Παρά τη συνεχή πρόοδο στην ασφάλεια των ψηφιακών συναλλαγών, οι επιτήδειοι προσαρμόζονται διαρκώς, εκμεταλλευόμενοι τα mobile wallets όπως το Apple Pay και το Google Wallet. Οι απάτες μέσω NFC έχουν εξελιχθεί, με τους κυβερνοεγκληματίες να συνδέουν κλεμμένες κάρτες στα δικά τους κινητά τηλέφωνα και να πραγματοποιούν αγορές, χωρίς φυσική παρουσία της κάρτας ή περαιτέρω επιβεβαίωση.
Από την υποκλοπή στοιχείων στην εικονική αντιγραφή
Οι επιθέσεις ξεκινούν συνήθως με phishing. Οι δράστες δημιουργούν ψεύτικες ιστοσελίδες που μιμούνται γνωστές υπηρεσίες και αποσπούν στοιχεία καρτών από ανυποψίαστους χρήστες. Αξιοποιούν ακόμα και την επιβεβαίωση OTP, που κανονικά θα προστάτευε την κάρτα, για να ολοκληρώσουν τη σύνδεση της κάρτας στο δικό τους mobile wallet.
Με ειδικό λογισμικό, δημιουργούν ένα εικονικό αντίγραφο της κάρτας, το οποίο αποθηκεύουν και χρησιμοποιούν όποτε το θελήσουν — συχνά εβδομάδες ή και μήνες αργότερα. Ένα smartphone που έχει φορτωθεί με δεκάδες τέτοιες κάρτες πωλείται στο dark web.
Ghost Tap και relay επιθέσεις: πληρωμές εξ αποστάσεως
Μέσω της τεχνικής NFC relay, οι επιτήδειοι χρησιμοποιούν δύο smartphones: το πρώτο με τις κλεμμένες κάρτες και το δεύτερο για την πραγματική συναλλαγή. Η εφαρμογή NFCGate μεταδίδει τα δεδομένα σε πραγματικό χρόνο, επιτρέποντας πληρωμές σε φυσικά καταστήματα με απόλυτα “νόμιμο” τρόπο — χωρίς το smartphone του εγκεφάλου να εμφανίζεται οπουδήποτε.
Η τεχνική Ghost Tap εξασφαλίζει επιπλέον ανωνυμία, καθώς δεν αποθηκεύονται στοιχεία καρτών στο κινητό που πραγματοποιεί τη συναλλαγή, ελαχιστοποιώντας τον κίνδυνο για τον “συνεργάτη” που εκτελεί την αγορά.
Εξαπάτηση χωρίς αποστολή στοιχείων
Σε πιο πρόσφατες περιπτώσεις, οι εγκληματίες χρησιμοποιούν εφαρμογές που παρουσιάζονται ως δήθεν εργαλεία τραπεζικής ή κυβερνητικής υποστήριξης. Με κοινωνική μηχανική πείθουν τα θύματα να τοποθετήσουν την κάρτα στο smartphone και να εισάγουν το PIN, προσφέροντας έτσι άμεση πρόσβαση στα στοιχεία πληρωμής. Σε επόμενη φάση, μπορούν ακόμη και να πείσουν το θύμα να πραγματοποιήσει κατάθεση χρημάτων σε “ασφαλή λογαριασμό”, χρησιμοποιώντας την κλεμμένη ταυτότητα.
Πώς να προστατευτείτε από τις ψηφιακές απάτες
Οι χρήστες μπορούν να μειώσουν σημαντικά τον κίνδυνο αν ακολουθήσουν μερικές βασικές πρακτικές ασφαλείας:
- Χρήση εικονικών καρτών για online πληρωμές. Διατηρείτε χαμηλό υπόλοιπο και αλλάζετέ τις τακτικά.
- Μη χρησιμοποιείτε την ίδια κάρτα για offline και online αγορές.
- Αποφεύγετε εφαρμογές εκτός επίσημων καταστημάτων, ιδιαίτερα αυτές που ζητούν την κάρτα σας ή το PIN.
- Μη χρησιμοποιείτε smartphones για συναλλαγές σε ΑΤΜ, προτιμήστε φυσικές κάρτες.
- Εγκαταστήστε ολοκληρωμένο λογισμικό προστασίας σε υπολογιστές και κινητά.
- Ενεργοποιήστε push notifications για κάθε συναλλαγή και ελέγχετε τακτικά τις κινήσεις σας.
Οι τράπεζες και οι πάροχοι ψηφιακών πορτοφολιών οφείλουν να θωρακίσουν περαιτέρω τις υποδομές τους. Ωστόσο, η εγρήγορση των χρηστών παραμένει η πρώτη γραμμή άμυνας.
