¡Advierten por ataques de “Ghost Tap”! Se roban tarjetas de crédito vinculadas a Google Pay o Apple Pay

El “Ghost Tap” es una táctica utilizada por ciberdelincuentes para retirar dinero de tarjetas de crédito robadas vinculadas a servicios de pago móvil como Google Pay o Apple Pay e implican la retransmisión de tráfico de Comunicación de Campo Cercano (NFC, por sus siglas en inglés), según el portal Threat Fabric.

¡Descubren una nueva ciberamenaza llamada “Ghost Tap”!

Los analistas de ThreatFabric descubrieron una nueva táctica de retiro de efectivo que los actores de amenazas utilizan activamente y que se promueve en foros clandestinos, denominada como “Ghost Tap“.

Durante la investigación, los expertos encontraron una publicación en un foro clandestino, en el que un usuario afirmaba que podía “enviar mi tarjeta Apple Pay / Google Pay desde mi teléfono a su teléfono para la operación NFC“.

• ¿Qué es una operación NFC? Es un método de transferencia de datos inalámbrico que permite a dispositivos como smartphones, portátiles y tablets compartir información cuando están a pocos centímetros de distancia, según Mitek Systems, compañía de acceso digital.

Otro usuario mencionaba que dichas transacciones también se pueden realizar “utilizando el lector NFC integrado del celular“.

En ambos casos, los cibercriminales se referían a alguna forma de retirar dinero de tarjetas robadas que estaban vinculadas a sistemas de pago móvil como Apple Pay o Google Pay, según Threat Fabric.

[TE RECOMENDAMOS: Alertan por un nuevo fraude tipo “mano fantasma” contra usuarios de la banca móvil… ¡cuidado con Zanubis!]

¿Cómo funcionan los ataques de Ghost Tap?

Los ataques de “Ghost Tap” comienzan cuando los cibercriminales ejecutan ataques de superposición o keyloggers para robar los datos de la tarjeta de créidto de las víctimas, según los analistas de Threat Fabric.

• Un ataque de superposición consiste en superponer un formulario por encima de la aplicación que está utilizando un usuario, como una pantalla emergente que se camufla entre el contenido oficial. De esta manera, el usuario deja sus datos en la pantalla superpuesta sin darse cuenta, permitiendo que esa información llegue a los ciberdelincuentes, según Banco Santander.
• Los “keyloggers” son herramientas de vigilancia diseñadas para generar registros de todo lo que el usuario escribe con el teclado el de una computadora o celular, según Kaspersky.

Luego, los cibercriminales vinculan las tarjetas robadas a un nuevo dispositivo, vinculado con Apple Pay o Google Pay, a través de una contraseña de único uso (OTP, por sus siglas en inglés) del banco.

Para lograrlo, los atacantes ejecutan un ataque de phishing que lleva a la víctima a un sitio web malicioso que intercepta el código OTP, enviado a través de SMS, y lo envía a los atacantes para confirmar el vínculo de la tarjeta al sistema de pago móvil.

¿Cuál es la consecuencia de esta nueva ciberestafa?

Como resultado del “Ghost Tap“, los cibercriminales tendrán la tarjeta robada vinculada a su dispositivo, que pueden usar para gastar cantidades bastante significativas en minoristas fuera de línea, de acuerdo con Threat Fabric.

Cabe destacar que los cibercriminales cuentan con un celular con NFC con la tarjeta robada vinculada al sistema de pago móvil, dos dispositivos con NFCGate instalado y un servidor configurado para retransmitir el tráfico.

• El “NFCGate” es una herramienta que se utiliza indebidamente para transmitir datos NFC entre dos dispositivos: el dispositivo de la víctima y el dispositivo del perpetrador, de acuerdo con ESET.

Este enfoque permite a los cibercriminales vincular las tarjetas de crédito a los servicios de pago móvil como Apple Pay y Google Pay para:

• Comprar productos, como tarjetas de regalo, en minoristas fuera de línea mientras se mantiene el anonimato y se está lejos de la ubicación de la tienda.
• Escalar la ejecución del fraude al permitir que varias mulas en diferentes ubicaciones compren productos en un corto período de tiempo.

Fuente: Threat Fabric

El “Ghost Tap” tiene obstáculos para vulnerar a las víctimas

El “Ghost Tap” representa riesgos para los cibercriminales, pues si usan directamente el celular con la tarjeta robada, las autoridades pueden identificarlos si el propietario de la cuenta reportó el robo, según los analistas.

Por otro lado, si los atacantes tienen que “procesar” múltiples tarjetas, deben tomarse su tiempo, aumentando el riesgo de que el emisor bloquee las tarjetas.

“Esto plantea un desafío para los actores, que deben escalar el cobro y permanecer anónimos durante esta etapa final de la ejecución del fraude”.

Threat Fabric

Por esta razón, los ciberdelincuentes recurrieron a la herramienta NFCGate, disponible públicamente, para transmitir el tráfico NFC de un cibercriminal a otro de manera escalable, cobrando dinero de manera efectiva.

¿Cómo deben reaccionar las organizaciones financieras?

Esto también plantea un desafío para las organizaciones financieras, ya que si los cibercriminales realizan varios pagos pequeños en diferentes lugares, podrían no activarse los mecanismos antifraude y podría permitirles comprar con éxito bienes que luego pueden revenderse, como tarjetas de regalo, según Threat Fabric.

Los analistas también advierten que las transacciones del “Ghost Trap” parecen provenir del mismo dispositivo y debido a que no hay varios dispositivos nuevos sospechosos con la tarjeta vinculada, no hay señales de otros celulares involucrados.

Por otro lado, las cantidades gastadas en una transacción pueden ser bastante bajas, por debajo de cierto umbral, mientras que la suma total gastada durante un corto período de tiempo puede ser significativa.

Además, el dispositivo con la tarjeta vinculada puede ponerse en modo “avión”, lo que hace que sea más complicado identificar la ubicación del dispositivo real con la tarjeta y detectar el hecho de que no está presente en el terminal POS.

Sin embargo, el conocimiento de la nueva táctica permite a las organizaciones financieras adoptar mecanismos antifraude para detectar eventos sospechosos en el comportamiento del cliente, tales como:

• Tarjetas vinculadas a un nuevo dispositivo
• Múltiples transacciones realizadas en ubicaciones a las que no se puede llegar dentro de un período entre transacciones.

Fuente: Threat Fabric

Dado que estos cobros fraudulentos de Ghost Tap son el paso final de la ejecución del fraude, es importante prevenir ante la posibilidad del fraude en sí.

Un comportamiento malicioso o inusual detectado en el dispositivo del cliente puede aumentar aún más el riesgo de eventos fraudulentos con la cuenta del cliente, por lo que existe el servicio de NFC relay, herramienta eficaz para prevenir transacciones fraudulentas, según Threat Fabric.

Te recomendamos:

¿Cuáles son los ciberataques más frecuentes en el Black Friday y Cyber Monday?

Venció el plazo: ¿qué se sabe del hackeo que RansomHub haría a la Consejería Jurídica de la Presidencia?

Video

Estafa de infracción de tránsito no es la única: ¿qué es el “quishing” y cómo cuidarte de los códigos QR falsos?

Tendencias en ciberseguridad 2025: advierten por nuevas amenazas con inteligencia artificial