NFC
La sicurezza delle carte di pagamento è in continuo miglioramento, ma gli autori degli attacchi trovano sempre nuovi modi per rubare denaro. In passato, dopo aver ingannato la vittima inducendola a consegnare le credenziali della sua carta su un falso negozio online o tramite altri tipi di truffe, i cybercriminali creavano un duplicato fisico della carta scrivendo i dati rubati su una banda magnetica. Tali carte potevano quindi essere utilizzate nei negozi e perfino agli sportelli bancomat senza alcun problema. L’avvento delle carte con chip e delle password monouso (OTP) ha reso la vita molto più difficile ai truffatori, che però si sono adattati. Il passaggio ai pagamenti tramite smartphone ha aumentato la resilienza nei confronti di alcuni tipi di truffe, ma ha anche aperto nuove strade a questo fenomeno. Ora, dopo aver rubato il numero della carta, i criminali cercano di collegarla al loro account Apple Pay o Google Wallet. Fatto ciò, utilizzano questo account da uno smartphone per pagare acquisti utilizzando la carta della vittima, in un negozio normale o in un punto vendita falso dotato di un terminale di pagamento abilitato NFC.
Come vengono rubate le credenziali delle carte di credito
Tali cyberattacchi richiedono una preparazione su scala industriale. Gli autori degli attacchi creano reti di siti Web falsi progettati per estorcere dati di pagamento. Potrebbero imitare i servizi di consegna, i grandi negozi online e perfino i portali per il pagamento di bollette o multe stradali. I cybercriminali acquistano anche decine di smartphone, creano account Apple o Google su di essi e installano app di pagamento contactless.
Ora arriva la parte più “interessante”. Quando una vittima atterra su un sito esca, le viene chiesto di collegare la sua carta o di effettuare un piccolo pagamento obbligatorio. Per farlo, è necessario inserire i dati della carta e confermare la titolarità della carta digitando un OTP. In realtà, a questo punto il costo non viene addebitato sulla carta.
Cosa succede realmente? I dati della vittima vengono trasferiti quasi istantaneamente ai cybercriminali, che tentano di collegare la carta a un portafoglio mobile sul loro smartphone. Per autorizzare questa operazione è necessario il codice OTP. Per velocizzare e semplificare il processo, gli autori degli attacchi utilizzano uno speciale software che prende i dati forniti dalla vittima e genera un’immagine della carta che li replica perfettamente. Dopodiché, basta semplicemente scattare una foto di questa immagine da Apple Pay o Google Wallet. Il processo esatto per collegare una carta a un portafoglio mobile dipende dal Paese e dalla banca, ma solitamente non sono richiesti dati diversi dal numero, dalla data di scadenza, dal nome del titolare della carta, dal CVV/CVC e dall’OTP. Tutto questo può essere sfruttato in un’unica sessione di phishing e utilizzato immediatamente.
Per rendere gli attacchi ancora più efficaci, i cybercriminali ricorrono ad altri trucchi. Innanzitutto, se la vittima ci ripensa prima di toccare il pulsante Invia, tutti i dati già inseriti nei moduli vengono comunque trasmessi ai criminali, anche se si tratta solo di pochi caratteri o di dati incompleti. In secondo luogo, il sito falso potrebbe segnalare che il pagamento non è andato a buon fine e indurre la vittima a provare con una carta diversa. In questo modo, i criminali potrebbero rubare i dati di due o tre carte in una volta sola.
Le carte non vengono addebitate subito e molte persone, non vedendo nulla di sospetto sul proprio estratto conto, dimenticano completamente l’accaduto.
Come vengono rubati i soldi dalle carte
I cybercriminali potrebbero collegare decine di carte a uno smartphone senza cercare immediatamente di spenderci denaro. Questo smartphone, riempito con i numeri delle carte di credito, viene poi rivenduto nel Dark Web. Spesso tra il momento del phishing e quello della spesa trascorrono settimane o addirittura mesi. Ma quando quel giorno spiacevole arriverà, i criminali potrebbero decidere di spendere una fortuna in articoli di lusso in un negozio fisico, semplicemente effettuando un pagamento contactless da un telefono pieno di numeri di carte falsificati. In alternativa, potrebbero aprire un loro negozio falso su una piattaforma di e-commerce legittima e far pagare dei prodotti inesistenti. In alcuni Paesi è addirittura possibile effettuare prelievi agli sportelli bancomat utilizzando uno smartphone dotato di tecnologia NFC. In tutti i casi sopra menzionati non è richiesta alcuna conferma della transazione tramite PIN o OTP, quindi il denaro può essere sottratto finché la vittima non blocca la carta.
Per accelerare il trasferimento dei portafogli mobili agli acquirenti clandestini e ridurre i rischi per chi effettua pagamenti nei negozi, gli autori degli attacchi hanno iniziato a utilizzare una tecnica di trasmissione NFC denominata Ghost Tap. Iniziano installando un’app legittima come NFCGate su due smartphone: uno con il portafoglio mobile e le carte rubate, l’altro utilizzato direttamente per i pagamenti. Questa app trasmette in tempo reale tramite Internet i dati NFC del portafoglio dal primo telefono all’antenna NFC del secondo, che il complice dei cybercriminali (detto “mule”) appoggia sul terminale di pagamento.
