{"id":29579,"date":"2025-04-14T20:41:52","date_gmt":"2025-04-14T18:41:52","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29579"},"modified":"2025-04-14T20:41:52","modified_gmt":"2025-04-14T18:41:52","slug":"apple-google-nfc-carding-theft-2025","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/apple-google-nfc-carding-theft-2025\/29579\/","title":{"rendered":"I ladri di dettagli delle carte di credito NFC si nascondono dietro Apple Pay e Google Wallet"},"content":{"rendered":"

La sicurezza delle carte di pagamento \u00e8 in continuo miglioramento, ma gli autori degli attacchi trovano sempre nuovi modi per rubare denaro. In passato, dopo aver ingannato la vittima inducendola a consegnare le credenziali della sua carta su un falso negozio online o tramite altri tipi di truffe, i cybercriminali creavano un duplicato fisico della carta scrivendo i dati rubati su una banda magnetica. Tali carte potevano quindi essere utilizzate nei negozi e perfino agli sportelli bancomat senza alcun problema. L\u2019avvento delle carte con chip e delle password monouso (OTP) ha reso la vita molto pi\u00f9 difficile ai truffatori, che per\u00f2 si sono adattati<\/a>. Il passaggio ai pagamenti tramite smartphone ha aumentato la resilienza nei confronti di alcuni tipi di truffe, ma ha anche aperto nuove strade a questo fenomeno. Ora, dopo aver rubato il numero della carta, i criminali cercano di collegarla al loro account Apple Pay o Google Wallet. Fatto ci\u00f2, utilizzano questo account da uno smartphone per pagare acquisti utilizzando la carta della vittima, in un negozio normale o in un punto vendita falso dotato di un terminale di pagamento abilitato NFC.<\/p>\n

Come vengono rubate le credenziali delle carte di credito<\/h2>\n

Tali cyberattacchi richiedono una preparazione su scala industriale. Gli autori degli attacchi creano reti di siti Web falsi progettati per estorcere dati di pagamento. Potrebbero imitare i servizi di consegna, i grandi negozi online<\/a> e perfino i portali per il pagamento di bollette o multe stradali. I cybercriminali acquistano anche decine di smartphone, creano account Apple o Google su di essi e installano app di pagamento contactless.<\/p>\n

Ora arriva la parte pi\u00f9 \u201cinteressante\u201d. Quando una vittima atterra su un sito esca, le viene chiesto di collegare la sua carta o di effettuare un piccolo pagamento obbligatorio. Per farlo, \u00e8 necessario inserire i dati della carta e confermare la titolarit\u00e0 della carta digitando un OTP. In realt\u00e0, a questo punto il costo non viene addebitato sulla carta.<\/strong><\/p>\n

Cosa succede realmente? I dati della vittima vengono trasferiti quasi istantaneamente ai cybercriminali, che tentano di collegare la carta a un portafoglio mobile<\/strong> sul loro smartphone. Per autorizzare questa operazione \u00e8 necessario il codice OTP. Per velocizzare e semplificare il processo, gli autori degli attacchi utilizzano uno speciale software che prende i dati forniti dalla vittima e genera un\u2019immagine della carta che li replica perfettamente. Dopodich\u00e9, basta semplicemente scattare una foto di questa immagine da Apple Pay o Google Wallet. Il processo esatto per collegare una carta a un portafoglio mobile dipende dal Paese e dalla banca, ma solitamente non sono richiesti dati diversi dal numero, dalla data di scadenza, dal nome del titolare della carta, dal CVV\/CVC e dall\u2019OTP. Tutto questo pu\u00f2 essere sfruttato in un\u2019unica sessione di phishing e utilizzato immediatamente.<\/p>\n

Per rendere gli attacchi ancora pi\u00f9 efficaci, i cybercriminali ricorrono ad altri trucchi. Innanzitutto, se la vittima ci ripensa prima di toccare il pulsante Invia, tutti i dati gi\u00e0 inseriti nei moduli vengono comunque trasmessi ai criminali, anche se si tratta solo di pochi caratteri o di dati incompleti. In secondo luogo, il sito falso potrebbe segnalare che il pagamento non \u00e8 andato a buon fine e indurre la vittima a provare con una carta diversa. In questo modo, i criminali potrebbero rubare i dati di due o tre carte in una volta sola.<\/p>\n

Le carte non vengono addebitate subito e molte persone, non vedendo nulla di sospetto sul proprio estratto conto, dimenticano completamente l\u2019accaduto.<\/p>\n

Come vengono rubati i soldi dalle carte<\/h2>\n

I cybercriminali potrebbero collegare decine di carte a uno smartphone senza cercare immediatamente di spenderci denaro. Questo smartphone, riempito con i numeri delle carte di credito<\/a>, viene poi rivenduto nel Dark Web. Spesso tra il momento del phishing e quello della spesa trascorrono settimane o addirittura mesi. Ma quando quel giorno spiacevole arriver\u00e0, i criminali potrebbero decidere di spendere una fortuna in articoli di lusso in un negozio fisico, semplicemente effettuando un pagamento contactless da un telefono pieno di numeri di carte falsificati. In alternativa, potrebbero aprire un loro negozio falso su una piattaforma di e-commerce legittima e far pagare dei prodotti inesistenti. In alcuni Paesi \u00e8 addirittura possibile effettuare prelievi agli sportelli bancomat utilizzando uno smartphone dotato di tecnologia NFC. In tutti i casi sopra menzionati non \u00e8 richiesta alcuna conferma della transazione tramite PIN o OTP, quindi il denaro pu\u00f2 essere sottratto finch\u00e9 la vittima non blocca la carta.<\/p>\n

