Attacchi di skimming NFC

In che modo i cybercriminali sfruttano la funzione di pagamento contactless degli smartphone per sottrarre denaro.

I pagamenti NFC e tramite smartphone sono così comodi che molte persone hanno detto addio al portafoglio e non si preoccupano più di ricordare i codici PIN. Le carte bancarie sono ormai memorizzate in un’app specifica, che risulta più veloce da utilizzare rispetto alle carte fisiche. Inoltre, i pagamenti mobili sono sicuri: si basano infatti su una tecnologia relativamente nuova, che integra un’ampia serie di misure di difesa contro le frodi. E anche se i cybercriminali hanno escogitato metodi diversi per approfittare dell’NFC e sottrarre denaro, è molto semplice proteggere il proprio conto in banca. Leggi i suggerimenti di questo articolo ed evita le situazioni in cui è pericoloso utilizzare l’NFC.

Relay NFC e NFCGate: che cosa sono?

Il relay NFC è una tecnica specifica in base alla quale le informazioni inviate in modalità wireless da una sorgente (ad esempio, una carta bancaria) a un ricevitore (come un terminale di pagamento) vengono intercettate da un dispositivo intermedio e trasmesse in tempo reale a un altro. Supponiamo di avere due smartphone che sono connessi tramite Internet e in ciascuno dei quali è installata un’app di relay. Se si accosta una carta fisica a uno smartphone e si tiene l’altro vicino a un terminale di pagamento o a uno sportello bancomat, l’app di relay installata nel primo rileva il segnale della carta tramite NFC e lo inoltra in tempo reale al secondo smartphone, che a sua volta lo trasmette al terminale. Dal punto di vista del dispositivo ricevente, l’operazione sembra sostanzialmente identica a quella che viene normalmente eseguita con una carta reale – carta che in realtà potrebbe anche trovarsi fisicamente in un’altra città o in un altro paese.

La tecnologia NFC non nasce per scopi criminali. Sviluppata dagli studenti dell’Università Tecnica di Darmstadt, in Germania, l’app NFCGate ha fatto la sua comparsa nel 2015 come strumento di ricerca destinato alla didattica, al testing della tecnologia contactless, all’analisi e al debug del traffico NFC. Distribuita come soluzione open source, NFCGate ha riscosso subito un ampio consenso in ambito accademico e tra gli appassionati del settore.

Cinque anni dopo, rendendosi conto delle enormi possibilità offerte dal relay NFC, i cybercriminali hanno cominciato a modificare l’app con l’aggiunta di una serie di mod, progettate per instradare la comunicazione verso un server dannoso, spacciare il software come legittimo e mettere in campo tecniche di social engineering.

Quello che in origine era un progetto di ricerca si è trasformato nella tecnologia essenziale di una classe completamente nuova di attacchi, che consentono ai malintenzionati di prosciugare i conti bancari anche senza disporre di una carta fisica.

Indietro nel tempo: l’uso improprio della tecnologia NFC

I primi attacchi sferrati mediante una versione modificata dell’app NFCGate sono stati registrati in Repubblica Ceca negli ultimi mesi del 2023. Entro l’inizio del 2025 il fenomeno era ormai diventato dilagante e macroscopico, tanto che gli analisti di cybersecurity hanno scoperto più di 80 campioni univoci di malware basati sul framework NFCGate. Gli attacchi si sono evoluti rapidamente e le funzionalità di relay NFC sono state integrate in altri componenti dei malware.

Nel febbraio del 2025 sono comparsi dei bundle di malware che combinavano il ransomware CraxsRAT e l’app NFCGate. I cybercriminali potevano così implementare e configurare la trasmissione quasi senza interagire con la vittima. Nella primavera dello stesso anno è emerso un nuovo sistema di frode, basato su versione “decodificata” dell’app NFCGate, che ha rivoluzionato le modalità di esecuzione degli attacchi.

