חברת אבטחת הסייבר ESET מצביעה בדוח חדש על עלייה חדה במתקפות NFC (תשלום ללא מגע) ברחבי העולם. לפי החברה, התוקפים עושים שימוש באפליקציות מזויפות ובאתרי פישינג על מנת לגרום למשתמשים לאשר את התשלומים בארנקים דיגיטליים ולפרסם את פרטי כרטיסי האשראי המותקנים במכשירי אנדרואיד ייעודיים.
על פי ESET, מספר התקיפות באמצעות טכנולוגיית NFC זינק פי 35 תוך חצי שנה בלבד. תוקפים פועלים במרחב הדיגיטלי כדי לנצל את הפופולריות הגוברת של תשלומים ללא מגע, תוך שימוש בשיטות התחזות, תוכנות זדוניות והזרמת מידע בין מכשירים.
האפליקציות המזויפות ואתרי הפישינג נראים לעין בלתי מקצועית כאילו הם חלק ממערך השירות הרשמי של בנקים ומוסדות ממשלתיים או ציבוריים. מטרת ההתחזות היא להוביל את המשתמש להוריד אפליקציה זדונית או להכניס פרטים אישיים רגישים באתר ייעודי.
הגל החדש של התקיפות החל בצ'כיה אך התפשט במהירות לארצות הברית, אוסטרליה, מדינות אירופה נוספות ואזורים באסיה ובדרום אמריקה.
טכניקה נוספת שזוהתה בדו"ח היא Ghost Tap, שיטה מתקדמת שבמסגרתה נרשמים פרטי כרטיס האשראי הגנוב בארנקים דיגיטליים מזויפים, המותקנים על מכשירי אנדרואיד ייעודיים. בדרך זו, נוצרות מעין "חוות" של מכשירים הפועלים באופן אוטומטי ומבצעים עסקאות מזויפות בקנה מידה נרחב, תוך שמירה על אנונימיות מבצעי התקיפה.
לדברי אלכס שטיינברג, מנהל מוצרי ESET בחברת קומסקיור בישראל, "אחת השיטות המרכזיות שעלו בדוח כוללת ניצול לרעה של כלי תוכנה בשם NFCGate - מערכת שפותחה במקור לצורכי מחקר אקדמי. גרסה זדונית של הכלי, בשם NGate, משמשת את התוקפים לצורך העברת נתוני NFC ממכשיר אחד לאחר, באופן שמאפשר שכפול של ארנקים דיגיטליים וכרטיסים. התוצאה היא יכולת לבצע רכישות או משיכות כספים, ללא צורך בגישה פיזית לכרטיס האשראי".
"במקרים שתועדו, התוקפים שלחו הודעות SMS שגרמו לנפגעים להאמין כי מדובר בהודעה רשמית מהבנק או מרשות המיסים, תוך הפניה להורדת אפליקציה נוספת. כך נוצר תהליך הכולל כמה שלבים של התחזות כפולה, הן מצד האפליקציה והן מצד גורם אנושי שיצר קשר טלפוני עם הקורבן, במטרה "לאמת" את השינויים שבוצעו. בשלב זה, הנתונים שכבר נגנבו אפשרו לתוקף לבצע חיקוי של כרטיס האשראי במכשיר אחר, ולהשתמש בו לביצוע תשלומים מיידיים", הוסיף שטיינברג.
שוק בצמיחה מול רמת איום גוברת
לצד הדאגה הגוברת סביב בטיחות השימוש בטכנולוגיה, מציג הדוח תחזיות לצמיחה עקבית בשוק ה‑NFC הגלובלי. על פי הנתונים של ESET, השוק צפוי לגדול משווי של 21.69 מיליארד דולר בשנת 2024 לכ‑30.55 מיליארד דולר עד שנת 2029.
אולם, ההתפשטות המהירה של טכנולוגיית התשלום מביאה עימה כאמור גם פתח להונאות מתוחכמות, שעלולות להתרחש מבלי שהמשתמש יבחין בכך בזמן אמת.
ב-ESET מדגישים כי אין סיבה לזנוח את אמצעי התשלום הנוח והפופולרי הזה, אך חשוב להקפיד על כללי זהירות בסיסיים.
"הכבוד למדינה גדול": הנציגה הישראלית בוועידה הביטחונית היוקרתית מדברת
חברת הסייבר גייסה 75 מיליון דולר והמיזם הסולארי שבר שיא עולמי בגיוס המונים - מסכמים שבוע בטק הישראלי
"פשוט התאהבתי": אישה יפנית התחתנה עם דמות וירטואלית שיצרה בעזרת ChatGPT
מציני ועד חנון: ל-ChatGPT יש 8 אישיויות חדשות - ואתם רק צריכים לבחור
בין ההמלצות שהועלו: הימנעות מהורדת אפליקציות ממקורות לא מוכרים, זיהוי ניסיונות פישינג כבר בשלב ההתחלתי, ושימוש בפתרונות אבטחה ייעודיים למכשירים ניידים.
כמו כן, לאחרונה הכריז גוף התקינה הבינלאומי NFC Forum על תקן חדש (או NFC 15), שנותן מענה מסוים לאיומים ולתקיפות.
כך, התקן החדש מרחיב את מרחק החיבור של NFC מ‑5 מילימטרים ל-2 סנטימטרים. לאור שדרוג זה, לא יהיה צורך להצמיד פיזית את המכשיר למסופון התשלום, והתשלום יבוצע בצורה קלה יותר, עם חוויית משתמש משופרת. כמו כן, התקן החדש יופיע בשעונים ובצמידים החכמים החדשים, וכן בטבעות NFC שצוברות תאוצה בשווקים מסביב לעולם.
לדברי שטיינברג, "המפתח להגנה טמון בשילוב בין מודעות שלנו כמשתמשים לאיומים, לבין שימוש בכלים טכנולוגיים מתקדמים, כמו אנטי-וירוס לסמארטפונים, המזהים את האיום בזמן אמת ומנטרלים אותו עוד בטרם בוצעה העסקה. עלינו להפעיל שיקול דעת מחמיר לנוכח הניסיונות הרבים ומגוונים של התוקפים לגנוב את פרטי כרטיס האשראי שלנו, בין אם מדובר ב-NFC, מיילים או הודעות SMS חשודות".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו