ISGroup Consultoría de Ciberseguridad

Ghost Tap: Nueva táctica de los ciberdelincuentes que explota los sistemas de pago móvil para fraudes globales

Los ciberdelincuentes han desarrollado “Ghost Tap”, un método sofisticado para aprovechar sistemas de pago móvil como Apple Pay y Google Pay para realizar transacciones fraudulentas. A diferencia de métodos anteriores como NGate, Ghost Tap no requiere el dispositivo de la víctima ni una interacción continua, lo que lo hace más difícil de detectar y rastrear. El ataque implica el robo de datos de tarjetas de pago, la interceptación de contraseñas de un solo uso (OTP) y la transmisión de datos NFC (Near Field Communication) a una red global de “mulas de dinero” para realizar compras en terminales PoS (Punto de Venta). Los investigadores de seguridad de Threat Fabric han informado de un aumento en la adopción de esta técnica, destacando su escalabilidad y capacidad de ofuscación como desafíos significativos para las instituciones financieras.

Fecha2024-11-21 10:41:12
Información
  • Banca
  • Tendencias

Resumen técnico

Ghost Tap representa una evolución sofisticada de los fraudes basados en NFC, permitiendo a los atacantes realizar retiros anónimos a gran escala utilizando datos de tarjetas de crédito robadas vinculadas a servicios de pago móvil como Apple Pay y Google Pay. Este método aprovecha el relaying (retransmisión) de tráfico NFC utilizando herramientas como NFCGate, desarrolladas originalmente para la investigación pero reutilizadas para fines ilícitos.

La cadena de ataque incluye:

  • Robo de datos de la tarjeta de pago y OTP:
  • Realizado mediante malware móvil con ataques de superposición (overlay) o keyloggers en los dispositivos de las víctimas.
  • Las OTP necesarias para el registro en la billetera virtual se interceptan mediante el monitoreo de SMS o técnicas de phishing.
  • Vinculación de tarjetas a dispositivos controlados por los atacantes:
  • Las tarjetas se vinculan a dispositivos habilitados para NFC bajo el control de los atacantes sin necesidad del dispositivo físico de la víctima.
  • Transmisión de tráfico NFC a través de servidores intermedios:
  • Los ciberdelincuentes establecen un relay NFC entre el dispositivo del atacante (con la tarjeta robada) y los dispositivos de las mulas de dinero que interactúan con terminales PoS.
  • Ejecución de retiros a escala:
  • Las mulas de dinero, ubicadas en diferentes áreas geográficas, realizan compras al por menor utilizando los datos de la tarjeta transmitidos, manteniendo el anonimato del atacante.
  • Los dispositivos a menudo se configuran en modo avión para ofuscar aún más el origen y la ubicación de las transacciones fraudulentas.

A diferencia de las tácticas anteriores (ej. NGate), Ghost Tap elimina la necesidad de la interacción continua de la víctima o de retiros de cajeros automáticos a pequeña escala. Por el contrario, admite operaciones a gran escala utilizando redes distribuidas de mulas, lo que dificulta la detección por parte de los mecanismos antifraude.

Desafíos para la detección:

  • Las transacciones parecen legítimas ya que están vinculadas a tarjetas conocidas.
  • Los pagos se realizan en pequeñas sumas en múltiples ubicaciones, eludiendo las alertas basadas en umbrales.
  • Las transacciones rápidas en ubicaciones geográficamente distantes dificultan el rastreo en ausencia de mecanismos para detectar viajes imposibles.

Recomendaciones

Para contrarrestar la táctica Ghost Tap y fraudes similares basados en relaying NFC, es fundamental identificar eventos sospechosos en el comportamiento de los clientes. Las instituciones financieras y los desarrolladores de aplicaciones pueden fortalecer su postura de seguridad centrándose en:

  • Tarjeta vinculada a un nuevo dispositivo: Identificar y señalar los casos en los que una tarjeta se asocia a un nuevo dispositivo, especialmente si va acompañada de indicadores de malware móvil en el dispositivo original del cliente. Esta combinación representa una señal fuerte de posible fraude.
  • Tiempos de viaje imposibles: Monitorear transacciones ejecutadas en ubicaciones geográficamente distantes en un arco temporal incompatible con un desplazamiento físico. Dichos patrones pueden revelar actividades fraudulentas.
  • Anomalías en los metadatos del dispositivo: Detectar estados anómalos del dispositivo, como el modo avión, que pueden indicar un intento de enmascarar la ubicación del equipo utilizado para las transacciones.
  • Incoherencias en las transacciones: Mantener bajo control un pico de pagos pequeños y frecuentes ejecutados por una sola tarjeta, a menudo en múltiples ubicaciones, ya que podrían formar parte de un plan de retiro a gran escala.

[Callforaction-THREAT-Footer]

In