Una nueva técnica cibercriminal sofisticada conocida como “tocación de fantasmas” ha surgido como una amenaza significativa para los sistemas de pago sin contacto, lo que permite a los actores de amenaza de habla china explotar los detalles de la tarjeta de pago robado vinculados a los servicios de billetera móvil como Apple Pay y Google Pay.
Este innovador vector de ataque aprovecha las tácticas de retransmisión de comunicación de campo cercano (NFC) para facilitar el fraude minorista, lo que permite que los ciberdelincuentes transformen el robo digital en bienes físicos a través de una red elaborada de mulas y sistemas automatizados.
El ecosistema de tocación de fantasmas representa una convergencia de las técnicas de phishing tradicionales con tecnología de retransmisión NFC de vanguardia, creando una operación de fraude de extremo a extremo que abarca múltiples países e involucra varios roles penales.
A diferencia del fraude de tarjetas convencional que se basa únicamente en las transacciones en línea, el toque de fantasmas permite a los delincuentes realizar compras en persona en las tiendas minoristas, lo que hace que la detección sea significativamente más desafiante para los sistemas tradicionales de monitoreo de fraude.
La técnica permite a los actores de amenaza transmitir información de pago de tarjetas comprometidas cargadas en dispositivos móviles para separar las terminales de pago en tiempo real, evitando efectivamente los requisitos de proximidad física.
Datos recientes de las autoridades de Singapur ilustran la escala de esta amenaza emergente, con 656 informes de tarjetas de pago comprometidas que involucran billeteras móviles registradas entre octubre y diciembre de 2024, lo que resulta en pérdidas superiores a $ 1.2 millones de SGD.
De estos incidentes, al menos 502 casos involucraron específicamente tarjetas comprometidas vinculadas a Apple Pay, lo que demuestra la vulnerabilidad particular de las populares plataformas de pago móviles a este método de ataque.
Analistas futuros grabados identificado Los actores de amenaza clave que operan en plataformas Telegram, particularmente @Webu8, que anuncia teléfonos de quemadores especializados y servicios de tocación de fantasmas a sindicatos criminales de habla china.
Descripción general de la campaña de tocaciones de fantasmas que involucran billeteras móviles (fuente-FUTRITURA RECORDE)
A través de una amplia investigación y un compromiso directo con estos actores de amenazas, los analistas descubrieron una sofisticada infraestructura criminal que se extiende por el sudeste asiático, con operaciones centradas en Camboya y China, pero apuntando a víctimas a nivel mundial.
Infraestructura técnica y metodología de ataque
La cadena de ataque de Ghost-Tapping comienza con cibercriminales utilizando sistemas automatizados para cosechar credenciales de tarjetas de pago a través de campañas de phishing y malware móvil.
Estas credenciales robadas se agregan sistemáticamente a las billeteras de pago sin contacto en teléfonos quemadores utilizando un software patentado que puede evitar las medidas de autenticación tradicionales.
El proceso implica capacidades de automatización sofisticadas, como lo demuestran los intentos observados de agregar tarjetas bancarias de DBS comprometidas a Apple Pay a intervalos precisos de cuatro a ocho minutos, lo que demuestra la escala industrial de estas operaciones.
# Automated Tarjeta Adición de intento Simulación Importar Tiempo Solicitudes def intente_card_addition (card_details, wallet_service): “” “” simula intentos automatizados para agregar tarjeta robada a la billetera móvil “” “para intento en el rango (1, 10): respuesta = wallet_service.add_card (tarjeta_details) si la respuesta.status == Sucesive”: retorno verdadero verdadero ” “enable_mobile_wallets” en respuesta.
La base técnica de los tocadores de fantasmas se basa en herramientas de retransmisión de NFC como NFCGate, una aplicación Android diseñada originalmente para el análisis legítimo de tráfico de NFC pero reutilizado para actividades criminales.
El ataque requiere dos dispositivos móviles con NFCGate instalado y un servidor configurado para transmitir el tráfico entre ubicaciones.
Cuando una mula de dinero se acerca a un terminal de punto de venta, el sistema puede transmitir datos de tarjetas tokenizados en tiempo real desde la infraestructura del atacante hasta el dispositivo de la mula, lo que permite transacciones no autorizadas sin la presencia física de la tarjeta original.
Descripción general de la técnica de tocación de fantasmas (fuente-RecordedFuture)
El ecosistema criminal que apoya las operaciones de tocación de fantasmas se extiende más allá del simple robo de tarjetas para abarcar una cadena de suministro sofisticada que involucra múltiples roles especializados.
Los ciberdelincuentes como @Webu8 operan como proveedores, proporcionando no solo teléfonos de quemador cargados con credenciales robadas, sino también ofreciendo servicios de reciclaje de teléfonos para maximizar la eficiencia operativa.
Estos actores de amenaza venden dispositivos por aproximadamente $ 500 USDT cuando están cargados con diez tarjetas de pago comprometidas, estableciendo un modelo económico claro que incentiva las operaciones a gran escala.
Los sistemas de autenticación de tarjetas de pago enfrentan desafíos particulares al confrontar ataques de tocación de fantasmas, ya que la técnica explota los protocolos de comunicación NFC legítimos.
La automatización observada en estos ataques sugiere que los delincuentes han desarrollado métodos sofisticados para superar las características de seguridad implementadas por los bancos, incluida la autenticación multifactor y las ventanas de aprobación limitadas por el tiempo.
Incluso las medidas de seguridad, como requerir la autenticación de aplicaciones móviles, se pueden evitar cuando los delincuentes han obtenido acceso a las credenciales bancarias de las víctimas a través de campañas integrales de phishing o infecciones de malware móviles.
Productos de lujo comprados en varias tiendas minoristas que utilizan técnicas de tocación de fantasmas (fuente-FUTURE RECORDED)
La distribución geográfica de las operaciones de tocación de fantasmas refleja la naturaleza global del delito cibernético moderno, con sindicatos criminales con sede en Camboya y China orquestando ataques que se dirigen a las víctimas de todo el mundo mientras implementan mulas para realizar compras fraudulentas en países con infraestructura minorista robusta.
Este alcance internacional complica los esfuerzos de aplicación de la ley y permite a los delincuentes explotar las brechas jurisdiccionales en el enjuiciamiento del delito cibernético, lo que hace que los fantasmas hechen una amenaza particularmente resistente para el ecosistema de pago global.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
