Kẻ tấn công có thể sao chép dữ liệu NFC từ thẻ thanh toán vật lý của nạn nhân bằng ứng dụng NGate độc hại và chuyển tiếp dữ liệu này đến thiết bị của chúng, sau đó thiết bị này có thể sao chép thông tin và dữ liệu từ thẻ gốc và rút tiền từ các máy ATM.
Các nhà nghiên cứu của ESET đã phát hiện ra một chiến dịch nhắm vào khách hàng của ba ngân hàng Séc bằng cách sử dụng phần mềm độc hại NGate.
Phần mềm độc hại này sẽ cho phép tội phạm sử dụng dữ liệu người dùng tại các máy ATM và máy POS để rút tiền hoặc thanh toán khi mua hàng tại máy tính tiền. Trong báo cáo được công bố vào ngày 22 tháng 8, ESET tiết lộ rằng NGate không chỉ thu thập thông tin mà còn được sử dụng để đánh cắp tiền trực tiếp từ tài khoản ngân hàng của nạn nhân.
“ Lukáš Štefanko, người phát hiện ra mối đe dọa và kỹ thuật mới lạ này, cho biết: “Chúng tôi chưa bao giờ thấy kỹ thuật chuyển tiếp NFC mới lạ này trong bất kỳ phần mềm độc hại Android nào được phát hiện trước đó”.
Về cách thức hoạt động, các cuộc tấn công bao gồm một loạt các thủ thuật tinh vi. Nạn nhân nhận được tin nhắn văn bản khẩn cấp yêu cầu họ cài đặt một ứng dụng vì có vấn đề với tờ khai thuế của họ. Tin nhắn này chứa liên kết đến một trang web giả mạo thu thập thông tin đăng nhập của nạn nhân và cung cấp cho kẻ tấn công quyền truy cập vào tài khoản ngân hàng của họ.
Kẻ tấn công sẽ gọi cho nạn nhân, giả vờ là nhân viên ngân hàng, tuyên bố đã gửi tin nhắn văn bản có chứa liên kết đến ứng dụng sẽ bảo vệ tài khoản bằng cách cho phép nạn nhân thay đổi mã PIN và xác minh thẻ của họ. Sau đó, nạn nhân sẽ được yêu cầu bật NFC trên điện thoại của họ và quẹt thẻ. Trên thực tế, ứng dụng di động là phần mềm độc hại NGate.
NGate có thể chuyển tiếp dữ liệu NFC từ thẻ của nạn nhân qua điện thoại di động bị xâm phạm đến điện thoại di động của kẻ tấn công, sau đó có thể mô phỏng thẻ. Kết quả là, kẻ tấn công sẽ nhận được thông tin thời gian thực và rút tiền từ máy ATM.
Cảnh sát Séc đã phá vỡ một băng nhóm bằng phương pháp này sau khi bắt giữ một thành viên trong khi đang rút tiền từ một máy ATM ở Prague (Cộng hòa Séc).
Cần lưu ý rằng hiện tại chưa phát hiện ứng dụng nào chứa NGate trên Google Play nhờ tính năng bảo vệ tự động của Google Play Protect, tính năng này được bật theo mặc định trên các thiết bị Android có Dịch vụ Google Play.
Google cũng cho biết họ không tìm thấy bất kỳ phần mềm độc hại nào như vậy được liệt kê trong Google Play vì Play Protect có thể cảnh báo người dùng và chặn các ứng dụng có hành vi độc hại ngay cả khi chúng đến từ các nguồn của bên thứ ba. Sáu ứng dụng chứa NGate đã tấn công ba ngân hàng tại Cộng hòa Séc đã được phát hiện từ các nguồn khác ngoài Play Store trong khoảng thời gian từ tháng 11 năm 2023 đến tháng 3 năm 2024.
Lukáš Štefanko chia sẻ rằng để đảm bảo bảo vệ chống lại các cuộc tấn công phức tạp như vậy, người dùng cần chủ động chống trả bằng cách: Kiểm tra URL của trang web; tải ứng dụng từ các cửa hàng chính thức; giữ bí mật mã PIN; sử dụng các ứng dụng bảo mật trên điện thoại thông minh; tắt chức năng NFC khi không cần thiết…
Link nguồn: https://cafef.vn/phat-hien-phan-mem-nguy-hiem-co-the-rut-sach-tien-trong-the-ngan-hang-thong-qua-nfc-18824082710530346.chn