Новости

Чип-потрошитель: за месяц количество атак на клиентов российских банков с использованием NFCGate выросло на 80%

Компания F6, лидер в области разработки технологий для борьбы с киберугрозами, сообщает о резком увеличении числа атак на клиентов российских банков с использованием вредоносного ПО, основанного на легитимном приложении NFCGate. В течение месяца количество подтверждённых атак выросло на 80%, средняя сумма ущерба удвоилась, составив 200 тыс. рублей, а общий ущерб увеличился более чем в три раза, достигнув примерно 150 млн рублей.

Аналитики F6 предупреждают, что многие пользователи рискуют потерять деньги со своих счетов, не подозревая о возможной угрозе. В России уже зарегистрировано как минимум 114 тыс. зараженных Android-устройств, на которых установлено это вредоносное ПО. Оно использует NFC-модули для перехвата и передачи данных банковских карт. Мошеннические программы маскируются под приложения банков, государственных сервисов, мобильных операторов и популярных антивирусов.

Схема финансового мошенничества с использованием NFCGate, впервые обнаруженная в России в августе 2024 года, поставила систему безопасности российских банков перед серьёзным испытанием. Особенность схемы заключается в использовании социальной инженерии, легитимного приложения, замаскированного под государственные, банковские и другие сервисы, а также в возможности снятия средств через банкоматы.

Первичные данные о финансовых потерях, вызванных использованием NFCGate, были представлены аналитиками F6 месяц назад. С середины декабря 2024 года по середину января 2025 года было зафиксировано не менее 400 подтверждённых атак на клиентов крупных российских банков, средняя сумма списания составила около 100 тыс. рублей. После новогодних праздников активность мошенников, использующих NFCGate, значительно возросла. В период с середины января по середину февраля количество атак увеличилось на 80%, средний ущерб удвоился и составил 200 тыс.

Киберпреступники используют возможность обмена данными между двумя смартфонами через NFCGate, чтобы получить NFC-метку банковской карты пользователя и её пин-код. Для этого им нужно заставить жертву установить на смартфон вредоносное приложение, замаскированное под легитимную программу. В ходе исследования, проведённого в январе 2025 года специалистами департамента по борьбе с финансовым мошенничеством (Fraud Protection) и департамента киберразведки (Threat Intelligence) компании F6, было обнаружено более 100 уникальных образцов вредоносного ПО для Android, использующих NFCGate. За месяц список приложений, под которые злоумышленники маскируют эти программы, значительно расширился. Помимо банковских, государственных и мобильных приложений, в него вошли также программы для видеосвязи, бесконтактных платежей и популярные антивирусы.

Аналитики F6 предупреждают, что без эффективного централизованного противодействия новой схеме мошенничества число атак на клиентов российских банков продолжит расти. Такой прогноз основан на информации о количестве скомпрометированных Android-устройств в России, на которых установлено вредоносное ПО NFCGate. По состоянию на 12 февраля 2025 года в стране насчитывалось 114 тыс. таких устройств.

Однако факт установки вредоносного приложения на устройство не означает, что злоумышленники автоматически получают доступ к NFC-данным банковской карты. Чтобы перехватить и передать данные, пользователь должен запустить вредоносное ПО и приложить карту к NFC-чипу. Но существует и другая угроза. Как предупреждали специалисты Fraud Protection, мошенники доработали функциональность вредоносного ПО, и теперь при установке и запуске приложения оно незаметно перехватывает SMS-сообщения. Если жертва прикладывает карту к NFC-чипу, данные карты мгновенно передаются злоумышленникам одновременно с NFC-трафиком. Таким образом, для атаки на пользователя, у которого уже установлено приложение с NFCGate, злоумышленнику остается лишь выбрать подходящий сценарий.

Как защититься от схемы с NFCGate

Рекомендации F6 для пользователей:

  1. Не общайтесь с незнакомыми людьми в мессенджерах, даже если они представляются сотрудниками банков, мобильных операторов или государственных служб.
  2. Не переходите по ссылкам в SMS и мессенджерах, даже если они выглядят как сообщения от банков.
  3. Не устанавливайте приложения по ссылкам из SMS, мессенджеров, писем и сомнительных сайтов. Загружайте приложения только из официальных магазинов, таких как RuStore и Google Play.
  4. Если вам предлагают установить или обновить банковское приложение по ссылке, позвоните на горячую линию, указанную на обратной стороне карты, чтобы убедиться, что предложение действительно от банка.
  5. Никогда не сообщайте посторонним CVV-коды и PIN-коды карт, а также логины и пароли от онлайн-банка. Не вводите эти данные на подозрительных сайтах и в сомнительных приложениях.
  6. Если ваша банковская карта была скомпрометирована, немедленно заблокируйте её, позвонив на горячую линию банка или через мобильное приложение.

Рекомендации F6 для подразделений информационной безопасности банков:

  1. Исключите общение с клиентами через мессенджеры. Сообщите клиентам, что банк не использует мессенджеры для связи.
  2. При подозрительных авторизациях и операциях в банкоматах через NFC запросите у клиента пластиковую карту.
  3. Учитывайте геолокационные данные пользователей.
  4. Внедрите дополнительные меры защиты для устройств пользователей, направленные на выявление сторонних вредоносных приложений.
  5. Дополните антифрод-системы событиями в банкоматной сети и токенизации.

Для защиты от подобных операций банки могут использовать антифрод-решения, анализирующие сессионные и поведенческие данные, а также новые технологии для выявления подозрительной активности. Например, для оценки рисков транзакций и проверки получателя (KYC, «знай своего клиента») модули решения F6 Fraud Protection могут собирать и обмениваться кросс-канальными сессионными данными, включая идентификаторы устройств, параметры сетевого подключения и индикаторы компрометации, а также обезличенные персональные и транзакционные данные в режиме реального времени.