Keamanan kartu pembayaran terus membaik, tetapi penyerang terus menemukan cara baru untuk mencuri uang. Di masa lalu, setelah menipu korban untuk menyerahkan kredensial kartu pada toko online palsu atau melalui beberapa penipuan lainnya, penjahat cyber akan membuat duplikat fisik kartu dengan menulis data yang dicuri ke garis magnetik. Kartu seperti itu kemudian dapat dengan mudah digunakan di toko -toko dan bahkan di ATM. Munculnya kartu chip dan kata sandi satu kali (OTP) membuat hidup lebih sulit untuk scammers, tetapi Mereka beradaptasi. Pergeseran ke pembayaran seluler menggunakan smartphone meningkatkan ketahanan terhadap beberapa jenis penipuan – tetapi juga membuka jalan baru untuk penipuan. Sekarang, setelah phishing untuk nomor kartu, mereka mencoba menautkannya ke akun Apple Pay atau Google Wallet mereka sendiri. Itu selesai, mereka menggunakan akun ini dari smartphone untuk membayar barang menggunakan kartu korban-baik di toko biasa atau di outlet palsu dengan terminal pembayaran yang diaktifkan NFC.
Bagaimana kredensial kartu dipasangkan
Serangan cyber semacam itu memerlukan persiapan pada skala industri. Penyerang membuat jaringan situs web palsu yang dirancang untuk Phish untuk data pembayaran. Ini mungkin meniru layanan pengiriman, Toko online besardan bahkan portal untuk membayar tagihan utilitas atau denda lalu lintas. Сbercriminals juga membeli lusinan smartphone, membuat akun Apple atau Google di atasnya, dan menginstal aplikasi pembayaran tanpa kontak.
Berikutnya adalah bagian yang berair. Ketika seorang korban mendarat di situs umpan, mereka diminta untuk menghubungkan kartu mereka atau melakukan pembayaran kecil wajib. Ini memerlukan memasuki rincian kartu mereka dan mengkonfirmasi kepemilikan kartu dengan memasukkan OTP. Kartu itu sebenarnya tidak dibebankan pada saat ini.
Apa yang sebenarnya terjadi? Data korban ditransfer hampir secara instan ke penjahat cyber, yang berusaha tautkan kartu ke dompet ponsel di ponsel cerdas mereka. Kode OTP diperlukan untuk mengesahkan operasi ini. Untuk mempercepat dan menyederhanakan proses, para penyerang menggunakan perangkat lunak khusus yang mengambil data yang dipasok oleh korban dan menghasilkan gambar kartu yang mereplikasi dengan sempurna. Setelah itu, cukup untuk mengambil foto gambar ini dari Apple Pay atau Google Wallet. Proses yang tepat untuk menghubungkan kartu ke dompet ponsel tergantung pada negara dan bank tertentu, tetapi biasanya, tidak ada data yang diperlukan selain nomor kartu, tanggal kedaluwarsa, nama pemegang kartu, CVV/CVC, dan OTP. Semua ini dapat dipasangkan dalam satu sesi dan digunakan segera.
Untuk membuat serangan mereka lebih efektif, penjahat cyber menggunakan sejumlah trik. Pertama, jika korban sadar sebelum mengetuk tombol kirim, data apa pun yang sudah dimasukkan ke dalam formulir masih diteruskan ke penjahat – bahkan jika itu hanya beberapa karakter atau entri yang tidak lengkap. Kedua, situs palsu dapat melaporkan bahwa pembayaran gagal dan meminta korban untuk mencoba kartu yang berbeda. Dengan cara ini, para penjahat dapat merinci phish untuk dua atau tiga kartu dalam sekali jalan.
Kartu -kartu itu tidak ditagih segera, dan banyak orang, tidak melihat apa pun yang mencurigakan pada pernyataan bank mereka, lupakan semua tentang kejadian itu.
Bagaimana uang dicuri dari kartu
Penjahat dunia maya dapat menghubungkan lusinan kartu ke satu smartphone tanpa segera mencoba menghabiskan uang dari mereka. Smartphone ini, diisi dengan nomor kartukemudian dijual kembali di web gelap. Minggu atau bahkan berbulan -bulan sering berlalu antara phishing dan pengeluaran. Tetapi ketika hari yang tidak menyenangkan itu akhirnya tiba, para penjahat mungkin memutuskan untuk mengeluarkan barang -barang mewah di toko fisik, hanya dengan melakukan pembayaran tanpa kontak dari telepon yang penuh dengan nomor kartu phishing. Atau, mereka mungkin mendirikan toko palsu mereka sendiri di platform e-commerce yang sah dan membebankan uang untuk barang yang tidak ada. Beberapa negara bahkan mengizinkan penarikan ATM menggunakan smartphone yang mendukung NFC. Dalam semua kasus di atas, tidak ada konfirmasi pin atau OTP dari transaksi yang diperlukan, sehingga uang dapat disedot sampai korban memblokir kartu.
Untuk mempercepat transfer dompet ponsel ke pembeli klandestin, dan untuk mengurangi risiko bagi mereka yang melakukan pembayaran di dalam toko, penyerang mulai menggunakan teknik relai NFC yang dijuluki Tap hantu. Mereka mulai dengan memasang aplikasi yang sah seperti NFCGate pada dua smartphone – satu dengan dompet seluler dan kartu curian, yang lain digunakan langsung untuk pembayaran. Aplikasi ini mentransmisikan data NFC dompet secara real time melalui internet dari telepon pertama ke antena NFC ponsel kedua, yang dikeluarkan kaki tangan cyber (dikenal sebagai “bagal”) mengetuk terminal pembayaran.
