Мошенник и ворота. Новая схема с NFCGate набрала популярность

ПАО "ВТБ" сообщило, что в марте среди мошенников активно распространяется новая схема, сочетающая в себе социальную инженерию и шпионский софт. Злоумышленники представляются жертве сотрудниками банка, крупной компании, оператора связи и под предлогом обновления приложения убеждают скачать программу, которая на самом деле является вариантом шпионского программного обеспечения NFCGate. Затем они пытаются убедить цель перевести деньги на "безопасный" счет, который является NFC-клоном, созданным мошенниками, через внесение средств в банкомате.

"Если раньше основной модуль программы стоял у мошенника, который после установки второго модуля у клиента делал копию его банковской карты, то теперь все стало наоборот. Основной, измененный модуль ПО ставится на устройство клиента. Когда клиент подносит телефон к банкомату, то происходит зачисление денег, - но на клон карты мошенника. После чего злоумышленник через серию переводов самому себе на счета в разных банках уводит похищенные деньги", - говорится в сообщении.

По словам начальника управления защиты корпоративных интересов департамента по обеспечению безопасности, вице-президента ВТБ Дмитрия Ревякина, антифрод-системы сталкиваются с трудностями идентификации таких переводов, так как они не отличается от обычных операций по зачислению денег на счет. Он отметил, что теперь банкам нужно учить клиентов не только не сообщать никому коды безопасности, но и не переходить по ссылкам из SMS-сообщений, мессенджеров, электронных писем и т.д. и не устанавливать приложений из неофициальных источников.

"И даже в этом случае каждый раз нужно тщательно проверять правильность гиперссылок, чтобы не попасться на фишинг", - сказал Дмитрий Ревякин.

Инструмент в плохих руках

"NFCGate - это легальный инструмент для анализа NFC-трафика, но мошенники превратили его в оружие. Как это работает: в режиме клонирования приложение считывает данные с NFC-метки, например с вашей карты, и сохраняет их для подделки. В режиме трансляции данные передаются между устройствами: одно притворяется терминалом, другое - картой. По сути, это позволяет копировать терминалы, менять реквизиты получателей или списывать деньги без ведома владельца карты. Вот почему даже легитимные инструменты могут стать угрозой", - рассказал заместитель министра цифрового развития Вологодской области Ахметжан Махмутов.

Представитель пресс-службы ВТБ напомнил, что в декабре 2024 г. мошеннические схемы с применением NFCGate стали самыми популярными по распространению среди злоумышленников.

"После того как владелец смартфона установил приложение, мошенники под предлогом подтверждения данных для продления договора давали инструкции, согласно которым жертва должна была сфотографировать карту или поднести ее к смартфону и ввести старый PIN-код и якобы сменить его на новый - на самом деле смена PIN-кода не происходит. В это время с помощью шпионской программы активируется NFC на устройстве жертвы, а другая программа на смартфоне мошенника используется для перехвата данных карты - ID, срок действия. Полученные данные привязываются к устройству злоумышленников. Такой виртуальный клон карты позволяет им снимать деньги в банкоматах и совершать бесконтактные платежи в магазинах с NFC-терминалами", - говорилось в декабрьском сообщении банка ВТБ.

По словам автора продукта Solar appScreener Даниила Чернова, схемы с использованием NFCGate появились в конце 2023 г., и с тех пор злоумышленники маскировали ПО под самые разные приложения.

"Как утверждает ВТБ, сложность заключается в том, что антифрод-системы еще не адаптированы к этому виду мошенничества, и банку сложно защитить клиентов от кражи средств. Банки уже адаптировались к различным способам мошенничества и предупреждают клиентов не передавать одноразовые пароли. В ряде банковских приложений функционал перевода денег может блокироваться, когда клиент находится на звонке или после ввода новых реквизитов, что не позволяет сразу перевести на них деньги в течение определенного времени. В результате это постоянная гонка между злоумышленниками и специалистами по безопасности, а также постоянная работа по повышению осознанности пользователей", - сказал он.

Ведущий инженер АО "Корп Софт" (CorpSoft24) Михаил Сергеев сказал, что схемы мошенников работают только на устройствах с операционной системой Android, а "недостатки" смартфонов Apple являются преимуществом и дополнительной линией защиты. По его словам, есть несколько классических схем с NFCGate, таких как клонирование карт через установку вредоносного ПО на телефон жертвы, перехват данных банковских карт для покупок через терминалы NFC и третья схема, когда жертву заставляют перевести деньги на "безопасный" счет.

По словам главы отдела исследований в области ИИ АНО "Университет Национальной технологической инициативы 2035" Ярослава Селиверстова, существует несколько распространенных модификаций схем с NFCGate, включающих в себя фишинг через поддельные QR-коды, заражение через публичные NFC-терминалы (злоумышленники устанавливают модифицированные терминалы в местах с высокой проходимостью типа метро или кафе) и подмена платежных приложений (когда вместо легального сервиса пользователям внедряют ПО, копирующее реквизиты карты и перенаправляющее транзакции мошенникам).

Как защититься от угрозы

Чтобы снизить риски, Ярослав Селиверстов порекомендовал пользоваться целым комплексом мер. Среди них двухфакторная аутентификация для всех финансовых операций, чтобы усложнить доступ к аккаунтам в случае утечки данных, установка программ и приложений только из официальных магазинов (App Store, Google Play).

"Не доверяйте требованиям о "переводах для безопасности". Банки никогда не просят переводить средства на "проверочные счета" - это всегда признак мошенничества. Контролируйте NFC-настройки. Отключайте функцию, когда она не нужна, а для физических карт используйте экранированные чехлы, блокирующие несанкционированное считывание", - заметил он.

С ним согласился основатель ООО "Интернет-Розыск" Игорь Бедеров. Он порекомендовал пользователям Аndroid-смартфонов отключать NFC, если функция не используется, проявлять осторожность при установке приложений и скачивать их только из доверенных источников и заявил, что просьбы перевести деньги на "безопасный" счет стоит игнорировать.

"Не устанавливайте приложения по ссылкам из звонков, SMS или мессенджеров, а только из официальных магазинов, никогда не прикладывайте карту к телефону по просьбе незнакомцев, проверяйте смартфон антивирусом и не сообщайте PIN-коды или CVV", - заключил Даниил Чернов.