Per accelerare il trasferimento dei portafogli mobili agli acquirenti clandestini e ridurre i rischi per chi effettua pagamenti nei negozi, gli autori degli attacchi hanno iniziato a utilizzare una tecnica di trasmissione NFC denominata Ghost Tap<\/a>. Iniziano installando un\u2019app legittima come NFCGate su due smartphone: uno con il portafoglio mobile e le carte rubate, l\u2019altro utilizzato direttamente per i pagamenti. Questa app trasmette in tempo reale tramite Internet i dati NFC del portafoglio dal primo telefono all\u2019antenna NFC del secondo, che il complice dei cybercriminali (detto \u201cmule\u201d) appoggia sul terminale di pagamento.<\/p>\n

La maggior parte dei terminali nei negozi fisici e molti bancomat non sono in grado di distinguere il segnale ritrasmesso da quello originale, consentendo al \u201cmule\u201d di pagare facilmente gli acquisti (o le carte regalo, che facilitano il riciclaggio dei fondi rubati). E se il mule viene fermato nel negozio, sullo smartphone non c\u2019\u00e8 nulla di incriminante, solo la legittima app NFCGate. Non ci sono numeri di carte rubate, perch\u00e9 sono nascosti nello smartphone della mente dietro l\u2019operazione, che potrebbe trovarsi ovunque, anche in un altro Paese. Questo metodo consente ai truffatori di incassare in modo rapido e sicuro ingenti somme di denaro, poich\u00e9 pi\u00f9 truffatori possono pagare quasi contemporaneamente con la stessa carta rubata.<\/p>\n

Come essere truffati con un semplice \u201ctap\u201d<\/h2>\n

Verso la fine del 2024, i truffatori hanno ideato un altro schema di relay NFC e lo hanno testato con successo su utenti russi; nulla impedisce che l\u2019operazione venga estesa a tutto il mondo. In questo schema, alle vittime non vengono nemmeno richieste le credenziali della loro carta. Al contrario, gli autori degli attacchi sfruttano tecniche di social engineering per convincerli a installare un\u2019app apparentemente utile sul loro smartphone, spacciandola per un servizio governativo, bancario o di altro tipo. Poich\u00e9 molte di queste app bancarie e governative in Russia sono state rimosse dagli store ufficiali a causa delle sanzioni, gli utenti ignari accettano volentieri di installarle. Alla vittima viene quindi chiesto di avvicinare la propria carta allo smartphone e di inserire il PIN a scopo di \u201cautorizzazione\u201d o \u201cverifica\u201d.<\/p>\n

Come avrai intuito, l\u2019app installata non ha nulla in comune con la sua descrizione. Nella prima ondata di tali attacchi, ci\u00f2 che le vittime hanno ricevuto \u00e8 stato lo stesso relay NFC, riconfezionato come una \u201capp utile\u201d. Quando la carta viene avvicinata allo smartphone, il dispositivo legge i dati della carta, insieme al PIN, agli autori degli attacchi, che la utilizzano per effettuare acquisti o prelevare contanti dagli sportelli bancomat abilitati NFC. I sistemi anti-frode delle principali banche russe hanno imparato rapidamente a identificare tali pagamenti grazie alle discrepanze tra la geolocalizzazione della vittima e quella di chi paga, quindi nel 2025 \u00e8 cambiato lo schema, ma non la sostanza.<\/p>\n

Ora la vittima riceve un\u2019app per creare una carta duplicata e il relay viene installato da parte degli autori degli attacchi. Successivamente, con il pretesto del rischio di furto, la vittima viene convinta a depositare denaro su un \u201cconto sicuro\u201d tramite un bancomat, utilizzando il proprio smartphone per autorizzare il pagamento. Quando la vittima avvicina il telefono al bancomat, il truffatore trasmette i dati della sua carta e il denaro finisce sul suo conto. Tali operazioni sono difficili da tracciare per i sistemi automatici antifrode, perch\u00e9 la transazione sembra perfettamente legittima: qualcuno si \u00e8 avvicinato a uno sportello bancomat e ha depositato denaro contante su una carta. Il sistema antifrode non sa che la carta apparteneva a qualcun altro.<\/p>\n

Come proteggere le tue carte dai truffatori<\/h2>\n

Innanzitutto, Google e Apple stessi, insieme ai sistemi di pagamento, dovrebbero implementare ulteriori misure di protezione nell\u2019infrastruttura di pagamento. Tuttavia, gli utenti possono anche adottare misure personali per proteggersi:<\/p>\n