Sebagian besar terminal di toko offline dan banyak ATM tidak dapat membedakan sinyal yang disampaikan dari yang asli, sehingga bagal dapat dengan mudah membayar barang (atau kartu hadiah, yang membuatnya lebih mudah untuk mencuci dana curian). Dan jika bagal ditahan di toko, tidak ada yang memberatkan di smartphone, hanya aplikasi NFCGate yang sah. Tidak ada nomor kartu curian karena mereka terselip di smartphone dalang di balik operasi, yang bisa berada di mana saja, bahkan di negara lain. Metode ini memungkinkan scammers untuk dengan cepat dan aman menguangkan jumlah besar karena mungkin ada beberapa bagal yang membayar hampir secara bersamaan dengan kartu curian yang sama.
Cara kehilangan uang dengan mengetuk kartu Anda di ponsel Anda
Pada akhir 2024, penipu datang dengan skema relay NFC lainnya dan berhasil mengujinya pada pengguna dari Rusia, dan tidak ada yang menghentikan operasi agar tidak ditingkatkan di seluruh dunia. Dalam skema ini, para korban bahkan tidak diminta kredensial kartu mereka. Sebaliknya, para penyerang secara sosial merekayasa mereka untuk memasang aplikasi yang seharusnya berguna di smartphone mereka yang dimaksudkan untuk menjadi pemerintah, perbankan, atau layanan lainnya. Karena banyak aplikasi perbankan dan pemerintah tersebut dikeluarkan dari toko -toko resmi di Rusia karena sanksi, pengguna yang tidak curiga siap untuk menginstalnya. Korban kemudian diminta untuk memegang kartu mereka ke smartphone mereka dan memasukkan PIN mereka untuk tujuan “otorisasi” atau “verifikasi”.
Seperti yang mungkin Anda duga, aplikasi yang diinstal tidak memiliki kesamaan dengan deskripsinya. Dalam gelombang pertama serangan semacam itu, para korban menerima relai NFC yang sama dikemas ulang sebagai “aplikasi praktis”. Membaca kartu ketika ditahan ke ponsel cerdas, dan mengirimkan datanya bersama dengan PIN kepada para penyerang, yang menggunakannya untuk melakukan pembelian atau menarik uang tunai dari ATM yang diaktifkan NFC. Sistem anti-penipuan bank-bank besar Rusia dengan cepat belajar mengidentifikasi pembayaran seperti itu berdasarkan ketidakcocokan dalam geolokasi korban dan pembayar, sehingga pada tahun 2025 skema-tetapi bukan esensi-berubah.
Sekarang, korban menerima aplikasi untuk membuat kartu duplikat, dan relai dipasang di sisi penyerang. Selanjutnya, dengan dalih palsu dari risiko pencurian, korban dibujuk untuk menggunakan ATM untuk menyetor uang ke dalam “akun yang aman”, menggunakan smartphone mereka untuk mengesahkan pembayaran. Ketika korban memegang telepon mereka ke ATM, scammer menyampaikan rincian kartu mereka sendiri ke sana, dan uang itu berakhir di akun mereka. Operasi semacam itu sulit bagi sistem anti-penipuan otomatis untuk dideteksi karena transaksi terlihat sangat sah-seseorang berjalan ke ATM dan menyetor uang tunai ke kartu. Sistem anti-penipuan tidak tahu bahwa kartu itu milik orang lain.
Cara Melindungi Kartu Anda dari Scammers
Pertama -tama, Google dan Apple sendiri, bersama dengan sistem pembayaran, harus menerapkan perlindungan tambahan dalam infrastruktur pembayaran. Tetapi pengguna juga dapat mengambil langkah -langkah untuk melindungi diri mereka sendiri:
- Gunakan kartu virtual untuk pembayaran online. Jangan menyimpan sejumlah besar uang untuk mereka, dan hanya menambah mereka sebelum melakukan pembelian online. Jika penerbit kartu Anda mengizinkannya, nonaktifkan pembayaran offline dan penarikan tunai dari kartu tersebut.
- Dapatkan kartu virtual baru dan blokir kartu lama Anda setidaknya setahun sekali.
- Untuk pembayaran offline, tautan kartu yang berbeda ke Apple Pay, Google Wallet, atau layanan serupa. Jangan pernah menggunakan kartu ini secara online, dan jika memungkinkan, gunakan dompet seluler di ponsel cerdas Anda untuk membayar di toko.
- Berhati -hatilah dengan aplikasi yang meminta Anda untuk memegang kartu pembayaran Anda ke ponsel cerdas Anda, apalagi masukkan pin Anda. Jika itu adalah aplikasi perbankan yang diperhitungkan panjang, baiklah; Tetapi jika itu sesuatu yang teduh yang baru saja Anda instal dari tautan yang tidak jelas di luar toko aplikasi resmi, maka sukai.
- Gunakan kartu plastik di ATM, bukan smartphone yang mendukung NFC.
- Instal a solusi keamanan yang komprehensif Di semua komputer dan smartphone untuk meminimalkan risiko pendaratan di situs phishing dan memasang aplikasi jahat.
- Aktifkan Uang aman komponen, tersedia di semua kami solusi keamananuntuk melindungi transaksi keuangan dan pembelian online.
- Aktifkan pemberitahuan transaksi tercepat yang mungkin (teks dan dorong) untuk semua kartu pembayaran dan hubungi bank atau penerbit Anda segera jika Anda melihat sesuatu yang mencurigakan.
Ingin mempelajari lebih lanjut tentang bagaimana scammers dapat mencuri uang dari kartu Anda? Baca posting kami: