Os cibercriminosos de língua chinesa estão usando técnicas de toque de fantasmas para aproveitar as táticas de relé de comunicação de campo próximo (NFC) em uma sofisticada evolução da fraude no cartão de pagamento. Eles estão segmentando principalmente serviços de pagamento móvel, como Apple Pay e Google Pay.
Este vetor de ataque envolve retransmitir credenciais de cartão de pagamento roubadas de dispositivos comprometidos para os telefones queimadores da MULES, permitindo transações sem contato não autorizadas para fraude de varejo.
De acordo com a análise do Grupo INSIKT, atores de ameaças como @webu8 no telegrama estão automatizando o fornecimento de cartões de vítimas em carteiras digitais, ignorando medidas de segurança como senhas únicas (OTPs) por meio de phishing e malware.
Essas operações, muitas vezes orquestradas de bases no sudeste da Ásia, incluindo o Camboja e a China, facilitam campanhas globais, fornecendo sindicatos a dispositivos de queimadores pré-carregados e software de revezamento proprietário.
Ecossistema de fraude de revezamento NFC
A técnica depende de ferramentas de código aberto como o NFCGATE para capturar e modificar o tráfego da NFC, permitindo a emulação em tempo real dos dados do cartão tokenizado nos terminais ou caixas eletrônicos do ponto de venda (POS).
Isso levou a perdas financeiras significativas, com Cingapura relatando mais de 656 casos entre outubro e dezembro de 2024, totalizando pelo menos US $ 1,2 milhão SGD em transações não autorizadas, envolvendo predominantemente os cartões ligados à Apple Pay.
Os sindicatos, redes criminais bem estabelecidas com raízes nas atividades de fraude desde 2020, integram a tocação de fantasmas em seus dutos de lavagem de dinheiro, recrutando mulas especializados via mercados de telegrama como a garantia da Huione, a garantia Xinbi e a garantia de tudou.
Apesar do encerramento anunciado pela Huione Garantia em maio de 2025, sua infraestrutura descentralizada de telegrama persiste, permitindo que o pivô de alternativas para negociações baseadas em custódia no USDT.
Os cibercriminosos adquirem credenciais roubadas por meio de campanhas de phishing que interceptam os OTPs e os detalhes de login bancário e os carregam em dispositivos iOS ou Android.
Software proprietário, semelhante ao supercard x malware como serviço (MAAs) Plataforma, relés de relés NFC sinais contendo mensagens de resposta para redefinir (ATR) para emular cartões legítimos, enganando os terminais sem proximidade física.
Mules, que se apresentam como turistas, executam compras pessoais de bens de alto valor, como jóias, ouro e eletrônicos em regiões como Cingapura, Malásia, Tailândia e Filipinas.
Esses itens são posteriormente transportados por fronteiras e revendidos nas mesmas plataformas ou sites de comércio eletrônico como eBay e Carousell, convertendo ganhos ilícitos em moeda fiduciária limpa.
Implicações globais para segurança cibernética
O ecossistema de fantasmas delineia papéis claros: manipulação dos cibercriminosos roubo de credencial e o desenvolvimento de ferramentas de retransmissão, enquanto os sindicatos gerenciam o recrutamento de mula para tocar fantasmas, transporte, revender e lavagem.
Os compromissos revelam modelos de negócios em que os telefones queimadores, com preço de cerca de 90 dólares, cada um com taxas adicionais por cartão vinculado, são vendidos a granel, geralmente com serviços de reciclagem para recarregar as credenciais.
De acordo com o relatórioScripts de automação tentam adições de cartões em intervalos, explorando a carteira móvel dos bancos se alterna se os detalhes do login estiverem comprometidos.
A furtividade desta fraude decorre do LAX Know-Your-Customer (KYC) nos pontos de venda e o uso de identidades falsas, tornando a detecção desafiadora para as instituições financeiras.
Para combater essas ameaças, os bancos devem aplicar a análise de risco de dispositivos, sinalizar padrões de transações anômalas, como mudanças geográficas rápidas e mudar de SMS OTPs para impulsionar o provisionamento ou verificações baseadas em aplicativos.
Os consumidores devem monitorar notificações, evitar compartilhar os OTPs e usar canais oficiais para consultas bancárias. A colaboração da aplicação da lei com redes de pagamento é crucial para interromper a infraestrutura de phishing e acompanhar as ferramentas de retransmissão NFC.
À medida que a captura de fantasmas se expande globalmente, impactando os setores de varejo, bancos e seguros, medidas proativas são essenciais para mitigar essa fraude ciber-física híbrida, que registrou as avaliações futuras pode proliferar entre os sindicatos não chineses por meio de ofertas personalizadas de MAAS.
AWS Security Services:10-Point Executive Checklist -Download for Free