חוקרי האבטחה של חברת ESET פרסמו דו”ח אבטחה חדש המציג עליה מדאיגה במספר ההתקפות על תשלומים ללא מגע בטכנולוגיית ה-NFC, עם זינוק של פי 35 בכמות המתקפות במחצית הראשונה של 2025 בהשוואה למחצית השניה של 2024.
המתקפות מתמקדות במיוחד במשתמשי סמארטפונים המשתמשים בתשלומים דיגיטליים, ועושות שימוש בשילוב מתוחכם של אפליקציות מזויפות ואתרי פישינג.
לפי הדו”ח החדש, גל התקיפות החדש החל בצ’כיה אך התפשט במהירות לארצות הברית, אוסטרליה ומדינות באירופה, אסיה ודרום אמריקה.
חוקרי ESET מזהירים כי המתקפות מנצלות את הפופולריות הגוברת של תשלומים ללא מגע, שהפכו לחלק בלתי נפרד מהשגרה היומית של מיליוני משתמשים ברחבי העולם.
על פי הדו”ח, שוק ה-NFC הגלובלי צפוי לגדול משווי של 21.69 מיליארד דולר ב-2024 לכ-30.55 מיליארד דולר עד 2029, דבר שהופך אותו למטרה אטרקטיבית עוד יותר עבור פושעי סייבר.
כך פועלות המתקפות החדשות
התוקפים מבצעים את המתקפה בשיטה שמשלבת כמה שלבים מתוחכמים.
התהליך מתחיל בהודעת SMS שמופיעה כאילו היא נשלחה מהבנק או מרשות המיסים, עם קישור לאתר מזויף שמחקה בנק אמיתי.
האתר מבקש מהמשתמש להתקין אפליקציה בשם NGate, גרסה זדונית של תוכנת מחקר בשם NFCGate שנועדה לשדר נתוני NFC בין שני מכשירים, כאשר במקרה של NGate מדובר על נתוני התשלום של הקורבן בזמן אמת לתוקפים.
לעיתים, המשתמש מקבל גם שיחת טלפון מ”נציג בנק” שמנסה לשכנע אותו שהחשבון שלו נפרץ ושהוא צריך “לאמת” את כרטיס האשראי שלו על ידי הצמדתו לגב הסמארטפון.
תוך דקות, נתוני הכרטיס מועברים לתוקף שיכול להשתמש בהם לתשלומים והעברות כספים לא מורשים.
שיטת Ghost Tap – איום מתקדם יותר
לצד השימוש ב-NGate על מנת לשדר נתוני NFC בין שני מכשירים, פושעי סייבר משתמשים גם במתקפת Ghost Tap מתקדמת יותר המאפשרת לבצע תשלומים מזויפים בקנה מידה נרחב תוך שמירה על אנונימיות מוחלטת.
השיטה מבוססת על הזרמת נתוני NFC בין מכשירים במרחקים גדולים, כך שהתוקף עם הכרטיס הגנוב יכול להיות במדינה אחרת בעוד השותף שלו (“הפיון”) מבצע את הרכישות באמצעות נתוני האשראי הגנובים בחנות פיזית.
התהליך פועל כך:
התוקף רושם את כרטיס האשראי הגנוב בארנק דיגיטלי, Apple Pay או Google Pay, במכשיר שלו, תוך שימוש בקוד אימות חד-פעמי שנגנב מהמשתמש האמיתי.
לאחר מכן, הוא משתמש בכלי ה-NFCGate כדי להזרים את נתוני ה-NFC למכשיר של “פיון” הנמצא ליד קופה בחנות.
כשהפיון מקרב את מכשירו לקופה, הנתונים מועברים מהמכשיר המרוחק של התוקף דרך השרת ישירות למסוף התשלום.
השיטה מאפשרת לתוקף יחיד לפעול עם עשרות “פיונים” במקביל במיקומים שונים ברחבי העולם, ולבצע רכישות רבות באותו זמן עם אותו כרטיס.
הפיונים אינם זקוקים לידע טכני מיוחד ויכולים לרכוש מוצרים יקרי ערך כמו כרטיסי מתנה שניתן למכור בקלות.
כיצד להגן על עצמכם
למרות האיום הגובר, ב-ESET מדגישים שאין צורך לוותר על תשלומים ללא מגע, אך חשוב להקפיד על כללי זהירות בסיסיים:
- זיהוי פישינג – היו חשדנים להודעות SMS או מיילים המבקשים להתקין אפליקציות או להכניס פרטי כרטיס אשראי
- הורדת אפליקציות – הורידו אפליקציות רק מחנויות רשמיות (Google Play, App Store)
- הגבלת סכומים – קבעו מגבלות נמוכות לתשלומים ללא מגע
- הגנת סייבר – השתמשו בפתרון אבטחה מקצועי לסמארטפון שמזהה איומים בזמן אמת
- עדכונים שוטפים – הקפידו על עדכוני תוכנה קבועים במכשיר
אלכס שטיינברג, מנהל מוצרי ESET בחברת קומסקיור בישראל, מדגיש:
המפתח להגנה טמון בשילוב בין מודעות שלנו כמשתמשים לאיומים, לבין שימוש בכלים טכנולוגיים מתקדמים, כמו אנטי וירוס לסמארטפונים, המזהים את האיום בזמן אמת ומנטרלים אותו עוד בטרם בוצעה העסקה. עלינו להפעיל שיקול דעת מחמיר לנוכח הניסיונות הרבים ומגוונים של התוקפים לגנוב את פרטי כרטיס האשראי שלנו, בין אם מדובר ב-NFC, מיילים או הודעות SMS חשודות.
