NFC Ghost Tap: Gian lận thanh toán không tiếp xúc tăng 35 lần năm 2025

Chạm thẻ, nhận cà phê, rời đi. Thanh toán không tiếp xúc nhanh và tiện lợi, nhưng giờ đã trở thành mục tiêu yêu thích của tội phạm mạng. Kỹ thuật Ghost Tap đã tăng 35 lần kể từ đầu năm 2025, biến dữ liệu thẻ bị đánh cắp thành các giao dịch mua hàng không thể truy vết trên toàn cầu.

Ghost Tap là gì?

Ghost Tap là tấn công chuyển tiếp NFC. Thay vì sao chép vật lý thẻ của bạn, kẻ tấn công bắt dữ liệu NFC và chuyển tiếp theo thời gian thực đến thiết bị từ xa để thanh toán.

1. Đánh cắp dữ liệu thẻ — Qua tin nhắn lừa đảo, phần mềm độc hại trên ứng dụng ngân hàng, hoặc kỹ thuật xã hội
2. Liên kết ví di động — Nạp dữ liệu bị đánh cắp vào Apple Pay hoặc Google Wallet trên điện thoại kẻ tấn công
3. Chuyển tiếp tín hiệu NFC — Phần mềm như NFCGate chuyển tiếp tín hiệu NFC đến mạng lưới "người vận chuyển"
4. Thanh toán — Người vận chuyển vào các cửa hàng trên toàn thế giới và thực hiện thanh toán chạm dưới hạn mức

Toàn bộ quá trình diễn ra trong vài giây. Thẻ vẫn trong ví bạn, nhưng ai đó ở quốc gia khác đang mua sắm bằng thẻ đó.

Tại sao khó phát hiện

Tại sao tăng 35 lần

Công cụ NFC mã nguồn mở

NFCGate, phát triển cho nghiên cứu học thuật, đã được phổ biến rộng rãi. Khả năng chuyển tiếp NFC được ghi chép chi tiết trên Telegram và dark web.

Thanh toán di động phổ biến

Khi nhiều ngân hàng hỗ trợ thanh toán không tiếp xúc qua Apple Pay, Google Wallet và các ví điện tử, diện tích tấn công mở rộng đáng kể.

Mạng lưới người vận chuyển có tổ chức

Các băng nhóm tội phạm tuyển người vận chuyển qua Zalo, mạng xã hội, trả phần trăm cho mỗi giao dịch gian lận.

Cách bảo vệ bản thân

Các bước ngay lập tức

1. Bật thông báo giao dịch — Cảnh báo thời gian thực cho mọi giao dịch thẻ
2. Đặt hạn mức chạm thẻ thấp — Nhiều ngân hàng cho phép tùy chỉnh hạn mức qua ứng dụng
3. Bật xác thực sinh trắc học — Face ID hoặc vân tay cho mọi thanh toán di động
4. Không bao giờ chia sẻ mã OTP — Ngân hàng không bao giờ gọi điện hoặc nhắn tin yêu cầu mã OTP
5. Kiểm tra sao kê hàng tuần — Các giao dịch gian lận nhỏ (50.000-150.000đ) được thiết kế để dễ bị bỏ qua

Bảo vệ thông tin nhạy cảm trực tuyến

Ghost Tap bắt đầu từ dữ liệu bị đánh cắp. Mọi thông tin nhạy cảm bạn chia sẻ trực tuyến đều là điểm xâm nhập tiềm năng.

Khi chia sẻ mật khẩu hoặc thông tin tài chính, đừng gửi qua Zalo dạng văn bản thuần. LOCK.PUB cho phép bạn chia sẻ thông tin nhạy cảm qua liên kết được bảo vệ bằng mật khẩu, tự động hết hạn, tránh để thông tin thẻ tồn tại vô thời hạn trong lịch sử chat.

Nếu bạn là nạn nhân

1. Khóa thẻ ngay lập tức qua ứng dụng ngân hàng
2. Liên hệ bộ phận chống gian lận của ngân hàng
3. Trình báo công an — Cần thiết cho yêu cầu bồi thường
4. Kiểm tra tất cả ví liên kết — Apple Pay, Google Pay, Samsung Pay
5. Đổi mật khẩu ứng dụng ngân hàng

Kết luận

Ghost Tap cho thấy mâu thuẫn cốt lõi giữa tiện lợi và bảo mật trong thanh toán. Bật thông báo, nghi ngờ mọi yêu cầu OTP, và không chia sẻ thông tin nhạy cảm bằng văn bản thuần. Công cụ như LOCK.PUB giúp đảm bảo dữ liệu nhạy cảm không tồn tại trên các kênh không được bảo vệ.

Chạm thẻ phải tiện lợi — nhưng phải luôn là bạn đang chạm.