Šta je NFC i zašto se koristi?
NFC (Near Field Communication) je tehnologija kratkog dometa koja omogućava bežičnu razmenu podataka kada su uređaji veoma blizu. Najčešće se koristi za beskontaktna plaćanja karticama i telefonima – dovoljno je prisloniti uređaj na terminal da bi se transakcija obavila brzo i jednostavno. Pored praktičnosti, NFC nudi više slojeva zaštite (poput enkripcije i tokenizacije), a blizina potrebna za transakciju otežava zloupotrebe. Ipak, porast popularnosti ove tehnologije privukao je i pažnju sajber kriminalaca, pa se pojavljuju nove vrste napada čak i na ovakve, naizgled sigurne, sisteme.
Ranjivosti i napadi: slučaj iz Češke
Krajem 2023. i početkom 2024. u Češkoj je otkrivena sofisticirana kampanja koja je kombinovala fišing, socijalni inženjering i Android malver kako bi se ukrao novac s bankovnih računa. Napadači, predstavljajući se kao poznate banke, naveli su korisnike da instaliraju zlonamernu aplikaciju. Malver, nazvan NGate, presretao je NFC podatke sa žrtvinog telefona i slao ih napadaču, koji ih je zatim koristio za podizanje novca na bankomatu – bez potrebe za root-ovanjem uređaja.
Iza svega stoji zloupotreba alata NFCGate, razvijenog u akademske svrhe na Tehničkom univerzitetu u Darmštatu, što je dodatno alarmantno: istraživački alat je pretvoren u sredstvo za realni napad.
Kako je izgledao NGate napad u Češkoj?
Scenario napada započinje tako što sajber kriminalci šalju SMS poruke potencijalnim žrtvama u vezi s povraćajem poreza, uključujući link ka phishing veb-sajtu koji se predstavlja kao stranica banke. Ti linkovi su najverovatnije vodili ka zlonamernim progresivnim veb aplikacijama (PWA). Ove podmukle mobilne aplikacije dostupne su putem internet pregledača, čime izbegavaju standardne provere koje postoje na zvaničnim prodavnicama aplikacija, a njihova instalacija ne izaziva nikakva upozorenja o instaliranju aplikacije treće strane.
U okviru ove prevare, zlonamerne PWA aplikacije koje imitiraju bankarske aplikacije navodile su žrtve da ih instaliraju i unesu svoje pristupne podatke. Kada bi napadači došli do tih podataka, dobijali su pristup bankarskom računu žrtve, a zatim bi je pozivali, predstavljajući se kao zaposleni u banci. Korišćenjem ukradenih informacija pokušavali su da ubede žrtvu da joj je račun kompromitovan, te da, kako bi „zaštitila“ svoja sredstva, mora da promeni svoj PIN i verifikuje svoju platnu karticu. U tu svrhu, žrtvi bi bio poslat još jedan SMS sa linkom za preuzimanje nove mobilne aplikacije – koja je zapravo bila NGate malver, koji zloupotrebljava NFCGate tehnologiju.
Evolucija pretnje: Ghost Tap i širenje napada
Napad u Češkoj bio je uvod u novi talas sličnih incidenata, posebno u Istočnoj Evropi. Samo u Rusiji tokom 2024. zabeleženo je preko 400 slučajeva NFC kloniranja, a šteta se meri stotinama hiljada dolara. Do 2025. broj ovakvih napada globalno je porastao čak 35 puta, prema podacima ESET-a.
Najopasniji novitet je taktika Ghost Tap: uz pomoć fišing sajtova, napadači prikupe podatke kartice i jednokratnu lozinku, zatim je registruju u svom digitalnom novčaniku (npr. Google Wallet). Tako kreiraju njen digitalni klon, spreman za beskontaktno plaćanje bilo gde u svetu. Putem alata kao što je NFCGate, signal sa prave kartice prenosi se na drugi uređaj koji napadač koristi za plaćanje – POS terminali i bankomati ne prepoznaju prevaru. Dodatno, „mula“ (money mule – osoba koja na svom telefonu ima instaliranu kloniranu karticu i lično obavlja beskontaktno plaćanje ili podizanje novca, ali nema pristup stvarnim podacima) koji obavlja transakciju nema pristup podacima, čime se povećava anonimnost i mogućnost masovne zloupotrebe.
