NFC dolandırıcıları Apple Pay ve Google Wallet’ın arkasına saklanıyor

Ödeme kartı güvenliği sürekli gelişiyor, ancak saldırganlar para çalmak için yeni yollar bulmaya devam ediyor. Geçmişte, kurbanı sahte bir çevrimiçi mağazada veya başka bir dolandırıcılık yoluyla kart kimlik bilgilerini vermesi için kandıran siber suçlular, çalınan verileri manyetik bir şeride yazarak fiziksel bir kopya kart yaparlardı. Bu kartlar daha sonra mağazalarda ve hatta ATM’lerde sorunsuz bir şekilde kullanılabilirdi. Çipli kartların ve tek kullanımlık şifrelerin (OTP’ler) ortaya çıkması dolandırıcılar için hayatı çok daha zorlaştırdı, ancak bu duruma da uyum sağladılar. Akıllı telefonlar kullanılarak yapılan mobil ödemelere geçiş, bazı dolandırıcılık türlerine karşı dayanıklılığı artırdı, ancak aynı zamanda yeni yollar da açtı. Şimdi, bir kart numarasını ele geçirdikten sonra, bunu kendi Apple Pay veya Google Wallet hesaplarına bağlamaya çalışıyorlar. Bunu yaptıktan sonra, bir akıllı telefondan bu hesabı kullanarak, normal bir mağazada ya da NFC özellikli bir ödeme terminali olan sahte bir satış noktasında, kurbanın kartı ile ödeme yapıyorlar.

Kart bilgileri nasıl ele geçiriliyor?

Bu tür siber saldırılar endüstriyel ölçekte hazırlık gerektirir. Saldırganlar, ödeme verileri için kimlik avı yapmak üzere tasarlanmış sahte web sitelerinden oluşan ağlar kurarlar. Bunlar teslimat hizmetlerini, büyük çevrimiçi mağazaları ve hatta elektrik faturalarını veya trafik cezalarını ödemeye yönelik portalları taklit edebilir. Siber suçlular ayrıca düzinelerce akıllı telefon satın alır, bunlarda Apple veya Google hesapları oluşturur ve temassız ödeme uygulamaları yüklerler.

İşin ilginç kısmı; bir kurban sahte bir siteye girdiğinde, kartlarını bağlamaları veya zorunlu küçük bir ödeme yapmaları istenir. Bu, kart bilgilerini girmeyi ve bir OTP girerek kartın sahipliğini onaylamayı gerektirir. Aslında, bu noktada karttan ücret alınmaz.

Peki gerçekte ne olur? Kurbanın verileri, kartı akıllı telefonlarındaki bir mobil cüzdana bağlamaya çalışan siber suçlulara neredeyse anında aktarılır. Bu işlemi yetkilendirmek için OTP kodu gerekir. Süreci hızlandırmak ve basitleştirmek için saldırganlar, kurban tarafından sağlanan verileri alan ve kartın mükemmel bir şekilde kopyasını oluşturan bir görüntü oluşturan özel bir yazılım kullanır. Bundan sonra, Apple Pay veya Google Wallet’tan bu görüntünün fotoğrafını çekmeniz yeterlidir. Bir kartı mobil cüzdana bağlama işlemi ülkeye ve bankaya göre değişir, ancak genellikle numara, son kullanma tarihi, kart sahibi adı, CVV/CVC ve OTP dışında herhangi bir veri gerekmez. Tüm bunlar tek bir oturumda ele geçirilebilir ve hemen kullanıma sokulabilir.

Saldırıları daha da etkili hale getirmek için siber suçlular başka hilelere de başvuruyor. İlk olarak, kurban Gönder düğmesine dokunmadan önce durumun farkına varırsa, formlara önceden girilmiş olan tüm veriler (sadece birkaç karakter veya eksik bir giriş olsa bile) suçlulara aktarılmaya devam eder. İkinci olarak, sahte site ödemenin başarısız olduğunu bildirebilir ve kurbandan farklı bir kart denemesini isteyebilir. Bu şekilde, suçlular tek seferde iki veya üç kart için bilgi toplayabilirler.

Kartlardan hemen para çekilmez ve birçok kişi banka ekstresinde şüpheli bir durum görmediğinden olayı tamamen unutur.

