Przestępcy kradną karty zbliżeniowe przez telefon. Na to trzeba uważać
CERT alarmuje: przestępcy znaleźli sposób na zdalne przejęcie danych kart zbliżeniowych i wykorzystanie ich do wypłacania pieniędzy z bankomatu. Żeby stracić pieniądze wystarczy nieopatrznie zainstalować aplikację podsuwaną przez fałszywych pracowników banku i przyłożyć do telefonu kartę. Wyjaśniamy, na co trzeba uważać.
2025-11-04, 13:37
Najważniejsze informacje w skrócie:
- Kradzież przez karty zbliżeniowe: Zespół CERT Polska zaobserwował nowy mobilny atak typu NFC Relay (NGate), którego celem jest nieuprawniona wypłata gotówki z bankomatów z wykorzystaniem kart zbliżeniowych ofiar
- Wymagany PIN: Atak wymaga od ofiary zainstalowania złośliwej aplikacji, która udaje bank, a następnie przyłożenia fizycznej karty do telefonu (NFC) i wpisania kodu PIN na ekranowej klawiaturze
- Pamiętaj: żaden prawdziwy pracownik banku nie poprosi o instalację zewnętrznego oprogramowania ani o przyłożenie fizycznej karty do telefonu
Aplikacja do kopiowania karty zbliżeniowej. Polacy sami instalują na telefonach
Myślałeś, że kradzież zbliżeniowa wymaga fizycznej bliskości złodzieja z terminalem? Już nie. CERT Polska alarmuje o nowym, wyrafinowanym ataku, w którym oszuści, podając się za pracownika banku, namawiają cię do zainstalowania fałszywej aplikacji. Jeśli po tym przyłożysz do telefonu kartę i podasz PIN, przestępca stojący przy bankomacie wypłaci twoje pieniądze. Mechanizm tego ataku, choć skomplikowany technicznie, opiera się na prostym ludzkim zaufaniu i przebiega w kilku etapach.
W pierwszej kolejności przestępcy próbują skontaktować się z potencjalną ofiarą. Użytkownik otrzymuje wiadomość – e-mail lub SMS – o rzekomym incydencie bezpieczeństwa lub problemie technicznym z jego kontem. Taka wiadomość zawiera link, który prowadzi na fałszywą stronę, nakłaniającą do instalacji aplikacji na Androida.
Wiadomość nakłaniająca do zainstalowania fałszywej aplikacji banku Aby ofiara miała wrażenie, że działa w porozumieniu ze swoim bankiem, oszuści używają metody vishing. Oszust dzwoni, podając się za pracownika banku, aby „potwierdzić tożsamość” klienta i uwiarygodnić konieczność instalacji nowej aplikacji. Zdarza się również, że ofiara otrzymuje SMS, który ma za zadanie potwierdzić tożsamość rzekomego konsultanta.
Kiedy złośliwa aplikacja jest już zainstalowana na telefonie, zaczyna działać właściwy mechanizm ataku. Ofiara jest proszona o zweryfikowanie swojej karty płatniczej bezpośrednio w interfejsie tej aplikacji. W tym momencie następuje błąd, który umożliwia przestępcom okradzenie użytkownika poprzez wypłatę pieniędzy z bankomatu.
W pierwszej kolejności użytkownik musi przyłożyć fizyczną kartę do telefonu, tak by była ona widoczna dla modułu NFC. Następnie jest proszony o wpisanie kodu PIN karty na klawiaturze ekranowej aplikacji. Z chwilą zbliżenia karty do telefonu, aplikacja przechwytuje dane NFC karty – czyli dokładnie te same dane, które normalnie są przesyłane do bankomatu lub terminala.
Przykładowy wygląd komunikatów zachęcających do przyłożenia do telefonu karty zbliżeniowej Dane te są natychmiast wysyłane przez internet do urządzenia atakującego, które w tym czasie znajduje się w innym miejscu – przy bankomacie. Urządzenie to odtwarza otrzymane dane karty oraz kod PIN, umożliwiając przestępcy wypłatę gotówki. Atak ten działa na zasadzie zdalnego przekazywania sygnału.
Aby skutecznie obronić się przed zaawansowanymi atakami, które bazują na socjotechnice, należy przestrzegać podstawowych, ale bezwzględnych zasad bezpieczeństwa. Nigdy nie wolno wykonywać następujących czynności na polecenie "pracownika banku" lub z powodu niezweryfikowanej wiadomości SMS:
- Nie instaluj nieznanych aplikacji mobilnych na swoim telefonie czy komputerze. Oficjalne aplikacje bankowe pobiera się wyłącznie ze sklepów Google Play lub App Store
- Nie przykładaj karty płatniczej do telefonu w celu weryfikacji tożsamości, ani w żadnej innej aplikacji poza oficjalnymi systemami płatności (jak Google Pay/Apple Pay)
- Nigdy nie wprowadzaj kodu PIN karty na klawiaturze ekranowej w jakiejkolwiek aplikacji innej niż ta, którą znasz i której ufasz
- Nie udostępniaj zdalnego dostępu do swojego telefonu (np. za pomocą programów typu AnyDesk czy TeamViewer), co jest częstą metodą vishingu
Fałszywe linki w SMS-ach i manipulacje telefoniczne są realnie groźne, podczas gdy mit o złodzieju przeciskającym się przez tłum i skanującym karty za pomocą terminala jest "legendą ludową". Nowy atak jest niebezpieczny właśnie dlatego, że łączy on zaawansowaną technologię z socjotechniką, zmuszając ofiarę do dobrowolnego udostępnienia PIN-u.
Czytaj także:
- Oszustwa "na wnuczka" ciągle plagą. Pokaż seniorom obronę "Z-Z-Z", bo tracą po 40 000 zł
- Zwrot pieniędzy z urzędu skarbowego? Masz rację, to oszustwo
- Dzwoni "pracownik banku"? Powiedz to jedno zdanie, a zdemaskujesz oszusta
Źródło: CERT/Michał Tomaszkiewicz