Važno: Ghost Tap ne razbija NFC enkripciju – već koristi socijalni inženjering, lažne sajtove i prenos signala da zaobiđe zaštitu, ciljajući na ljudsku nepažnju kao najslabiju tačku sistema.
Kako su prevare postale moguće: Phishing, socijalni inženjering i lažni e-novčanici
U osnovi NFC prevara stoje klasične, ali i dalje efikasne taktike – fišing i socijalni inženjering. Napadači žrtvi šalju poruke koje deluju legitimno (npr. o dostavi paketa ili povraćaju poreza), vodeći je na fišing sajtove koji traže kartične podatke i OTP kod. Budući da novac odmah ne nestaje, korisnici često ne primete prevaru.
Napadači u realnom vremenu koriste te podatke da dodaju karticu u svoj digitalni novčanik (Google Wallet, Apple Pay), jer sistem vidi važeći OTP. Čak i ako žrtva prekine proces, već uneti podaci mogu biti iskorišćeni.
Slična taktika uključuje i lažne aplikacije, koje se predstavljaju kao bankarske, a zapravo služe za krađu PIN-a i NFC podataka – kao što je bio slučaj sa NGate malverom u Češkoj. Ključna stvar: ovi napadi ne razbijaju sistem zaštite – već ga zaobilaze iskorišćavanjem poverenja korisnika.
Tehnička pozadina: Kako telefoni emuliraju kartice
Android telefoni koriste Host Card Emulation (HCE), koji omogućava da uređaj funkcioniše kao NFC kartica. Napadači mogu zloupotrebiti ovu funkciju koristeći alate poput Track2NFC ili HCE Bridge za emulaciju ukradenih podataka.
Naprednije prevare koriste tzv. NFC relay napade – signal sa jedne lokacije prenosi se na drugu pomoću interneta i posebnih alata, dok terminal ne može da prepozna da kartica nije fizički prisutna. Na darknetu se već nude malver platforme (Z-NFC, X-NFC) sa tutorijalima za ovakve prevare.
Odbrana uključuje:
- proveru brzine odgovora kartice (za detekciju relay napada),
- ograničavanje offline NFC transakcija,
- dodatne verifikacije prilikom dodavanja kartica u e-novčanike,
- geolokacijsko usklađivanje uređaja i transakcije.
Saveti za zaštitu
| Za korisnike | Za IT i bezbednosne timove |
| Ne klikćite na sumnjive linkove u porukama – proverite direktno sa bankom. | Uvedite dodatnu verifikaciju prilikom dodavanja kartica (npr. kroz mobilnu aplikaciju). |
| Instalirajte aplikacije samo iz zvaničnih prodavnica kao što su Google Play i App Store | Aktivno pratite anomalije – sumnjive lokacije i višestruko dodavanje kartica. |
| PIN i OTP unosite samo na proverene uređaje – nikada ih ne šaljite porukom ili telefonom. | Edukujte korisnike i osoblje o aktuelnim prevarama i načinima zaštite. |
| Isključite NFC kada ga ne koristite; koristite RFID zaštitu za kartice. | Ograničite rizike – zahtevajte otključan telefon i aktivnu aplikaciju za plaćanja. |
| Koristite niske limite i uključite notifikacije o transakcijama. | Omogućite brzo blokiranje kartica i delite informacije o napadima unutar industrije. |
Edukacija, oprez i zajednička odgovornost
NFC plaćanja su praktična i sigurna – ali nisu imuna na zloupotrebe. Napadi poput Ghost Tap pokazuju da tehnologija nije ranjiva – ali ljudi jesu.
Zato je edukacija korisnika ključna, uz tehničke i proceduralne mere zaštite. IT timovi moraju proaktivno pratiti pretnje, a korisnici biti oprezni i informisani.
“Tap to pay” može ostati bezbedna opcija – uz znanje i pažnju.
Obezbedite svoje uređaje, proveravajte izvore informacija i edukujte druge – jer vaša bezbednost počinje znanjem.
Deo teksta preuzet sa: Now it is certain: NFC data for contactless payments are the new target. Here is what you need to know.
