Tội phạm mạng nói tiếng Trung đang triển khai các kỹ thuật ghost-tapping tinh vi, sử dụng chiến thuật chuyển tiếp (relay) Giao tiếp Trường Gần (NFC) để thực hiện hành vi gian lận thanh toán thẻ. Kỹ thuật tấn công mạng này đánh dấu sự phát triển vượt bậc trong hình thức đánh cắp dữ liệu và gian lận thanh toán di động, nhắm mục tiêu chính vào các dịch vụ như Apple Pay và Google Pay.
Vector tấn công này bao gồm việc chuyển tiếp thông tin thẻ thanh toán bị đánh cắp từ các thiết bị bị xâm nhập sang điện thoại burner (dùng một lần) của các tay sai, cho phép thực hiện các giao dịch không tiếp xúc trái phép nhằm mục đích lừa đảo bán lẻ.
Kỹ thuật Ghost-Tapping và Mô hình Tấn công Mạng
Cơ chế Hoạt động của NFC Relay
Theo phân tích từ Insikt Group, các tác nhân đe dọa như @webu8 trên Telegram đang tự động hóa việc đưa thông tin thẻ của nạn nhân vào ví kỹ thuật số. Chúng vượt qua các biện pháp bảo mật như Mật khẩu Một lần (OTP) thông qua các chiến dịch phishing và mã độc.
Những hoạt động này thường được tổ chức từ các cơ sở tại Đông Nam Á, bao gồm Campuchia và Trung Quốc. Chúng hỗ trợ các chiến dịch toàn cầu bằng cách cung cấp cho các băng nhóm thiết bị burner đã được cài đặt sẵn và phần mềm chuyển tiếp độc quyền.
Kỹ thuật này dựa vào các công cụ mã nguồn mở như NFCGate để thu thập và sửa đổi lưu lượng NFC. Điều này cho phép mô phỏng dữ liệu thẻ đã được mã hóa theo thời gian thực tại các thiết bị đầu cuối điểm bán hàng (POS) hoặc máy ATM.
Phần mềm độc quyền, tương tự như nền tảng malware-as-a-service (MaaS) SuperCard X, chuyển tiếp tín hiệu NFC chứa các thông điệp Answer To Reset (ATR). Điều này giúp mô phỏng thẻ hợp pháp, đánh lừa các thiết bị đầu cuối mà không cần tiếp xúc vật lý. Tham khảo thêm về SuperCard X tại GBHackers.
Hệ sinh thái Tội phạm mạng và Phân chia Vai trò
Các băng nhóm, với mạng lưới tội phạm đã được thiết lập chặt chẽ từ các hoạt động lừa đảo từ năm 2020, tích hợp ghost-tapping vào đường dây rửa tiền của chúng. Việc này được thực hiện bằng cách tuyển dụng các tay sai chuyên biệt thông qua các thị trường Telegram như Huione Guarantee, Xinbi Guarantee và Tudou Guarantee.
Mặc dù Huione Guarantee đã thông báo ngừng hoạt động vào tháng 5 năm 2025, cơ sở hạ tầng Telegram phi tập trung của nó vẫn tồn tại. Điều này cho phép chuyển đổi sang các lựa chọn thay thế cho các giao dịch ký quỹ bằng USDT.
Các tội phạm mạng thu thập thông tin đăng nhập bị đánh cắp thông qua các chiến dịch phishing. Các chiến dịch này chặn OTP và chi tiết đăng nhập ngân hàng, sau đó tải chúng lên các thiết bị iOS hoặc Android.
Các tay sai, đóng giả khách du lịch, thực hiện các giao dịch mua hàng trực tiếp các mặt hàng có giá trị cao như đồ trang sức, vàng và thiết bị điện tử ở các khu vực như Singapore, Malaysia, Thái Lan và Philippines.
Những mặt hàng này sau đó được vận chuyển qua biên giới và bán lại trên cùng các nền tảng hoặc các trang thương mại điện tử như eBay và Carousell. Mục đích là chuyển đổi lợi nhuận bất hợp pháp thành tiền tệ fiat hợp pháp.
Hệ sinh thái ghost-tapping phân định rõ ràng các vai trò: tội phạm mạng xử lý việc đánh cắp dữ liệu và phát triển công cụ chuyển tiếp. Trong khi đó, các băng nhóm quản lý việc tuyển dụng tay sai cho ghost-tapping, vận chuyển, bán lại và rửa tiền.
Các hoạt động cho thấy mô hình kinh doanh trong đó điện thoại burner, có giá khoảng 90 USDT mỗi chiếc với phí bổ sung cho mỗi thẻ được liên kết, được bán với số lượng lớn. Thường có kèm theo dịch vụ tái chế để tải lại thông tin đăng nhập.
Theo báo cáo của Recorded Future, các script tự động cố gắng thêm thẻ theo các khoảng thời gian nhất định. Chúng khai thác các tính năng bật/tắt ví di động của ngân hàng nếu chi tiết đăng nhập bị xâm nhập. Đây là một hình thức tấn công mạng tinh vi.
Tác động và Thiệt hại từ Mối Đe Dọa Mạng này
Kỹ thuật tấn công mạng này đã dẫn đến những tổn thất tài chính đáng kể. Singapore đã báo cáo hơn 656 trường hợp từ tháng 10 đến tháng 12 năm 2024, tổng cộng ít nhất 1,2 triệu SGD trong các giao dịch trái phép. Phần lớn các trường hợp liên quan đến thẻ được liên kết với Apple Pay.
Sự tinh vi của gian lận này xuất phát từ việc lỏng lẻo trong quy trình Know-Your-Customer (KYC) tại các cửa hàng bán lẻ và việc sử dụng danh tính giả mạo. Điều này làm cho việc phát hiện trở nên khó khăn đối với các tổ chức tài chính.
Khi ghost-tapping mở rộng trên toàn cầu, ảnh hưởng đến các ngành bán lẻ, ngân hàng và bảo hiểm, việc hiểu rõ mối đe dọa mạng này là rất quan trọng.
Các Biện pháp Đối phó và Phòng ngừa Tấn công Mạng
Khuyến nghị cho Ngân hàng và Tổ chức Tài chính
Để chống lại các mối đe dọa mạng này, các ngân hàng nên tăng cường phân tích rủi ro thiết bị. Cần gắn cờ các mẫu giao dịch bất thường như sự thay đổi địa lý nhanh chóng. Đồng thời, nên chuyển từ OTP qua SMS sang cấp phép đẩy hoặc xác minh dựa trên ứng dụng.
Khuyến nghị cho Người tiêu dùng
Người tiêu dùng phải theo dõi các thông báo, tránh chia sẻ OTP. Luôn sử dụng các kênh chính thức để giải đáp thắc mắc liên quan đến ngân hàng. Điều này giúp ngăn chặn các cuộc tấn công mạng lừa đảo.
Hợp tác giữa Cơ quan Thực thi Pháp luật và Mạng lưới Thanh toán
Sự hợp tác giữa các cơ quan thực thi pháp luật và mạng lưới thanh toán là rất quan trọng để phá vỡ cơ sở hạ tầng phishing. Đồng thời, việc theo dõi các công cụ chuyển tiếp NFC cũng là cần thiết để đối phó với hình thức tấn công mạng phức tạp này.
Recorded Future đánh giá rằng ghost-tapping có thể phổ biến trong các băng nhóm không phải người Trung Quốc thông qua các gói MaaS tùy chỉnh. Các biện pháp chủ động là điều cần thiết để giảm thiểu gian lận mạng-vật lý lai này.