Vale la pena di fare un approfondimento sul trojan RatOn, individuato per la prima volta in Repubblica Ceca. Questo malware, che unisce le funzionalità di controllo remoto dello smartphone a quelle di relay NFC, consente agli autori degli attacchi di prendere di mira app e carte attraverso svariate combinazioni di tecniche. I cybercriminali possono ricorrere a un ampio arsenale di armi improprie, dalle opzioni per l’acquisizione di screenshot alla manipolazione dei dati memorizzati negli appunti, dall’invio di SMS al furto delle informazioni dei portafogli di criptovaluta e delle app bancarie.

La tecnologia di relay NFC è stata inoltre integrata in una serie di pacchetti MaaS (Malware-as-a-Service), che vengono rivenduti in abbonamento ad altri attori di minacce. Agli inizi del 2025 gli analisti hanno scoperto che in Italia era in corso una nuova e sofisticata campagna di malware Android, chiamata SuperCard X. In Russia e in Brasile, rispettivamente nei mesi di maggio e agosto dello stesso anno, i cybercriminali hanno tentato diverse volte di distribuire il malware SuperCard X.

Attacchi NFCGate diretti

Gli attacchi diretti non sono altro che la modalità originale con cui i cybercriminali sfruttavano l’app NFCGate. In questo caso lo smartphone della vittima svolge la funzione di lettore, quello del malintenzionato da emulatore della carta.

L’utente viene convinto con l’inganno a installare sullo smartphone un aggiornamento di sistema, l’app di un servizio bancario, un’app specifica per la “sicurezza dell’account” o perfino un’applicazione molto famosa, come TikTok. In realtà, si tratta di un malware camuffato. Dopo l’installazione l’app riesce ad accedere sia a NFC che a Internet, spesso senza aver bisogno di ottenere autorizzazioni pericolose o accesso come root. Alcune versioni richiedono anche di utilizzare le funzioni di accessibilità disponibili in Android.

A questo punto, con il pretesto di verificare l’identità dell’utente, viene richiesto alla vittima di accostare la carta bancaria allo smartphone: il malware legge i dati della carta tramite NFC e li invia subito al server dei malintenzionati. Da qui le informazioni vengono trasmesse allo smartphone di un money mule, che completa l’opera sottraendo il denaro. Con questo dispositivo, che emula la carta della vittima, è possibile effettuare dei pagamenti attraverso un terminale o prelevare contanti da uno sportello bancomat.

L’app fraudolenta installata nello smartphone della vittima richiede anche di inserire il PIN della carta, proprio come avviene quando si utilizza un terminale di pagamento o uno sportello bancomat, e lo trasmette ai cybercriminali.

All’inizio i cybercriminali restavano nei pressi di uno sportello bancomat, con lo smartphone in mano, e sfruttavano subito la carta bancaria della vittima. In seguito il malware è stato perfezionato in modo che le informazioni rubate si potessero utilizzare anche offline, in un secondo momento, per effettuare acquisti.

La vittima non si rende subito conto di aver subito un furto: la carta è sempre stata in suo possesso, non è stato necessario fornire o inserire manualmente le relative informazioni e l’app dannosa può ritardare la ricezione delle notifiche sui prelievi (o perfino intercettarle).

Ecco alcuni campanelli di allarme che possono indicare un attacco NFC diretto:

  • visualizzazione di prompt per l’installazione di un’app che non proviene da uno store ufficiale;
  • ricezione di messaggi in cui si richiede di toccare la carta memorizzata nello smartphone.

Attacchi NFCGate inversi

Gli attacchi inversi sono un metodo più recente e sofisticato. Lo smartphone preso di mira non legge più la carta della vittima, ma emula quella carta dei cybercriminali. Per il povero malcapitato, l’operazione sembra del tutto sicura: non occorre fornire i dati della carta, avvicinarla allo smartphone o divulgare codici.