La maggior parte dei terminali nei negozi fisici e molti bancomat non sono in grado di distinguere il segnale ritrasmesso da quello originale, consentendo al “mule” di pagare facilmente gli acquisti (o le carte regalo, che facilitano il riciclaggio dei fondi rubati). E se il mule viene fermato nel negozio, sullo smartphone non c’è nulla di incriminante, solo la legittima app NFCGate. Non ci sono numeri di carte rubate, perché sono nascosti nello smartphone della mente dietro l’operazione, che potrebbe trovarsi ovunque, anche in un altro Paese. Questo metodo consente ai truffatori di incassare in modo rapido e sicuro ingenti somme di denaro, poiché più truffatori possono pagare quasi contemporaneamente con la stessa carta rubata.
Come essere truffati con un semplice “tap”
Verso la fine del 2024, i truffatori hanno ideato un altro schema di relay NFC e lo hanno testato con successo su utenti russi; nulla impedisce che l’operazione venga estesa a tutto il mondo. In questo schema, alle vittime non vengono nemmeno richieste le credenziali della loro carta. Al contrario, gli autori degli attacchi sfruttano tecniche di social engineering per convincerli a installare un’app apparentemente utile sul loro smartphone, spacciandola per un servizio governativo, bancario o di altro tipo. Poiché molte di queste app bancarie e governative in Russia sono state rimosse dagli store ufficiali a causa delle sanzioni, gli utenti ignari accettano volentieri di installarle. Alla vittima viene quindi chiesto di avvicinare la propria carta allo smartphone e di inserire il PIN a scopo di “autorizzazione” o “verifica”.
Come avrai intuito, l’app installata non ha nulla in comune con la sua descrizione. Nella prima ondata di tali attacchi, ciò che le vittime hanno ricevuto è stato lo stesso relay NFC, riconfezionato come una “app utile”. Quando la carta viene avvicinata allo smartphone, il dispositivo legge i dati della carta, insieme al PIN, agli autori degli attacchi, che la utilizzano per effettuare acquisti o prelevare contanti dagli sportelli bancomat abilitati NFC. I sistemi anti-frode delle principali banche russe hanno imparato rapidamente a identificare tali pagamenti grazie alle discrepanze tra la geolocalizzazione della vittima e quella di chi paga, quindi nel 2025 è cambiato lo schema, ma non la sostanza.
Ora la vittima riceve un’app per creare una carta duplicata e il relay viene installato da parte degli autori degli attacchi. Successivamente, con il pretesto del rischio di furto, la vittima viene convinta a depositare denaro su un “conto sicuro” tramite un bancomat, utilizzando il proprio smartphone per autorizzare il pagamento. Quando la vittima avvicina il telefono al bancomat, il truffatore trasmette i dati della sua carta e il denaro finisce sul suo conto. Tali operazioni sono difficili da tracciare per i sistemi automatici antifrode, perché la transazione sembra perfettamente legittima: qualcuno si è avvicinato a uno sportello bancomat e ha depositato denaro contante su una carta. Il sistema antifrode non sa che la carta apparteneva a qualcun altro.
Come proteggere le tue carte dai truffatori
Innanzitutto, Google e Apple stessi, insieme ai sistemi di pagamento, dovrebbero implementare ulteriori misure di protezione nell’infrastruttura di pagamento. Tuttavia, gli utenti possono anche adottare misure personali per proteggersi:
- Utilizza carte virtuali per i pagamenti online. Non conservare grandi quantità di denaro e ricaricale solo prima di effettuare un acquisto online. Se l’emittente della carta lo consente, disattiva i pagamenti offline e i prelievi di contanti da tali carte.
- Ottieni una nuova carta virtuale e blocca quella vecchia almeno una volta all’anno.
- Per i pagamenti offline, collega una carta diversa ad Apple Pay, Google Wallet o un servizio simile. Non utilizzare mai questa carta online e, se possibile, utilizza un portafoglio mobile sul tuo smartphone quando paghi nei negozi.
- Fai molta attenzione alle app che ti chiedono di avvicinare la carta di pagamento allo smartphone, per non parlare di inserire il PIN. Se si tratta di un’app bancaria affidabile da tempo, allora va bene; ma se si tratta di qualcosa di sospetto che hai appena installato da un link poco chiaro al di fuori di un app store ufficiale, allora meglio stare alla larga.
- Utilizza carte di plastica agli sportelli bancomat, non uno smartphone con tecnologia NFC.
- Installa una soluzione di sicurezza completa su tutti i computer e smartphone per ridurre al minimo il rischio di finire su siti di phishing e installare app dannose.
- Abilita il componente Safe Money, disponibile in tutte le nostre soluzioni di sicurezza, per proteggere le transazioni finanziarie e gli acquisti online.
- Attiva le notifiche sulle transazioni più rapide possibili (SMS e push) per tutte le carte di pagamento e contatta immediatamente la banca o l’emittente se noti qualcosa di sospetto.
Vuoi altre informazioni sui modi in cui i truffatori possono rubare denaro dalle carte? Leggi i post:
Consigli