NFC как приманка для фишинга: новая схема ударила по владельцам Android

В России всплыла схема, где мошенники маскируют поддельное банковское приложение под «новую версию» и вынуждают включить NFC. Жертве предлагают «перекинуть карту в телефон»: приложить пластик и набрать PIN. Так создаётся цифровой двойник, с которым преступники снимают наличные в банкоматах. Способ нацелен в первую очередь на Android.


Начинается всё обычно: СМС, мессенджер или e‑mail с тревогой в заголовке — «ваше приложение банк‑Х перестанет работать из‑за санкций, срочно обновите». Ссылка ведёт не в магазин приложений, а на поддельную страницу, где лежит файл установки. Дальше сценарий вежлив: «для перевыпуска карты в телефон включите NFC, поднесите карту к задней крышке, введите PIN для подтверждения». На экране — знакомые цвета и вполне правдоподобные тексты.

Ключевой трюк — навязать «перевыпуск» через эмуляцию карты. Подделка просит разрешения на NFC и использует функцию бесконтактного чтения. Ей нужен ещё и PIN: под этим предлогом жертву убеждают набрать код прямо в приложении. После этого у мошенников появляется всё, что нужно, чтобы с помощью телефонов/эмуляторов проводить операции на банкоматах, а иногда и в терминалах с офлайн‑проверкой. Если первый банкомат не принимает такой «токен», они ищут другой — часть устройств распознаёт его как обычную карту.

Как распознать подмену. Настоящим приложениям не требуется отдельный «перевыпуск» через ввод PIN внутри стороннего интерфейса. Банковские клиенты добавляют карту в кошелёк только через системные механизмы — Google Wallet — и никогда не просят вводить PIN карты на экране стороннего приложения. Второй маркер — источник установки: любые APK «со сторонних сайтов» — это красный флаг. Третий — разрешения: если «обновление» просит доступ к СМС, уведомлениям, звонкам и службам специальных возможностей, перед вами троян, а не апдейт.

Почему это работает именно на Android. В экосистеме есть законные механизмы эмуляции карты (HCE) для банков и транспортных систем; злоумышленники пытаются их копировать или подменять токены. Плюс на многих устройствах разрешена установка приложений вне магазина. Здесь не магия, а социальная инженерия: человеку внушают, что «так положено», и он сам открывает все двери — NFC, доступ к СМС (для перехвата одноразовых кодов), показ поверх других окон.

Банки отвечают фильтрами, но стопроцентной защиты нет. Часть операций по NFC банкоматы уже маркируют как подозрительные и отклоняют. Однако фрод‑системы чувствительны к ложным срабатываниям, поэтому окно у злоумышленников остаётся. Там, где схема «не заходит», её комбинируют: сперва крадут логин пароля, потом уговаривают перевести «безопасный остаток» на якобы «резервную карту в телефоне». Простой тест здесь один: любой разговор про «перевыпуск из‑за санкций» — вымысел.

Что делать пользователю — короткий чек‑лист.
— Приложения — только из Google Play. Если банк «прислал APK», это не банк.
— Никогда не вводите PIN карты в приложениях. PIN набирается только на банкомате/терминале.
— Отключите установку из неизвестных источников и контроль «поверх всех окон» для неизвестных программ.
— В Google Wallet карты добавляются через приложение банка или системное меню, а не через ссылку в СМС.
— Уведомления о списаниях включены всегда; лимиты на выдачу наличных по бесконтактным операциям — минимальные.
— Звонить только на официальный номер банка (на обратной стороне карты) и перепроверять любые «санкционные» сообщения на сайте банка.

Что делать бизнесу и ИТ‑службам. На корпоративных устройствах закрыть установку APK и доступ к службам специальных возможностей посторонним клиентам, а антифроду передавать сигналы о включении NFC и попытках эмитации карт. Внутренние памятки писать человеческим языком — «если просили поднести карту к телефону и ввести PIN — это злоумышленники».

Техническая ремарка. Полноценный «клон» чипа EMV сделать сложно: криптограмма одноразовая и генерируется на каждой операции. Но в реальном мире хватает промежуточных вариантов — от токенов с украденными ключами до банкоматов со старой логикой, которые верят «не тем» данным. Поэтому социальная инженерия по‑прежнему опаснее чистой техники: как только человек вводит PIN в поддельный интерфейс, дело сделано.

ИЗНАНКА

Мошенники всё меньше «взламывают», и всё больше убеждают. Пока мы верим сообщениям со ссылкой и голосу «службы безопасности», никакая криптография не спасает. Спасает привычка остановиться и проверить источник.

Фото: ИЗНАНКА

Читайте, ставьте лайки, следите за обновлениями в наших социальных сетях и присылайте материалы в редакцию.

ИЗНАНКА — другая сторона событий.