ISGroup Conseil en Cybersécurité

Ghost Tap: Une nouvelle tactique des cybercriminels exploite les systèmes de paiement mobile pour des fraudes mondiales

Les cybercriminels ont développé « Ghost Tap », une méthode sophistiquée visant à exploiter les systèmes de paiement mobile tels qu’Apple Pay et Google Pay pour effectuer des transactions frauduleuses. Contrairement aux méthodes précédentes comme NGate, Ghost Tap ne nécessite pas le dispositif de la victime ni une interaction continue, ce qui le rend plus difficile à détecter et à tracer. L’attaque implique le vol de données de cartes de paiement, l’interception de mots de passe à usage unique (OTP) et la transmission de données NFC (Near Field Communication) vers un réseau mondial de « mules financières » pour des achats sur des terminaux de point de vente (PoS). Les chercheurs en sécurité de Threat Fabric ont signalé une augmentation de l’adoption de cette technique, soulignant que sa scalabilité et sa capacité d’obfuscation représentent des défis importants pour les institutions financières.

Date21/11/2024 10:41:12
Informations
  • Banking
  • Tendances

Résumé technique

Ghost Tap représente une évolution sophistiquée des fraudes basées sur la technologie NFC, permettant aux attaquants d’effectuer des retraits anonymes à grande échelle en utilisant les données de cartes bancaires volées liées à des services de paiement mobile comme Apple Pay et Google Pay. Cette méthode exploite le relais de trafic NFC en utilisant des outils tels qu’NFCGate, initialement développés pour la recherche mais détournés à des fins illicites.

La chaîne d’attaque comprend :

  • Vol des données de carte de paiement et des OTP :
  • Réalisé via des logiciels malveillants mobiles utilisant des attaques en superposition (overlay) ou des enregistreurs de frappe (keyloggers) sur les appareils des victimes.
  • Les OTP nécessaires à l’inscription au portefeuille virtuel sont interceptés par la surveillance des SMS ou des techniques de phishing.
  • Liaison des cartes à des appareils contrôlés par les attaquants :
  • Les cartes sont liées à des appareils compatibles NFC sous le contrôle des attaquants sans nécessiter l’appareil physique de la victime.
  • Transmission du trafic NFC via des serveurs intermédiaires :
  • Les cybercriminels établissent un relais NFC entre l’appareil de l’attaquant (contenant la carte volée) et les appareils des mules financières qui interagissent avec les terminaux PoS.
  • Exécution de retraits à grande échelle :
  • Les mules financières, situées dans différentes zones géographiques, effectuent des achats au détail en utilisant les données de carte transmises, préservant ainsi l’anonymat de l’attaquant.
  • Les appareils sont souvent réglés en mode avion pour masquer davantage l’origine et la localisation des transactions frauduleuses.

Contrairement aux tactiques précédentes (ex. NGate), Ghost Tap élimine le besoin d’interaction continue de la victime ou de retraits à petite échelle sur des distributeurs automatiques. Au contraire, il prend en charge des opérations à grande échelle utilisant des réseaux distribués de mules, rendant la détection par les mécanismes antifraude plus complexe.

Défis pour la détection :

  • Les transactions semblent légitimes car elles sont liées à des cartes connues.
  • Les paiements sont effectués pour de petites sommes dans plusieurs lieux, contournant les alertes basées sur des seuils.
  • Des transactions rapides dans des lieux géographiquement distants rendent le traçage difficile en l’absence de mécanismes permettant de détecter des déplacements impossibles.

Recommandations

Pour contrer la tactique Ghost Tap et les fraudes similaires basées sur le relais NFC, il est essentiel d’identifier les événements suspects dans le comportement des clients. Les institutions financières et les développeurs d’applications peuvent renforcer leur posture de sécurité en se concentrant sur :

  • Carte liée à un nouvel appareil : Identifier et signaler les cas où une carte est associée à un nouvel appareil, surtout si cela s’accompagne d’indicateurs de logiciels malveillants mobiles sur l’appareil d’origine du client. Cette combinaison constitue un signal fort de fraude potentielle.
  • Temps de déplacement impossibles : Surveiller les transactions effectuées dans des lieux géographiquement distants dans un laps de temps incompatible avec un déplacement physique. De tels schémas peuvent révéler des activités frauduleuses.
  • Anomalies dans les métadonnées de l’appareil : Détecter les états anormaux de l’appareil, comme le mode avion, qui peuvent indiquer une tentative de masquer la position de l’appareil utilisé pour les transactions.
  • Incohérences dans les transactions : Surveiller un pic de petits paiements fréquents effectués avec une seule carte, souvent dans plusieurs lieux, car ils pourraient faire partie d’un plan de retrait à grande échelle.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *