Кража денег с банковских карт через NFC: как защититься | Блог Касперского

Преступники крадут деньги через популярные платежные системы (Apple Pay, Google Wallet и другие) и просто с приложенной к смартфону банковской карты. Что делать для защиты в 2025 году?

Безопасность банковских карт непрерывно улучшается, но злоумышленники находят все новые способы воровать с них деньги. Когда-то, выманив у жертвы информацию о карте на поддельном сайте магазина или в другой мошеннической схеме, преступники изготавливали физическую карту-двойник, записывая украденные данные на магнитную полосу. С такой картой можно было идти в магазин или даже в банкомат. Появление карт с чипом и одноразовых SMS-кодов сильно усложнило жизнь мошенников, но они адаптировались. Переход к мобильным платежам при помощи смартфонов повысил устойчивость к мошенничеству — но и открыл новые пути для него. Теперь мошенники пытаются привязать карты, номера которых им удалось выманить, к своему аккаунту Apple Pay или Google Wallet. Затем смартфон с этим аккаунтом используется, чтобы оплачивать товары с чужой карты — в обычном магазине или в фальшивой торговой точке с платежным терминалом, поддерживающим NFC.

Как выманивают данные

Череде кибератак предшествует серьезная подготовка, проводимая в промышленном масштабе. Злоумышленники создают сеть фальшивых сайтов по выманиванию платежных данных. Сайты могут имитировать службы доставки, крупные онлайн-магазины и даже сайты по оплате коммунальных услуг или дорожных штрафов. Одновременно преступники закупают десятки физических телефонов, создают на них учетные записи Apple или Google и устанавливают приложение для бесконтактных платежей.

Дальше — самое интересное. Когда жертва попадает на сайт-приманку, ей предлагают привязать карту или совершить необходимый небольшой платеж. Для этого нужно указать данные банковской карты, а затем подтвердить свое владение этой картой, введя SMS-код. В этот момент с карты не происходит никаких списаний.

Что происходит на самом деле? Почти мгновенно данные жертвы передаются преступникам, которые пытаются привязать карту к мобильному кошельку на смартфоне. SMS-код нужен, чтобы подтвердить эту операцию. Для ускорения и упрощения манипуляций злоумышленники используют специальный софт, который по введенным жертвой данным создает изображение карты, полностью повторяющее реальные карточки нужного банка. Теперь эту картинку достаточно сфотографировать из Apple Pay или Google Wallet. Процесс привязки карточки к мобильному кошельку зависит от конкретной страны и банка, но обычно для этого не требуется никаких данных, кроме номера, срока действия, имени владельца, CVV/CVC и SMS-кода. Все это можно выманить в рамках одной фишинговой сессии и сразу использовать.

Чтобы повысить эффективность атак, преступники прибегают к дополнительным уловкам. Во-первых, если жертва опомнилась и не нажала кнопку «отправить», любые введенные данные из всех форм все равно мгновенно передаются преступникам. Даже если это всего пара букв, незаконченный ввод. Во-вторых, иногда сайты-фальшивки сообщают, что платеж не удался и нужно попробовать другую карту. Так у одной жертвы порой удается выманить две-три карты.

Никаких мгновенных списаний с карты не происходит, и многие люди, не увидев ничего подозрительного в выписке, забывают об этом эпизоде и успокаиваются.

Как крадут деньги с карты

Преступники привязывают к одному смартфону десяток, а то и несколько десятков карт, не пытаясь тратить с них деньги. После этого такой нафаршированный чужими картами смартфон перепродают на черном рынке. Между фишингом и реальными тратами с карты часто проходит несколько недель, а то и месяцев. Но затем этот неприятный день все же наступает. Преступники покупают дорогие товары в настоящем магазине, просто прикладывая телефон с выбранной чужой картой для оплаты. Либо они открывают собственный мошеннический магазин при помощи легитимных платформ электронной коммерции и списывают деньги за несуществующие товары. В некоторых странах с помощью NFC-смартфона можно снимать и наличные деньги в банкоматах. Во всех перечисленных случаях подтверждения операции при помощи ПИН-кода или SMS-кода не требуется, поэтому жертва теряет деньги, пока не заблокирует карту.

Для того чтобы ускорить транспортировку мобильных кошельков подпольным покупателям, а также снизить риск для тех, кто расплачивается подобным образом в магазине, злоумышленники стали применять технологию ретрансляции NFC-соединений (NFC relay), уже получившую жаргонное название Ghost Tap. Суть в том, что на смартфонах мошенников — первом, с мобильным кошельком с украденными картами, и втором, применяемом непосредственно для оплаты, устанавливается легитимное приложение, например NFCGate. Оно в реальном времени через Интернет транслирует NFC-данные кошелька с первого смартфона на NFC-антенну второго, который подельник мошенника — его еще называют «мулом» — прикладывает к терминалу оплаты.

