Nowy sposób, by kraść z kont. Eksperci biją na alarm

W sierpniu 2024 roku specjaliści z ESET-u udokumentowali pierwsze przypadki wykorzystania techniki "przekazywania NFC" w Czechach. Metoda ta pozwala na wypłacanie pieniędzy z kart ofiar, nawet gdy znajdują się one w zupełnie innym miejscu niż przestępca. Obecnie wykryto w Polsce aplikację, która wcześniej służyła do podszywania się pod czeskie banki, a teraz celuje w klientów PKO BP.

Przestępcy rozpoczynają atak od wysłania SMS-ów z informacją o rzekomym zwrocie podatku. Wiadomości zawierają linki do stron, które nakłaniają do instalacji specjalnej aplikacji w wersji PWA. Program wyłudza dane logowania do bankowości elektronicznej.

Po uzyskaniu dostępu do konta, oszuści kontaktują się telefonicznie z ofiarą, podszywając się pod pracowników banku. Straszą utratą środków i przekonują do zainstalowania właściwej aplikacji spoza oficjalnego sklepu Android. Następnie nakłaniają ofiarę do zmiany PIN-u karty płatniczej, co wymaga włączenia NFC i przyłożenia karty do telefonu.

Złośliwa aplikacja wykorzystuje kod narzędzia NFCGate do przekazywania sygnału NFC między telefonami z systemem Android. Do przeprowadzenia ataku nie są potrzebne uprawnienia administratora. Program przesyła przestępcom kod PIN i potwierdza wykrycie karty.

Jak informuje serwis zaufanatrzeciastrona.pl, podczas wypłaty z bankomatu przestępca przykłada swój telefon do urządzenia, które komunikuje się z kartą ofiary za pośrednictwem dwóch telefonów. Karta musi pozostawać w kontakcie z telefonem ofiary przez cały proces, który trwa kilkanaście sekund.

Eksperci podkreślają, że standardowe noszenie karty z NFC w portfelu pozostaje bezpieczne. Do skutecznego ataku niezbędne jest posiadanie kodu PIN oraz kilkunastosekundowy kontakt z kartą. Mimo istnienia technicznych możliwości "przedłużania" zasięgu karty do drobnych płatności zbliżeniowych, nie odnotowano dotąd rzeczywistych przypadków takich ataków.