Πώς χρησιμοποιούνται Apple Pay και Google Wallet για την κλοπή καρτών

Παρόλο που η ασφάλεια των καρτών πληρωμών βελτιώνεται συνεχώς, οι επιτήδειοι συνεχίζουν να βρίσκουν νέους τρόπους για να κλέβουν χρήματα. Στο παρελθόν οι κυβερνοεγκληματίες, αφού εξαπατούσαν το θύμα ώστε να τους δώσει τα στοιχεία της κάρτας του μέσω ενός πλαστού ηλεκτρονικού καταστήματος ή κάποιας άλλης απάτης, δημιουργούσαν στη συνέχεια ένα φυσικό αντίγραφο της κάρτας, «γράφοντας» τα κλεμμένα δεδομένα σε μια μαγνητική ταινία.

Μπορούσαν έτσι να πραγματοποιήσουν αγορές σε καταστήματα, αλλά ακόμα και να κάνουν αναλήψεις από ΑΤΜ χωρίς πρόβλημα. Παρότι η δημιουργία των καρτών με chip και των κωδικών μιας χρήσης (OTP) έκανε τη ζωή των απατεώνων πολύ πιο δύσκολη, αυτοί κατάφεραν να προσαρμοστούν.

Σύμφωνα με την Kaspersky, η στροφή προς τις πληρωμές μέσω κινητών τηλεφώνων ενίσχυσε την ανθεκτικότητα απέναντι σε ορισμένα είδη απάτης, αλλά δημιούργησε και νέες δυνατότητες για τους απατεώνες, οι οποίοι, αφού υποκλέψουν τον αριθμό μίας κάρτας, επιχειρούν πλέον να τον συνδέσουν με τον δικό τους λογαριασμό Apple Pay ή Google Wallet. Αφού το καταφέρουν αυτό, χρησιμοποιούν στη συνέχεια τον λογαριασμό από το smartphone τους για να πραγματοποιούν πληρωμές με την κάρτα του θύματος — σε κανονικά καταστήματα ή και σε ψεύτικα σημεία πώλησης που υποστηρίζουν NFC.

Πώς υποκλέπτονται τα στοιχεία των καρτών

Τέτοιες κυβερνοεπιθέσεις απαιτούν προετοιμασία υψηλής κλίμακας. Οι επιτήδειοι δημιουργούν δίκτυα ψεύτικων ιστοσελίδων που έχουν σχεδιαστεί για να υποκλέπτουν στοιχεία πληρωμών. Αυτές οι ιστοσελίδες μπορεί να μιμούνται υπηρεσίες παράδοσης, μεγάλα διαδικτυακά καταστήματα, ακόμα και πλατφόρμες πληρωμής λογαριασμών ή προστίμων της τροχαίας. Οι κυβερνοεγκληματίες αγοράζουν επίσης δεκάδες smartphones, δημιουργούν λογαριασμούς Apple ή Google σε αυτά και εγκαθιστούν εφαρμογές ανέπαφων πληρωμών.

Το «ζουμί» βρίσκεται στη συνέχεια: Όταν το θύμα κατευθύνεται σε μια ψεύτικη ιστοσελίδα, του ζητείται να συνδέσει την κάρτα του ή να πραγματοποιήσει υποχρεωτικά μια μικρή πληρωμή. Αυτό απαιτεί την καταχώρηση των στοιχείων της κάρτας και την επιβεβαίωση της κατοχής της κάρτας μέσω ενός OTP. Στην πραγματικότητα όμως η κάρτα δεν χρεώνεται εκείνη τη στιγμή.

Τι ακριβώς συμβαίνει; Τα δεδομένα του θύματος μεταφέρονται σχεδόν άμεσα στους κυβερνοεγκληματίες, οι οποίοι προσπαθούν να συνδέσουν την κάρτα με το mobile wallet στο smartphone τους. Απαιτείται κωδικός OTP για την εξουσιοδότηση αυτής της διαδικασίας. Για να την επιταχύνουν και να την απλοποιήσουν, οι επιτήδειοι χρησιμοποιούν ειδικό λογισμικό που αντλεί τα δεδομένα και δημιουργεί ένα τέλειο εικονικό αντίγραφο της κάρτας. Αρκεί έπειτα να τραβήξουν μια φωτογραφία της εικόνας αυτής από το Apple Pay ή το Google Wallet. Η ακριβής διαδικασία σύνδεσης μιας κάρτας με ένα ψηφιακό πορτοφόλι εξαρτάται από τη χώρα και την τράπεζα, αλλά συνήθως δεν απαιτούνται άλλα δεδομένα εκτός από τον αριθμό της κάρτας, την ημερομηνία λήξης, το όνομα του κατόχου της κάρτας, το CVV/CVC και το OTP. Όλα αυτά μπορούν να υποκλαπούν σε μία μόνο προσπάθεια και να χρησιμοποιηθούν άμεσα.