Kartlardan nasıl para çalınıyor?

Siber suçlular bir akıllı telefona düzinelerce kart bağlayabilir ve bu kartlardan hemen para harcamaya çalışmayabilirler. Kart numaralarıyla dolu bu akıllı telefon daha sonra karanlık ağda satışa çıkarılır. Çoğu zaman, kimlik avı ile harcama arasında haftalar hatta aylar geçer. Ancak o tatsız gün gelip çattığında, suçlular fiziksel bir mağazadaki lüks ürünleri, sahte kart numaralarıyla dolu bir telefondan temassız ödeme yaparak satın almaya karar verebilirler. Başka bir senaryoda, yasal bir e-ticaret platformunda kendi sahte mağazalarını kurabilir ve var olmayan ürünler için para talep edebilirler. Hatta bazı ülkeler NFC özellikli bir akıllı telefon kullanarak ATM’den para çekmeye bile izin veriyor. Yukarıdaki tüm durumlarda, işlemin PIN veya OTP yoluyla onaylanması gerekmez, bu nedenle mağdur kişi kartı bloke edene kadar para hortumlanabilir.

Saldırganlar, mobil cüzdanların gizli alıcılara aktarılmasını hızlandırmak ve mağazalarda ödeme yapanlar için riski azaltmak amacıyla Ghost Tap olarak adlandırılan bir NFC aktarım tekniği kullanmaya başladılar. İlk iş olarak, NFCGate gibi yasal bir uygulamayı; biri mobil cüzdan ve çalınan kartlar, diğeri ise doğrudan ödemeler için kullanılacak iki akıllı telefona yüklerler. Bu uygulama, internet üzerinden gerçek zamanlı olarak cüzdanın NFC verilerini ilk telefondan ikincisinin NFC antenine iletir ve siber suçluların suç ortağı (“katır” olarak bilinir) ödeme terminaline dokunur.

Çevrimdışı mağazalardaki çoğu terminal ve birçok ATM, aktarılan sinyali orijinal sinyalden ayırt edemez, bu da katırın mallar (veya çalınan fonları aklamayı kolaylaştıran hediye kartları) için kolayca ödeme yapmasına olanak tanır. Ve eğer katır mağazada gözaltına alınırsa, akıllı telefonda suçlayıcı hiçbir şey bulunmaz, sadece yasal NFCGate uygulaması bulunur. Çalınan kart numaraları ortada yoktur, çünkü bunlar operasyonun arkasındaki beynin akıllı telefonunda saklı tutulmaktadır ve bu kişi herhangi bir yerde, hatta başka bir ülkede bile olabilir. Bu yöntem, dolandırıcıların büyük meblağları hızlı ve güvenli bir şekilde nakde çevirmesine olanak tanır çünkü aynı çalıntı kartla neredeyse aynı anda ödeme yapan birden fazla katır olabilir.

Kartınızı telefonunuza dokundurarak nasıl para kaybedersiniz?

2024 yılının sonlarında dolandırıcılar başka bir NFC aktarım şeması geliştirerek bunu Rusya’daki kullanıcılar üzerinde başarıyla test ettiler ve bu operasyonun dünya çapında yaygınlaşmasını engelleyecek hiçbir şey yok. Bu yöntemde, kurbanlardan kart bilgileri bile istenmiyor. Bunun yerine, saldırganlar sosyal mühendislik yoluyla akıllı telefonlarına devlet, bankacılık veya başka bir hizmet kisvesi altında sözde kullanışlı bir uygulama yüklemelerini sağlıyor. Rusya’da bu tür birçok bankacılık ve devlet uygulaması yaptırımlar nedeniyle resmi mağazalardan kaldırıldığı için, şüphelenmeyen kullanıcılar bunları yüklemeyi kolayca kabul ediyor. Daha sonra mağdurdan kartını akıllı telefonuna tutması ve “yetkilendirme” veya “doğrulama” amacıyla PIN kodunu girmesi isteniyor.