Большинство терминалов в офлайн-магазинах и многих банкоматах не могут отличить ретранслированный сигнал от оригинального, и «мул» спокойно оплачивает товары (или, например, подарочные карты, с помощью которых легко «отмыть» украденное). А если преступника задержат в магазине, то, кроме легитимного приложения NFCGate, ничего инкриминирующего на смартфоне не окажется, ведь чужих платежных карт там нет — они на смартфоне организатора мошенничества, который может находиться где угодно, даже в другой стране. Этот способ позволяет мошенникам безопасно и быстро вывести крупные суммы денег, ведь «мулов», практически одновременно расплачивающихся одной и той же украденной картой, может быть несколько.

Как потерять деньги, приложив карту к телефону

В конце 2024 года мошенники придумали еще одну схему с ретрансляцией NFC-сигнала и успешно обкатали ее на пользователях из России — но никто не мешает им масштабировать успех на весь мир. В этой схеме от жертвы даже не требуется вводить данные своей карты, вместо этого злоумышленники, пользуясь методами социальной инженерии, убеждают ее установить на свой смартфон якобы «полезное» приложение, маскирующееся под сервисы госуслуг, налоговой службы, банковские приложения и так далее. Поскольку в России многие подобные приложения банков и государственных сервисов были удалены из официальных магазинов приложений из-за санкций, не подозревающие подвоха пользователи легко соглашаются на установку. Далее жертве предлагают для «авторизации» или «верификации» приложить банковскую карту к смартфону и ввести ПИН-код.

Как вы, наверное, уже догадались, установленное приложение не имеет ничего общего с заявленным. В первой волне подобных атак жертве присылали все тот же NFC-ретранслятор, «перелицованный» под полезное приложение. Он считывал приложенную к смартфону карту и передавал ее данные вместе с ПИН-кодом злоумышленнику. А тот с ее помощью оплачивал покупки или снимал деньги в банкомате с NFC. Антифрод-системы крупных российских банков достаточно быстро научились идентифицировать такие платежи из-за несовпадения геолокации жертвы и плательщика, поэтому в 2025 году изменилась схема — но не суть мошенничества.

Теперь жертве присылают приложение для создания дубликата карты, а ретранслятор ставит себе злоумышленник. Далее жертву под надуманным предлогом риска кражи убеждают положить деньги на некий «безопасный счет» через банкомат, приложив смартфон для авторизации платежа. Когда жертва подносит телефон к банкомату, мошенник транслирует на него данные своей карты, и деньги в результате поступают на счет мошенника. Это затрудняет отслеживание подобных операций автоматическими антифрод-системами, поскольку операция выглядит совершенно легитимно — некто подошел к банкомату и внес наличные на карту. То, что карта оказалась чужой, антифроду неизвестно.

Как защитить свои карты от мошенников

Дополнительные защитные меры в платежной инфраструктуре должны реализовывать в первую очередь Google и Apple совместно с платежными системами. Но кое-что для самозащиты могут сделать и пользователи.

• Используйте виртуальные банковские карты для оплаты в Интернете. Не храните на них много денег и пополняйте прямо перед интернет-покупками. Если ваш банк это позволяет, запретите по таким картам оплату не через Интернет и снятие наличных.
• Выпускайте новую виртуальную карту и блокируйте старую хотя бы раз в год.
• Чтобы физически расплачиваться в магазинах, привяжите другую банковскую карту к Apple Pay, Google Wallet или одному из национальных сервисов-аналогов. Эту карту никогда не применяйте онлайн, а в магазинах старайтесь пользоваться мобильным кошельком на смартфоне.
• Очень настороженно относитесь к требованиям приложений приложить вашу банковскую карту к смартфону, а уж тем более — ввести ПИН-код от нее. Если это проверенное и давно знакомое банковское приложение — тогда ладно, а если только что установленная по непонятной ссылке и не из официального магазина приложений поделка — не надо.
• В банкоматах используйте пластиковые карты, а не смартфон с NFC.
• Используйте комплексное защитное решениена всех компьютерах и смартфонах, чтобы минимизировать вероятность попадания на фишинговые сайты и установки вредоносных приложений.
• Включите компонент «Безопасные платежи», предназначенный для защиты финансовых операций и покупок в Интернете, в любом из наших защитных решений.
• Подключите для всех банковских карт максимально быстрые способы оповещения об операциях (SMS, Push) и немедленно обращайтесь в банк при появлении любых сомнительных операций.

Хотите узнать, как еще мошенники могут украсть деньги с ваших банковских карт? Читайте в наших статьях:

• Кто такие веб-скиммеры и с чем их едят
• Что будет, если продать свою банковскую карту незнакомцу в Интернете
• Как крадут деньги с карт и как их защитить
• Правила безопасного онлайн-шопинга
• Шесть технологий Kaspersky на страже ваших финансов

03.04.2025