Αόρατη απάτη μέσω κινητού: Το “ngate” επιτρέπει αναλήψεις από ATM χωρίς φυσική κάρτα

Μια νέα κυβερνοαπειλή φέρνει πονοκέφαλο στους χρήστες Android, καθώς μπορεί να επιτρέψει σε εγκληματίες να αδειάζουν τραπεζικούς λογαριασμούς χωρίς να κλέψουν ποτέ τη φυσική κάρτα.

Το κακόβουλο λογισμικό «ngate», που εντόπισαν ερευνητές της Polish Computer Emergency Response Team, εκμεταλλεύεται την τεχνολογία NFC – την ίδια που χρησιμοποιείται για τις ανέπαφες πληρωμές μέσω κινητού.

Το ngate εγκαθίσταται σε μολυσμένες συσκευές και «ακούει» την επικοινωνία που γίνεται κάθε φορά που ο χρήστης πραγματοποιεί μια πληρωμή τύπου tap to pay.

Δεν περιορίζεται στην καταγραφή του αριθμού της κάρτας, αλλά υποκλέπτει και τα δυναμικά tokens και τους προσωρινούς κωδικούς που δημιουργούνται σε κάθε συναλλαγή, μεταφέροντάς τα στους διακομιστές των επιτιθέμενων.

Με αυτά τα δεδομένα στα χέρια τους, οι δράστες μπορούν να εκτελούν νόμιμες φαινομενικά συναλλαγές ή ακόμη και αναλήψεις από ATM, χωρίς να έχουν ποτέ την κάρτα ή το κινητό του θύματος.

Το κόλπο όμως απαιτεί δύο βήματα: πρώτον, να έχει ήδη μολυνθεί το τηλέφωνο – συνήθως μέσω ψεύτικων εφαρμογών που ζητούν πρόσβαση σε NFC – και δεύτερον, ο χρήστης να πραγματοποιήσει μια ανέπαφη πληρωμή.

Οι ειδικοί προειδοποιούν ότι η επίθεση δεν ενεργοποιείται αυτόματα· χρειάζεται την ακούσια συμμετοχή του χρήστη.

Για να προστατευτείτε, μην εγκαθιστάτε εφαρμογές από άγνωστες πηγές, ελέγχετε τα δικαιώματα NFC, διατηρείτε το Android και τις εφαρμογές ενημερωμένες, και προτιμήστε την κάρτα στο POS αντί για το κινητό όταν έχετε αμφιβολία.