Ghost Tap: Cyberkriminelle nutzen NFCGate zur globalen Geldwäsche

AMSTERDAM / MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung in der Welt der mobilen Zahlungen sorgt für Aufsehen: Cyberkriminelle haben eine Methode entwickelt, um über NFC-Technologie Gelder von gestohlenen Kreditkarten weltweit abzuschöpfen.

Die Nutzung von Near-Field-Communication (NFC) durch Cyberkriminelle zur Durchführung von Betrugsfällen nimmt zu. Diese neue Technik, die von ThreatFabric als Ghost Tap bezeichnet wird, ermöglicht es Angreifern, Gelder von gestohlenen Kreditkarten, die mit mobilen Zahlungsdiensten wie Google Pay oder Apple Pay verknüpft sind, abzuheben. Die niederländische Sicherheitsfirma erklärte, dass Kriminelle in der Lage sind, die Tap-to-Pay-Informationen eines Nutzers innerhalb von Sekunden weltweit zu übertragen, selbst wenn weder die physische Karte noch das Telefon des Opfers vorhanden sind.

Die Angriffe beginnen in der Regel damit, dass Opfer dazu verleitet werden, mobile Banking-Malware herunterzuladen, die ihre Bankdaten und Einmalpasswörter mittels Overlay-Angriffen oder Keyloggern erfasst. Alternativ kann auch eine Voice-Phishing-Komponente involviert sein. Sobald die Kartendetails in den Händen der Angreifer sind, verknüpfen sie die Karte mit Google Pay oder Apple Pay. Um zu vermeiden, dass die Karten von der ausstellenden Bank gesperrt werden, werden die Tap-to-Pay-Informationen an einen Komplizen weitergeleitet, der für den betrügerischen Einkauf in einem Geschäft verantwortlich ist.

Dies wird durch ein legitimes Forschungstool namens NFCGate ermöglicht, das NFC-Verkehr erfassen, analysieren oder modifizieren kann. Es kann auch verwendet werden, um den NFC-Verkehr zwischen zwei Geräten über einen Server zu übertragen. Ein Gerät fungiert als ‚Leser‘, das ein NFC-Tag liest, während das andere Gerät ein NFC-Tag mithilfe der Host Card Emulation (HCE) emuliert. Diese Methode wurde erstmals von ESET im August 2024 dokumentiert, als das NGate-Malware-Tool entdeckt wurde, das NFC-Informationen von den Geräten der Opfer an den Angreifer überträgt.

Die aktuelle Entwicklung markiert jedoch das erste Mal, dass das Tool zur Weiterleitung der Daten missbraucht wird. Cyberkriminelle können eine Verbindung zwischen einem Gerät mit gestohlener Karte und einem PoS-Terminal (Point-of-Sale) bei einem Einzelhändler herstellen, anonym bleiben und in größerem Maßstab Geld abheben. Der Kriminelle mit der gestohlenen Karte kann sich weit entfernt von dem Ort befinden, an dem die Karte verwendet wird, und dieselbe Karte in kurzer Zeit an mehreren Orten einsetzen.

Diese Taktik bietet weitere Vorteile, da sie zum Kauf von Geschenkkarten bei Offline-Händlern genutzt werden kann, ohne dass die Kriminellen physisch anwesend sein müssen. Noch schlimmer ist, dass das betrügerische Schema durch die Unterstützung mehrerer Komplizen an verschiedenen Standorten innerhalb kurzer Zeit skaliert werden kann. Die Erkennung von Ghost Tap-Angriffen wird dadurch erschwert, dass die Transaktionen so erscheinen, als ob sie vom selben Gerät ausgingen, wodurch Anti-Betrugs-Mechanismen umgangen werden.

Das Gerät mit der verknüpften Karte kann sich auch im Flugmodus befinden, was die Bemühungen erschwert, ihren tatsächlichen Standort zu ermitteln und festzustellen, dass es nicht tatsächlich zur Durchführung der Transaktion am PoS-Terminal verwendet wurde. ThreatFabric vermutet, dass die Entwicklung von Netzwerken mit zunehmender Kommunikationsgeschwindigkeit zusammen mit einem Mangel an ordnungsgemäßer zeitbasierter Erkennung an Geldautomaten/PoS-Terminals diese Angriffe möglich gemacht hat, bei denen sich die tatsächlichen Geräte mit Karten physisch weit entfernt von dem Ort befinden, an dem die Transaktion durchgeführt wird.

Mit der Fähigkeit, schnell zu skalieren und unter einem Mantel der Anonymität zu operieren, stellt diese Methode des Geldabhebens erhebliche Herausforderungen für Finanzinstitute und Einzelhandelsunternehmen dar.