Για να καταστήσουν τις επιθέσεις τους ακόμη πιο αποτελεσματικές, οι κυβερνοεγκληματίες χρησιμοποιούν και άλλα κόλπα. Για αρχή, ακόμα και αν το θύμα συνειδητοποιήσει τον κίνδυνο πριν πατήσει το κουμπί Υποβολής, οποιαδήποτε δεδομένα έχουν ήδη καταχωρηθεί στις φόρμες μεταφέρονται στους εγκληματίες — έστω κι αν πρόκειται για μερικούς χαρακτήρες ή ημιτελή καταχώρηση. Δεύτερον, η ψεύτικη ιστοσελίδα μπορεί να αναφέρει ότι η πληρωμή απέτυχε και να ζητήσει από το θύμα να προσπαθήσει με διαφορετική κάρτα. Με αυτόν τον τρόπο, οι εγκληματίες μπορεί να υποκλέψουν τα στοιχεία δύο ή τριών καρτών σε μία μόνο προσπάθεια.

Οι κάρτες δεν χρεώνονται αμέσως, και πολλοί άνθρωποι, βλέποντας ότι δεν υπάρχει τίποτα ύποπτο στην τραπεζική τους δήλωση, ξεχνούν το περιστατικό.

Πώς αφαιρούνται τα χρήματα από τις κάρτες

Οι κυβερνοεγκληματίες μπορεί να συνδέσουν δεκάδες κάρτες σε ένα smartphone χωρίς να προσπαθήσουν άμεσα να ξοδέψουν χρήματα από αυτές. Αυτό το smartphone, που είναι γεμάτο με αριθμούς καρτών, πωλείται έπειτα στο σκοτεινό διαδίκτυο. Μπορεί συχνά να μεσολαβήσουν εβδομάδες ή ακόμα και μήνες μεταξύ της υποκλοπής των δεδομένων και της πραγματικής χρήσης τους. Όταν όμως φτάσει η δυσάρεστη μέρα, οι εγκληματίες μπορεί να αποφασίσουν να ξοδέψουν χρήματα για πολυτελή αντικείμενα σε κάποιο φυσικό κατάστημα κάνοντας απλά μια ανέπαφη πληρωμή από ένα τηλέφωνο με κλεμμένα δεδομένα καρτών. Εναλλακτικά, μπορεί να δημιουργήσουν το δικό τους ψεύτικο κατάστημα σε μια νόμιμη πλατφόρμα ηλεκτρονικού εμπορίου και να πραγματοποιήσουν χρεώσεις για ανύπαρκτα προϊόντα. Ορισμένες χώρες επιτρέπουν ακόμα και αναλήψεις μετρητών από ΑΤΜ με τη χρήση smartphone που υποστηρίζει NFC. Σε όλες τις παραπάνω περιπτώσεις, δεν απαιτείται επιβεβαίωση της συναλλαγής μέσω PIN ή OTP, οπότε τα χρήματα μπορούν να αφαιρούνται μέχρι το θύμα να μπλοκάρει την κάρτα του.

Για να επιταχύνουν τη μεταφορά των ψηφιακών πορτοφολιών σε κρυφούς αγοραστές, καθώς και να μειώσουν τον κίνδυνο για εκείνους που πραγματοποιούν πληρωμές σε καταστήματα, οι επιτιθέμενοι έχουν αρχίσει να χρησιμοποιούν μια τεχνική NFC relay που ονομάζεται Ghost Tap. Συγκεκριμένα, εγκαθιστούν αρχικά μια νόμιμη εφαρμογή όπως το NFCGate σε δύο smartphones — το ένα με το mobile wallet και τις κλεμμένες κάρτες, ενώ το άλλο χρησιμοποιείται άμεσα για πληρωμές. Αυτή η εφαρμογή μεταδίδει, σε πραγματικό χρόνο μέσω του διαδικτύου, τα δεδομένα NFC του πορτοφολιού από το πρώτο τηλέφωνο στον δέκτη NFC του δεύτερου, την οποία ο συνεργάτης των εγκληματιών (γνωστός ως "mule") τοποθετεί στο σημείο πληρωμής.

