges. Az egyik lehetséges védelem az, hogy a bankok a mobil tárcákhoz való csatlakozás előtt megkövetelik az ügyfelektől, hogy előbb lépjenek be a banki alkalmazásukba. Továbbá a fizetési termináloknak jobban kellene azonosítaniuk azokat a tranzakciókat, amelyek egy távoli eszközről érkeznek.
Apple és Google is fontos szerepet játszhatna a csalások elleni küzdelemben, például észlelhetnék azokat az eszközöket, amelyek rövid időn belül több különböző mobil tárcát kapcsolnak össze. Azonban a cikk szerint egyik cég sem válaszolt a megkeresésekre a témában.
A digitális fizetések terjedésével a csalók egyre kifinomultabb módszereket dolgoznak ki, így a védekezésnek is folyamatosan fejlődnie kell.
