サイバー犯罪者は、アップルペイやグーグルペイなどのモバイル決済システムにリンクされた盗まれたクレジットカード情報を現金化する新しい方法を考案し、「ゴーストタップ」と名付けられ、NFCカードデータを世界中のマネーミールに中継している。
この手口は、8月にESETが文書化したNGateのようなモバイルマルウェアが以前展開していた、決済カードからの近距離無線通信(NFC)信号を中継する手法をベースにしている。
Ghost Tapは、より難読化されており、検出がより困難で、カードや被害者のデバイスを必要とせず、継続的な被害者の交換を必要とせず、複数の遠隔地でPOS(販売時点情報管理)端末とやりとりするマネー・ミュールが関与しています。
モバイル・セキュリティ企業のThreat Fabricは、Ghost Tapを発見し、この新しい手口の普及と可能性について警告しており、最近、この手口を使用する被害が急増していると伝えている。
Ghost Tapの概要とNGateとの比較
攻撃の最初のステップは、決済カードのデータを盗み出し、Apple PayやGoogle Payのバーチャルウォレット登録に必要なワンタイムパスワード(OTP)を傍受することだ。
ペイメントカードのデータを盗むには、デジタル決済アプリを模倣したオーバーレイを表示するバンキングマルウェアや、フィッシングページやキーロギングを利用する。OTPは、ソーシャルエンジニアリングや、テキストメッセージを監視するマルウェアによって盗まれる可能性がある。
以前のNGateベースの攻撃では、被害者を騙してデバイスのNFCシステムを使用してカードをスキャンさせる必要があり、このプロセスを誘導する特殊なマルウェアを使用していた。
NFCGateツールは現在もペイメントカード情報の中継に使用されている。しかし、現在ではその間に中継サーバーが置かれ、実際の場所を難読化しながら詳細をマネーミュールの広範なネットワークに送信している。
囮はその後、デバイスのNFCチップを使用して小売店での購入を大規模かつ複数の場所で実行し、詐欺ネットワークのマッピングや主要な攻撃者の追跡を困難にします。
NGateの攻撃では、脅威行為者は少額の非接触型決済やATMでの引き出しに限られていたため、匿名性が危険にさらされ、場合によっては逮捕にまで至っていた。
新たなゴースト・タップ作戦では、脅威行為者はATMでの引き出しを行わなくなった。その代わりに、彼らは店頭での現金引き出しのみを行い、世界中の “ミュール “の幅広いネットワークにそれを広めている。
これにより、悪意のある活動の主要なオペレーターへの痕跡がわかりにくくなり、ミュールが危険にさらされるだけです。
Ghost Tapからの保護
Threat Fabricは、取引が合法的に見え、複数の場所にまたがっているため、金融機関がこの新しい手口を検知し、阻止するのは困難であると警告している。
多くの銀行の不正防止機構は、他国への旅行など通常とは異なる場所からの購入を検知するが、研究者によれば、多数の少額決済はこれらの検知を回避する可能性があるという。
「この新しいキャッシュアウトの手口は、金融組織にとって難題となります。サイバー犯罪者が不正なオフライン購入の規模を拡大し、さまざまな場所で複数の少額決済を行うことができるため、不正防止メカニズムが作動せず、サイバー犯罪者が(ギフトカードのように)さらに再販可能な商品を購入することに成功する可能性があるのです」と、ThreatFabric は説明しています。
このような少額の取引がすべて(同じApple Pay/Google Payアカウントに紐付けられた)1台のデバイスから行われているように見えても、攻撃が大規模に適用されれば、失われる総額は大きなものになります。
追跡を回避するため、ミュールはデバイスを「機内モード」にし、NFCシステムが通常通り機能するようにしている。
ゴースト・タップを防御する唯一の方法は、銀行が同じカードから行われた取引であっても、チャージとチャージの間の時間枠内に物理的に行くことが不可能な場所での取引にフラグを立てることである。例えば、ニューヨークで不正取引を行い、その10分後にキプロスで不正取引を行うといった具合だ。
消費者の立場からすれば、不正取引を監視し、すぐに銀行に報告することが、カードをブロックし、損失を最小限に抑えるために極めて重要である。
Comments