Τα περισσότερα σημεία πληρωμής σε offline καταστήματα και πολλά ΑΤΜ’s δεν μπορούν να διακρίνουν το σήμα που μεταδίδεται από το αυθεντικό, επιτρέποντας στον «συνεργάτη» να πραγματοποιήσει εύκολα πληρωμές για αγαθά (ή δωροκάρτες, οι οποίες διευκολύνουν τη νομιμοποίηση των κλεμμένων χρημάτων). Στην περίπτωση που ο «συνεργάτης» συλληφθεί στο κατάστημα, δεν υπάρχει τίποτα επιβαρυντικό στο smartphone, παρά μόνο η νόμιμη εφαρμογή NFCGate. Δεν υπάρχουν κλεμμένοι αριθμοί καρτών, καθώς αυτοί είναι αποθηκευμένοι στο smartphone του «εγκέφαλου» της επιχείρησης, ο οποίος μπορεί να βρίσκεται οπουδήποτε, ακόμα και σε άλλη χώρα. Αυτή η μέθοδος επιτρέπει στους απατεώνες να εξαργυρώνουν γρήγορα και με ασφάλεια μεγάλα ποσά, επειδή είναι δυνατόν πολλοί «συνεργάτες» να πληρώνουν σχεδόν ταυτόχρονα με την ίδια κλεμμένη κάρτα.

Πώς μπορείτε να χάσετε χρήματα ακουμπώντας την κάρτα σας στο τηλέφωνό σας

Στα τέλη του 2024, οι απατεώνες κατασκεύασαν μια νέα παραλλαγή του NFC relay και τη δοκίμασαν με επιτυχία σε χρήστες από τη Ρωσία, ενώ δεν υπάρχει τίποτα που να εμποδίζει την επέκταση της εκστρατείας αυτής σε παγκόσμιο επίπεδο. Στη συγκεκριμένη περίπτωση, τα θύματα δεν καλούνται καν να δώσουν τα στοιχεία της κάρτας τους. Αντ' αυτού, με τακτικές κοινωνικής μηχανικής, οι επιτιθέμενοι τους πείθουν να εγκαταστήσουν μια δήθεν χρήσιμη εφαρμογή στο smartphone τους, προσποιούμενοι ότι πρόκειται για εφαρμογή κυβερνητικής, τραπεζικής ή άλλης υπηρεσίας. Δεδομένου ότι πολλές τέτοιες τραπεζικές και κυβερνητικές εφαρμογές στη Ρωσία αφαιρέθηκαν από τα επίσημα καταστήματα λόγω των κυρώσεων, οι ανυποψίαστοι χρήστες εύκολα συναινούν στην εγκατάστασή τους. Στη συνέχεια, το θύμα καλείται να τοποθετήσει την κάρτα του στο smartphone και να εισάγει το PIN του για σκοπούς «εξουσιοδότησης» ή «επαλήθευσης».

Όπως είναι φανερό, η εγκατεστημένη εφαρμογή δεν έχει καμία σχέση με την περιγραφή της. Στο πρώτο κύμα αυτών των επιθέσεων, τα θύματα έλαβαν το NFC relay, το οποίο τους παρουσιαζόταν ως μια «χρήσιμη εφαρμογή». Η εφαρμογή διάβαζε την κάρτα όταν την τοποθετούσαν στο smartphone και μετέδιδε τα δεδομένα της μαζί με το PIN στους επιτιθέμενους, οι οποίοι το χρησιμοποιούσαν για να πραγματοποιήσουν αγορές ή να κάνουν αναλήψεις μετρητών από ΑΤΜ με υποστήριξη NFC. Τα συστήματα κατά της απάτης των μεγάλων ρωσικών τραπεζών έμαθαν γρήγορα να εντοπίζουν τέτοιες πληρωμές λόγω των διαφορών στη γεωγραφική τοποθεσία του θύματος και του πληρωτή, οπότε το 2025 η μέθοδος αυτή άλλαξε, όχι όμως και η ουσία της.

