Come funzionano le nuove truffe NFC su Apple Pay e Google Wallet
Il panorama delle frodi digitali evolve rapidamente, e uno dei fenomeni più pericolosi emersi nel 2024 e nel 2025 riguarda l’utilizzo fraudolento di Apple Pay e Google Wallet tramite attacchi basati sulla tecnologia NFC (Near Field Communication). I cybercriminali hanno trovato metodi sofisticati per aggirare le nuove misure di sicurezza introdotte da banche e circuiti di pagamento, sfruttando phishing, app malevole e innovative tecniche di relay come il cosiddetto “Ghost Tap”.
La genesi della truffa: il phishing industriale
Tutto comincia con campagne di phishing estremamente sofisticate, spesso basate su reti di siti web falsi che imitano portali di consegne, negozi online o servizi governativi. Le vittime ricevono messaggi SMS, iMessage o tramite canali RCS che sembrano provenire da enti affidabili: ad esempio, la notifica di una spedizione da sbloccare o una falsa tassa da pagare.
Quando la potenziale vittima inserisce i dati della propria carta di pagamento (numero, scadenza, CVV) e l’eventuale codice OTP ricevuto dalla banca, gli aggressori ottengono tutto il necessario per collegare la carta a un proprio wallet digitale, su Apple Pay o Google Wallet, senza mai entrare in possesso fisico della carta stessa. Questi processi sono accelerati da software automatizzati che replicano e caricano le carte in wallet digitali multipli, spesso su telefoni acquistati in serie e destinati al mercato nero.
Wallet digitali pre-caricati e vendita sul dark web
Gli smartphone “farciti” di carte rubate (anche decine per dispositivo) vengono poi venduti sul dark web, pronti all’uso per acquistare beni di lusso, elettronica o per prelevare contanti tramite sportelli ATM NFC-enabled in determinati paesi. Spesso tra il furto dei dati e il loro effettivo utilizzo passano settimane o mesi, rendendo difficile collegare la frode all’evento iniziale.
Altre volte, le carte clonate vengono usate per acquistare gift card o ricariche presso negozi fisici, tramite pagamenti contactless. In tutti i casi, di solito non viene richiesto il PIN o una seconda conferma OTP, così i criminali possono spendere rapidamente il saldo fino al blocco della carta.
La tecnica del “Ghost Tap” e la nuova frontiera dell’NFC relay
Il vero salto di qualità è rappresentato dai cosiddetti attacchi “Ghost Tap”: sfruttando app lecite, come NFCGate, i truffatori installano il software su due smartphone. Uno contiene i wallet digitali con le carte rubate, l’altro è affidato a un complice detto “mulo”. Il primo telefono trasmette in tempo reale i dati NFC via Internet al secondo, che viene avvicinato a un terminale di pagamento contactless come farebbe il legittimo proprietario della carta.
Questa tecnica permette di effettuare transazioni in negozi e prelievi presso ATM anche in paesi diversi da quello dove risiede la vittima, aggirando la maggior parte dei controlli antifrode basati su geolocalizzazione o pattern di spesa. Il telefono del “mulo” non contiene tracce incriminanti: solo l’app NFCGate. I dati sensibili restano nascosti sul dispositivo del capobanda, spesso situato in un’altra nazione.
App fraudolente e ingegneria sociale: la nuova minaccia globale
A fine 2024, una variante ancora più insidiosa è stata testata su larga scala, a partire dagli utenti russi. Qui, i criminali non si limitano a rubare i dati della carta via phishing. Convincendo la vittima a installare un’app falsa – spacciata per strumento governativo o bancario, spesso distribuita fuori dagli store ufficiali – la inducono ad avvicinare la carta al telefono e inserire il PIN con la scusa di un’autorizzazione o verifica.
In realtà, l’app legge e trasmette i dati via NFC agli aggressori, che possono subito prelevare contanti o fare acquisti senza che la vittima si accorga di nulla. In altri casi, la vittima viene persuasa a “spostare” i propri fondi su un conto sicuro, guidata a depositare contanti presso un ATM tramite NFC, che invece accredita i soldi direttamente al conto dei malviventi, grazie al relay dei dati NFC.
Queste varianti di attacco sono difficilmente individuabili dagli algoritmi antifrode, poiché la transazione avviene con l’apparenza di totale legittimità.
Perché questi attacchi funzionano: debolezze sistemiche
Le principali vulnerabilità sfruttate sono:
- Uso diffuso di OTP via SMS: il metodo di verifica più comune per abilitare carte nei wallet digitali prevede l’invio di un codice via SMS, che i truffatori riescono a ottenere mediante ingegneria sociale.
