NFC Ghost Tap: Шахрайство з безконтактними платежами зросло у 35 разів у 2025 році

Приклали карту, забрали каву, пішли далі. Безконтактна оплата – швидко та зручно. Але тепер це улюблена мета кіберзлочинців. Техніка Ghost Tap виросла в 35 разів з початку 2025 року, перетворюючи вкрадені дані карт на невідслідковувані покупки по всьому світу.

Що таке атака Ghost Tap?

Ghost Tap – це NFC-relay атака. Замість фізичного клонування карти зловмисники перехоплюють NFC-дані та ретранслюють їх у реальному часі на віддалений пристрій.

1. Крадіжка даних картки — через фішинг, шкідливі накладення на банківські програми або соціальну інженерію
2. Прив'язка до мобільного гаманця — вкрадені дані завантажуються до Apple Pay або Google Wallet на телефоні зловмисника
3. Ретрансляція NFC-сигналу — ПЗ типу NFCGate передає NFC-сигнал мережі «кур'єрів»
4. Оплата — кур'єри заходять до магазинів по всьому світу і здійснюють безконтактні покупки нижче за ліміт

Весь процес займає секунди. Карта у вашій кишені, але хтось в іншій країні купує по ній товари.

Чому Ghost Tap важко виявити

Спосіб виявлення	Чому Ghost Tap його оминає
Перевірка розташування	Покупки у реальних магазинах на реальних POS-терміналах
поріг суми	Кожна транзакція нижче за безконтактний ліміт
Перевірка присутності картки	NFC-сигнал ідентичний дотику
Перевірка швидкості	Кур'єри розподілені по різних магазинах та містах
Відбиток пристрою Кожен кур'єр використовує інший телефон

Причини 35-кратного зростання

Відкриті NFC-інструменти

NFCGate, розроблений для академічних досліджень, став широко доступним. Його можливості ретрансляції NFC тепер докладно описані в шахрайських посібниках в Telegram та даркнеті.

Розповсюдження мобільних платежів

У міру того, як все більше банків підключали безконтактні платежі через Apple Pay, Google Pay та СБП, поверхня атаки значно зросла.

Організовані мережі кур'єрів

Злочинні групи вербують кур'єрів через Telegram та соціальні мережі, пропонуючи відсоток з кожної шахрайської покупки.

Як захиститися

Негайні заходи

1. Увімкніть повідомлення про транзакції — миттєві сповіщення про кожну операцію по карті
2. Встановіть низький безконтактний ліміт — багато банків дозволяють налаштувати ліміт у додатку
3. Використовуйте біометричну верифікацію — Face ID або відбиток пальця для кожного платежу
4. Ніколи не повідомляйте коди із SMS — банк ніколи не дзвонить і не пише з проханням назвати код
5. Перевіряйте виписку щотижня — дрібні шахрайські списання (300-1000 ₽) розраховані на те, що їх не помітять

Захистіть конфіденційні дані в інтернеті

Ghost Tap починається з вкрадених даних. Кожен шматочок конфіденційної інформації, яким ви ділитеся онлайн, є потенційною точкою входу.

Коли ви ділитеся паролями або фінансовою інформацією, використовуйте зашифровані канали, а не простий текст в Telegram. LOCK.PUB дозволяє ділитися конфіденційною інформацією через захищені паролем посилання з автоматичним терміном дії замість того, щоб залишати дані карти в історії чату надовго.

Якщо ви стали жертвою

1. Негайно заблокуйте картку через банківську програму
2. Зателефонуйте до відділу шахрайства банку
3. Напишіть заяву до поліції — потрібно для повернення коштів
4. Перевірте всі прив'язані гаманці - Apple Pay, Google Pay, Samsung Pay
5. Змініть пароль банківської програми

Підсумок

Ghost Tap - симптом фундаментального протиріччя між зручністю та безпекою платежів. Увімкніть повідомлення, ставтеся з підозрою до будь-яких запитів кодів і не ділитеся конфіденційною інформацією відкритим текстом. Інструменти типу LOCK.PUB допомагають гарантувати, що чутливі дані не залишаються в незахищених каналах.

Безконтактний платіж має бути зручним — але це завжди має бути ваш дотик.