W sierpniu 2024 roku eksperci z ESET udokumentowali pierwsze przypadki użycia techniki "przekazywania NFC" w Czechach. Technika ta umożliwia wypłacanie pieniędzy z kart ofiar, nawet jeśli znajdują się one w innym miejscu niż przestępca. W Polsce wykryto aplikację, która wcześniej podszywała się pod czeskie banki, a teraz atakuje klientów PKO BP.
Przestępcy rozpoczynają atak, wysyłając SMS-y z informacją o rzekomym zwrocie podatku. Wiadomości te zawierają linki do stron, które zachęcają do instalacji specjalnej aplikacji w wersji PWA, wyłudzającej dane logowania do bankowości elektronicznej.
Dalsza część artykułu pod materiałem wideo
Jak uniknąć ataku
Po uzyskaniu dostępu do konta, oszuści kontaktują się z ofiarą telefonicznie, udając pracowników banku. Straszą utratą środków i namawiają do zainstalowania aplikacji spoza oficjalnego sklepu Android. Następnie przekonują ofiarę do zmiany PIN-u karty płatniczej, co wymaga włączenia NFC i przyłożenia karty do telefonu.
Techniczne aspekty oszustwa
Złośliwa aplikacja wykorzystuje kod narzędzia NFCGate do przekazywania sygnału NFC między telefonami z systemem Android. Do przeprowadzenia ataku nie są potrzebne uprawnienia administratora. Program przesyła przestępcom kod PIN i potwierdza wykrycie karty.
Serwis zaufanatrzeciastrona.pl informuje, że podczas wypłaty z bankomatu przestępca przykłada swój telefon do urządzenia, które komunikuje się z kartą ofiary za pośrednictwem dwóch telefonów. Karta musi pozostawać w kontakcie z telefonem ofiary przez cały proces, który trwa kilkanaście sekund.
Eksperci zaznaczają, że standardowe noszenie karty z NFC w portfelu jest bezpieczne. Do skutecznego ataku niezbędne jest posiadanie kodu PIN oraz kilkunastosekundowy kontakt z kartą. Mimo technicznych możliwości "przedłużania" zasięgu karty do drobnych płatności zbliżeniowych, nie odnotowano dotąd rzeczywistych przypadków takich ataków.