Tahmin edebileceğiniz gibi, yüklenen uygulamanın açıklamasıyla hiçbir ortak yanı yok. Bu tür saldırıların ilk dalgasında, kurbanların aldığı şey, “kullanışlı bir uygulama” olarak yeniden paketlenmiş NFC aktarıcısı. Akıllı telefona tutulduğunda kartı okuyor ve verilerini PIN ile birlikte NFC özellikli ATM’lerden alışveriş yapmak veya nakit çekmek için kullanan saldırganlara iletiyor. Büyük Rus bankalarının dolandırıcılıkla mücadele sistemleri, kurbanın ve ödeyenin coğrafi konumlarındaki uyumsuzluklar nedeniyle bu tür ödemeleri tespit etmeyi çabucak öğrendi, bu nedenle 2025’te plan değişti ama özü aynı kaldı.

Şimdi, kurban kopya kart oluşturmak için bir uygulama alıyor ve aktarıcı saldırganların tarafına yükleniyor. Ardından, hırsızlık riski gibi sahte bir bahaneyle mağdur, ödemeyi onaylamak için akıllı telefonunu kullanarak bir ATM aracılığıyla “güvenli bir hesaba” para yatırmaya ikna ediliyor. Kurban telefonunu ATM’ye tuttuğunda, dolandırıcı kendi kart bilgilerini ATM’ye iletiyor ve para onların hesabına geçiyor. Bu tür işlemlerin otomatik dolandırıcılık önleme sistemleri tarafından takip edilmesi zor çünkü işlem tamamen yasal görünüyor; birisi ATM’ye gitmiş ve karta nakit para yatırmış. Dolandırıcılığı önleme sistemi kartın başka birine ait olduğunu bilmiyor.

Kartlarınızı dolandırıcılara karşı nasıl korursunuz?

Öncelikle Google ve Apple, ödeme sistemleri ile birlikte ödeme altyapısında ek koruyucu önlemler almalıdır. Ancak kullanıcılar da kendilerini korumak için adımlar atabilirler:

• Online ödemeler için sanal kartlar kullanın. Bunlarda büyük miktarlarda para bulundurmayın ve yalnızca çevrimiçi bir alışveriş yapmadan hemen önce para yükleyin. Kartınızı veren kuruluş izin veriyorsa, bu tür kartlardan çevrimdışı ödemeleri ve nakit para çekme işlemlerini devre dışı bırakın.
• Yeni bir sanal kart alın ve yılda en az bir kez eski kartınızı bloke edin.
• Çevrimdışı ödemeler için Apple Pay, Google Wallet veya benzer bir hizmete farklı bir kart bağlayın. Bu kartı asla çevrimiçi olarak kullanmayın ve mümkünse mağazalarda ödeme yaparken akıllı telefonunuzdaki bir mobil cüzdanı kullanın.
• PIN kodunuzu girmek bir yana, ödeme kartınızı akıllı telefonunuza tutmanızı isteyen uygulamalara karşı çok dikkatli olun. Bu, uzun süredir güvenilen bir bankacılık uygulamasıysa, o zaman sorun yok; ancak resmi bir uygulama mağazası dışındaki belirsiz bir bağlantıdan yeni yüklediğiniz tehlikeli bir uygulamaysa, kesinlikle uzak durun.
• ATM’lerde plastik kart kullanın, NFC özellikli akıllı telefonu değil.
• Kimlik avı sitelerine girme ve kötü amaçlı uygulamalar yükleme riskini en aza indirmek için tüm bilgisayarlara ve akıllı telefonlara kapsamlı bir güvenlik çözümü yükleyin.
• Finansal işlemleri ve çevrimiçi satın alma işlemlerini korumak için tüm güvenlik çözümlerimizde bulunan Güvenli Para bileşenini etkinleştirin.
• Tüm ödeme kartları için mümkün olan en hızlı işlem bildirimlerini (metin ve anlık bildirim) etkinleştirin ve şüpheli bir şey fark ederseniz derhal bankanızla veya kartı veren kuruluşla iletişime geçin.

Dolandırıcıların kartlarınızdan nasıl para çalabileceği hakkında daha fazla bilgi edinmek için aşağıdaki yazılarımıza göz atabilirsiniz:

• Web skimmer: Neden özellikle sinsi ve tehlikeli?
• Siber suçlular banka kartlarından nasıl para çalıyorlar ve kendinizi bu tür hırsızlıklardan nasıl korursunuz?
• Güvenli Çevrimiçi Alışveriş için İpuçları
• Finansal varlıklarınızı korumaya yönelik beş Kaspersky teknolojisi