Поделиться
Число атак на клиентов российских банков с использованием NFCGate за месяц выросло на 80%
Компания F6, разработчик технологий для борьбы с киберпреступностью, фиксирует стремительный рост активности мошенников, использующих для атак на клиентов российских банков вредоносный софт на основе легитимного приложения NFCGate. За месяц число подтвержденных атак увеличилось на 80%, средняя сумма ущерба выросла вдвое – до 200 тыс. руб., а общая сумма ущерба – более чем в три раза и составила около 150 млн руб. Об этом CNews сообщили представители F6.
Аналитики F6 предупреждают: многие пользователи находятся под угрозой кражи денег со счетов с использованием NFCGate, не подозревая об этом. Сейчас в России насчитывается как минимум 114 тыс. скомпрометированных Android-устройств, на которых установлено это вредоносное ПО, способное через NFC-модули перехватывать и передавать данные банковских карт. Эти программы маскируются под приложения банков, госсервисов, мобильных операторов и даже популярных антивирусов.
Черная метка
Новая схема финансового мошенничества с использованием NFCGate, которую впервые зафиксировали в России в августе 2024 г., стала для системы безопасности российских банков испытанием на прочность. Уникальность схемы – в сочетании социальной инженерии, использовании легитимного приложения, замаскированного под государственные, банковские и иные сервисы, а также снятии денег через банкоматы.
Первые данные об ущербе от мошенничества с использованием NFCGate аналитики компании F6 представили месяц назад. С середины декабря 2024 г. по середину января 2025 г. было совершено не менее 400 подтвержденных атак на клиентов ведущих российских банков, средняя сумма списания составила около 100 тыс. руб. После новогодних каникул активность злоумышленников, использующих NFCGate, стала нарастать. За период с середины января по середину февраля число подтвержденных атак увеличилось на 80%, средняя сумма ущерба выросла вдвое – до 200 тыс. руб., а общая сумма ущерба – более чем в три раза и составила около 150 млн руб.
Киберпреступники используют возможность NFCGate обмениваться данными между двумя смартфонами, на которых установлено приложение. Задача злоумышленников – получить NFC-метку банковской карты пользователя и ее пин-код. Для этого мошенникам нужно убедить потенциальную жертву установить на смартфон вредоносное приложение под видом легитимной программы. На момент исследования, которое специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) и департамента киберразведки (Threat Intelligence) компании F6 провели в январе 2025 г., им удалось обнаружить свыше 100 уникальных образцов вредоносного ПО для Android на основе NFCGate. За месяц список мобильных приложений, под которые злоумышленники маскируют такое ВПО, заметно расширился. К приложениям банков, госсервисов и мобильных операторов добавились, в том числе, программы для видеосвязи, бесконтактных платежей и популярные антивирусы.
Затаившийся дракон
По словам руководителя отдела аналитики данных Fraud Protection компании F6 Александры Радченко, для установки на устройстве пользователя вредоносного приложения на основе NFCGate злоумышленники действуют двумя путями.
Первый – с использованием телефонного мошенничества и приемов социальной инженерии, когда пользователь сам устанавливает ВПО с фишингового сайта. Например, с начала 2025 г. активно применяется сценарий, при котором мошенник под видом представителя банка связывается с пользователем через Telegram или W******p и предлагает более выгодные условия от банка или уникальный продукт. Пользователю присылают ссылку на фишинговую страницу, на которой предлагают ввести персональные данные входа в личный кабинет онлайн-банка, а затем скачать вредоносное мобильное приложение.
Второй – установка софта с NFCGate на устройство жертвы без ее ведома, используя трояны удаленного доступа, например, CraxRAT. Такие вредоносные программы распространяют обычно через мессенджеры в виде APK-файлов под видом обновлений легитимных приложений, а также фейковых антивирусов, приложений госсервисов и операторов связи.
Аналитики F6 прогнозируют: при отсутствии эффективного централизованного противодействия новой схеме мошенничества волна атак на клиентов российских банков продолжит расти. Такой прогноз основан на сведениях о числе скомпрометированных Android-устройств, на которых установлено вредоносное ПО на основе NFCGate. По данным компании, на 12 февраля 2025 г. в России насчитывалось как минимум 114 тыс. таких устройств.
Факт установки такого приложения на устройство еще не означает, что злоумышленники автоматически получают доступ к NFC-данным банковской карты. Для перехвата и передачи данных необходимо, чтобы пользователь запустил вредоносную программу и приложил карту к NFC-чипу. Однако есть другая опасность. Как и предупреждали аналитики Fraud Protection, мошенники доработали функционал ВПО. Теперь при установке и запуске вредоносного приложения оно скрытно для пользователя перехватывает SMS, а в случае, если жертва приложила карту к NFC-чипу, сразу передает ее данные преступникам параллельно с NFC-трафиком. Таким образом, для атаки на пользователя, на устройстве которого уже установлено приложение с NFCGate, злоумышленнику остается только выбрать подходящий сценарий.
«С учетом особенностей платформы Android и относительной простотой распространения такого ВПО, как NFCGate и CraxRAT, мы ожидаем значительный рост числа атак с использованием этой мошеннической схемы. Киберпреступники внимательно следят за развитием антифрод-решений и оперативно адаптируют свои техники для обхода ограничений. Для этого активно применяются приемы социальной инженерии, создаются фишинговые ресурсы, имитирующие приложения дистанционного банковского обслуживания популярных банков. Само ВПО разрабатывается как готовый сервис для мошеннических колл-центров. Также мошенники могут использовать технологию NFCGate для скиминговых (шиминговых) атак», – сказал руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 Дмитрий Ермаков.
Рекомендации специалистов F6 для пользователей
Не общаться в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов сотовой связи или госсервисов. Не переходить по ссылкам из SMS и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков.
Не устанавливать приложения по ссылкам из SMS, сообщений в мессенджерах, писем и подозрительных сайтов. Устанавливать приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay.
Если предлагают установить или обновить приложение банка и присылают ссылку, позвонить на горячую линию, указанную на обороте банковской карты, и уточнить, действительно ли полученное вами предложение исходит от банка.
Не сообщать посторонним CVV и PIN-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводить эти данные на незнакомых, подозрительных сайтах и в сомнительных приложениях.
Если есть понимание, что банковская карта скомпрометирована, сразу же заблокировать ее, позвонив на горячую линию банка или с использованием банковского приложения.
Рекомендации специалистов F6 для подразделений информационной безопасности банков
Исключить общение с клиентами в мессенджерах. Уведомить клиентов, что сотрудники банка не используют мессенджеры для связи с клиентами.
При подозрительных авторизациях и операциях в банкомате по NFC запрашивать у пользователя пластиковую карту.
Учитывать данные геолокации пользователей.
Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
Дополнить антифрод-системы событиями банкоматной сети и событиями токенизации.
Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа.
Поделиться
Короткая ссылка