- Mancanza di autenticazione biometrica o tramite app bancaria: troppo spesso, l’inserimento di una carta in Apple Pay/Google Wallet non richiede un’autenticazione avanzata o la verifica della presenza fisica della carta.
- Terminali di pagamento obsoleti: molti POS e ATM non implementano controlli per distinguere una transazione diretta da una in relay tramite Ghost Tap.
- Complicità involontaria di Apple e Google: la possibilità di aggiungere più wallet di persone diverse su uno stesso dispositivo non viene riconosciuta come anomalia dalle piattaforme, favorendo la scalabilità del sistema criminale.
Consigli pratici per difendersi dalle nuove truffe NFC
1. Diffida sempre delle richieste di inserimento dati o codici OTP
Se ricevi un messaggio da un ente che ti chiede di inserire dati della carta o codici OTP su link esterni, verifica la fonte con un altro canale. Nessuna banca, servizio governativo o corriere invia link diretti per aggiornare o confermare pagamenti.
2. Installa app solo dagli store ufficiali
Evita di scaricare applicazioni da fonti non ufficiali, anche se sembrano appartenere a banche o enti pubblici. Le app malevole sono spesso usate per intercettare interazioni NFC e carpire dati sensibili.
3. Non avvicinare mai la carta al telefono su richiesta di terzi
Non seguire mai indicazioni di sconosciuti o di app non verificate che ti chiedono di poggiare la carta contro il telefono o di inserire il PIN per “verifiche” o “autorizzazioni”.
4. Attiva le notifiche in tempo reale per tutte le transazioni
Molte app bancarie permettono di ricevere notifiche push immediate per qualsiasi addebito o transazione. Questo ti consente di rilevare subito eventuali operazioni sospette e bloccare la carta tempestivamente.
5. Usa carte virtuali per i pagamenti online o wallet digitali
Le carte virtuali possono essere generate dalla propria banca per acquisti online o per essere aggiunte ai wallet digitali, con limiti di importo e validità temporanea, riducendo il rischio in caso di compromissione.
6. Cambia periodicamente le credenziali e i metodi di autenticazione
Aggiorna con regolarità password e PIN della tua banca e, dove possibile, attiva l’autenticazione a due fattori tramite app, riducendo l’efficacia delle tecniche di phishing.
7. Restringi l’uso dell’NFC alle sole operazioni necessarie
Se non utilizzi spesso i pagamenti contactless, valuta di disattivare la funzione NFC sullo smartphone o sulla carta fisica quando non serve.
8. Aggiorna costantemente il sistema operativo e le app
Mantieni sempre aggiornati il sistema operativo dello smartphone e le app bancarie o di pagamento. Gli aggiornamenti includono spesso patch di sicurezza che bloccano vulnerabilità note.
9. Usa soluzioni di sicurezza avanzate sul dispositivo
Antivirus e app di sicurezza mobile di produttori affidabili possono aiutare a identificare tentativi di phishing, app fraudolente o comportamenti anomali del dispositivo.
10. Informa subito la banca in caso di sospetti
Se ti rendi conto di aver inserito dati su un sito sospetto o di aver autorizzato un’operazione non chiara, contatta immediatamente la tua banca e blocca la carta.
Il ruolo di istituzioni, banche e fornitori tecnologici
Oltre alle buone pratiche individuali, è essenziale che banche, istituzioni finanziarie e piattaforme tecnologiche rafforzino le misure di sicurezza:
- Introduzione di sistemi di onboarding più sicuri, come la verifica biometrica o tramite l’app bancaria ufficiale per aggiungere carte ai wallet.
- Analisi del comportamento dei dispositivi, per rilevare account con wallet multipli appartenenti a persone diverse.
- Aggiornamento dei terminali di pagamento per riconoscere e bloccare le transazioni relay attraverso il controllo della latenza o l’analisi comportamentale.
- Collaborazione internazionale per la condivisione di informazioni e allerta sulle nuove varianti di frode.
La facilità e rapidità dei pagamenti digitali con smartphone e NFC introduce rischi nuovi e inaspettati. I criminali informatici lavorano su scala industriale, sfruttando ogni debolezza di processo, tecnologia e abitudine umana. Restare informati, adottare comportamenti prudenti e pretendere da banche e fornitori standard di sicurezza sempre più elevati è la chiave per difendere i propri risparmi in un’epoca dove, con un semplice “tap”, si può perdere tutto – o essere protagonisti della rivoluzione digitale in tutta sicurezza.
Fonte: https://www.kaspersky.it/blog/apple-google-nfc-carding-theft-2025/29579