Come per gli attacchi diretti, tutto ha inizio con una tecnica di social engineering. L’utente riceve una chiamata o un messaggio che lo convince a installare un’app per i “pagamenti contactless”, la “sicurezza della carta” o addirittura “l’utilizzo della valuta digitale della banca centrale”. Dopo l’installazione viene richiesto di impostare la nuova app come metodo di pagamento contactless predefinito, un passaggio di fondamentale importanza. In questo modo il malware non richiede l’accesso come root, ma soltanto il consenso dell’utente.

L’app dannosa si connette automaticamente e in background al server dannoso e i dati NFC della carta di uno dei cybercriminali vengono trasmessi al dispositivo della vittima, il tutto senza che questa se ne accorga.

L’utente viene quindi invitato a recarsi presso uno sportello bancomat. Con il pretesto di effettuare un invio di denaro al proprio conto corrente o un trasferimento di fondi verso un conto protetto, la vittima riceve l’istruzione di accostare lo smartphone al lettore NFC dello sportello, che interagisce in realtà con la carta dell’autore dell’attacco. Il PIN viene fornito in anticipo all’utente e spacciato per come un codice “nuovo” o “temporaneo”.

Il risultato? Tutto il denaro depositato o trasferito finisce sul conto dei cybercriminali.

Di seguito sono indicate le caratteristiche principali di questo attacco:

  • richieste di modifica del metodo di pagamento NFC predefinito;
  • ricezione di un “nuovo” PIN;
  • qualsiasi situazione in cui viene chiesto di recarsi presso uno sportello bancomat ed effettuare alcune operazioni suggerite da un’altra persona.

Come proteggersi dagli attacchi relay NFC

Gli attacchi relay NFC non si basano su una vulnerabilità tecnica, ma piuttosto sulla capacità di conquistarsi la fiducia degli utenti. Per difendersi, basta quindi adottare alcune semplici precauzioni.

  • Assicurati che il metodo di pagamento contactless predefinito sia sempre impostato su quello più attendibile (come Google Pay o Samsung Pay).
  • Non toccare mai la carta memorizzata nello smartphone se ti viene richiesto da un’altra persona o da un’app. Le app legittime, anche se potrebbero eseguire la scansione del numero di carta mediante la fotocamera, non ti chiederanno mai di utilizzare il lettore NFC.
  • Non seguire le istruzioni che ti vengono date da uno sconosciuto presso uno sportello bancomat, a prescindere da chi sostenga di di essere.
  • Evita di installare app da fonti non ufficiali. Non fidarti dei link che ricevi per SMS, tramite un profilo di social media o in un’app di messaggistica, o che ti vengono consigliati nel corso di una telefonata (anche se l’interlocutore afferma di essere un addetto al servizio clienti o di far parte delle forze dell’ordine).
  • Blocca le chiamate truffa, le visite ai siti di phishing e l’installazione di malware con una soluzione di protezione completa per smartphone Android
  • Fai affidamento solo sugli app store ufficiali. Prima di scaricare un’app, dai un’occhiata alle recensioni, ai download totali, alla data di pubblicazione e alle valutazioni.
  • Se sei a uno sportello bancomat, effettua la transazione utilizzando la carta fisica al posto dello smartphone.
  • Prendi l’abitudine di controllare regolarmente il metodo di pagamento predefinito che è impostato nel menu NFC dello smartphone. Se vedi che ci sono delle app sospette, rimuovile subito ed esegui una scansione di sicurezza completa del dispositivo.
  • Rivedi l’elenco delle app che dispongono di autorizzazioni per l’accessibilità: si tratta di una funzione che i malware utilizzano spesso in modo improprio. Se noti delle app sospette, disinstallale o revoca le relative autorizzazioni.
  • Salva i numeri di telefono ufficiali del servizio clienti della tua banca nella rubrica dello smartphone. Se c’è anche il minimo indizio di una truffa, non aspettare e chiama subito il numero telefonico di assistenza dell’istituto bancario.
  • Blocca immediatamente la carta se hai il dubbio che si sia verificata una compromissione dei dati.

Consigli
  • Tutti gli altri paesi