Το θύμα πλέον λαμβάνει μια εφαρμογή για τη δημιουργία αντιγράφου της κάρτας, ενώ το NFC relay εγκαθίσταται από την πλευρά των επιτιθέμενων. Στη συνέχεια, επικαλούμενοι τον κίνδυνο κλοπής, οι επιτιθέμενοι πείθουν το θύμα να καταθέσει χρήματα σε έναν «ασφαλή λογαριασμό» μέσω ΑΤΜ, χρησιμοποιώντας το smartphone του για να εξουσιοδοτήσει την πληρωμή. Όταν το θύμα ακουμπά το τηλέφωνό του στο ΑΤΜ, ο απατεώνας μεταβιβάζει τα δικά του στοιχεία κάρτας σε αυτό, και τα χρήματα καταλήγουν στον λογαριασμό του. Τέτοιες ενέργειες είναι δύσκολο να ανιχνευθούν από τα αυτόματα συστήματα κατά της απάτης, καθώς η συναλλαγή εμφανίζεται απόλυτα νόμιμη – δηλαδή ότι κάποιος απλώς πήγε σε ένα ΑΤΜ και κατέθεσε χρήματα σε μια κάρτα. Το σύστημα κατά της απάτης δεν γνωρίζει ότι η κάρτα ανήκει σε κάποιον άλλον.

Πώς να προστατεύσετε τις κάρτες σας από τους απατεώνες

Καταρχάς, η Google και η Apple, μαζί με τα συστήματα πληρωμών, θα πρέπει να υλοποιήσουν επιπλέον προστατευτικά μέτρα στην υποδομή πληρωμών. Ωστόσο, οι χρήστες μπορούν επίσης να λάβουν μέτρα για να προστατεύσουν τις κάρτες τους:

- Χρησιμοποιήστε εικονικές κάρτες για online πληρωμές. Μην κρατάτε μεγάλα χρηματικά ποσά σε αυτές και ανανεώστε τις μόνο πριν πραγματοποιήσετε μια online αγορά. Εάν ο εκδότης της κάρτας το επιτρέπει, απενεργοποιήστε τις πληρωμές εκτός σύνδεσης και τις αναλήψεις μετρητών από αυτές τις κάρτες.
- Τουλάχιστον μία φορά τον χρόνο αντικαταστήστε την εικονική σας κάρτα με μία καινούρια και μπλοκάρετε την παλιά.
- Για offline πληρωμές, συνδέστε μια διαφορετική κάρτα στο Apple Pay, Google Wallet ή σε παρόμοιες υπηρεσίες. Μην χρησιμοποιείτε ποτέ αυτή την κάρτα online και αν είναι δυνατόν, χρησιμοποιήστε το mobile wallet στο smartphone σας όταν πληρώνετε σε καταστήματα.
- Να είστε πολύ προσεκτικοί με εφαρμογές που σας ζητούν να έχετε την κάρτα πληρωμής στο smartphone σας, πόσο μάλλον να εισάγετε το PIN σας. Αν πρόκειται για μια γνωστή και αξιόπιστη τραπεζική εφαρμογή, τότε δεν υπάρχει πρόβλημα, αλλά αν είναι κάτι ύποπτο που μόλις εγκαταστήσατε από κάποιον σύνδεσμο εκτός επίσημου app store, αποφύγετέ το.
- Χρησιμοποιείτε πλαστικές κάρτες στα ΑΤΜ και όχι smartphone με NFC.
- Εγκαταστήστε μια ολοκληρωμένη λύση ασφαλείας σε όλους τους υπολογιστές και τα smartphones για να μειώσετε τον κίνδυνο να βρεθείτε σε phishing ιστοσελίδες ή να εγκαταστήσετε κακόβουλες εφαρμογές.
- Ενεργοποιήστε τη λειτουργία Safe Money, που είναι διαθέσιμη σε όλες τις λύσεις ασφαλείας μας, για να προστατεύσετε τις οικονομικές συναλλαγές και τις online αγορές σας.
- Ενεργοποιήστε τις πιο άμεσες ειδοποιήσεις συναλλαγών (μέσω μηνύματος ή push) για όλες τις κάρτες πληρωμών σας και επικοινωνήστε αμέσως με την τράπεζα ή τον εκδότη της κάρτας σας αν παρατηρήσετε κάτι ύποπτο.