Компания F6 рассказала о новом способе бесконтактной кражи денег мошенниками

Компания F6, разработчик технологий для борьбы с киберпреступностью (ранее Group-IB, затем — F.A.C.C.T.), обнаружила новую вредоносную версию легитимного приложения NFCGate для атак на клиентов банков. Ключевое отличие состоит в том, что вместо перехвата NFC-данных карты пользователя злоумышленники создают на его устройстве клон собственной карты, рассказали в компании (пресс-релиз есть у Forbes).

Когда в результате атаки мошенников жертва через банкомат попытается зачислить деньги на свой счет, вся сумма уйдет на карту дропа. Это похоже на сценарий мошенничества с «безопасным счетом», но разница в том, что пользователя не просят назвать код из СМС: напротив, ему сообщают «новый» ПИН-код якобы от его же карты. За первый квартал 2025 года общий ущерб клиентов российских банков от всех вредоносных версий NFCGate составил 432 млн рублей. С января по март 2025-го преступники совершали в среднем по 40 успешных атак ежедневно (средняя сумма ущерба — 120 000 рублей). 

Мобильное приложение NFCGate было разработано в 2015 году немецкими студентами, злоумышленники создали на его основе вредоносное ПО. Установленное на устройстве жертвы приложение просит пользователя приложить банковскую карту к NFC-модулю и ввести ПИН-код, после чего данные передаются на устройство преступников и позволяют им обналичить деньги со счета в банкомате.

В феврале F6 зафиксировала появление принципиально новой сборки NFCGate, используемой в так называемой «обратной» схеме. Если при использовании первых версий NFCGate дропы — сообщники преступников — приходили к банкомату, чтобы снять деньги жертвы, то обратная версия NFCGate позволяет обойтись без этого: мошенники направляют к банкомату саму жертву, которая полагает, что будет переводить деньги якобы себе (на самом деле — преступникам). 

По данным департамента Fraud Protection компании F6, только за март преступники совершили более 1000 подтвержденных атак на клиентов российских банков с применением обратной версии NFCGate. Аналитики F6 изучили новую версию вредоносного софта и пришли к выводу, что популярные антивирусы пока не умеют распознавать ее на лету. 

В F6 назвали ряд основных технических отличий обратного NFCGate от предыдущих модификаций: в частности, при установке приложения пользователю не предлагают приложить карту к NFC-модулю и ввести ПИН-код; для использования вредоносного приложения требуется меньше разрешений, чем для легитимного NFCGate. Мошенники маскируют NFCGate под приложение для бесконтактных платежей. 

В целях защиты от NFCGate специалисты F6 рекомендуют не общаться в мессенджерах с неизвестными; не переходить по ссылкам из сообщений, даже если они похожи на сообщения от официальных структур; устанавливать приложения только из официальных магазинов приложений; не вводить CVV и ПИН-коды банковских карт на подозрительных сайтах и в незнакомых приложениях. Для защиты устройства от обратной версии NFCGate рекомендуется проверить в настройках, какие приложения имеют разрешение на управление модулем NFC и доступ к платежной системе устройства. Обнаруженные подозрительные приложения рекомендуется удалить. 

По данным МВД, в 2024 году ущерб от действий кибермошенников в России вырос на 36%, до 200 млрд рублей. В Центробанке говорили, что «уязвимое звено» организованных преступных групп — так называемые дропы, помогающие выводить похищенные мошенниками деньги. Банк России в целях борьбы с дропперством обсуждает «разумное ограничение» количества банковских карт, которые можно оформить на одного человека.