Национальная служба экономической разведки

(383) 201-22-22, (383) 201-83-52

г. Новосибирск, ул. Железнодорожная, 6/2

Национальная служба экономической разведки – это крупнейшая Российская организация, занимающаяся сбором, обработкой и анализом информации экономического характера о ситуации в различных секторах рынка, а также его участниках.
Национальная служба экономической разведки специализируется на комплексном информационно-аналитическом обеспечении ведущих предприятий Российской Федерации. Благодаря профессионализму и огромному опыту сотрудников службы, мы добиваемся самых лучших результатов в работе и гордимся нашим вкладом в защиту экономической безопасности предприятий России.
Служба имеет представительства в разных регионах России, включая города федерального значения.

Телефон вместо карты

Оплата телефоном стала настолько привычной, что многие уже не помнят, когда в последний раз доставали пластиковую карту. Это удобно и современно: всё всегда под рукой, а ПИН-код вводить не нужно. Сама технология NFC считается надежной и имеет много степеней защиты. Однако мошенники не дремлют и придумали способы, как обмануть систему и снять деньги через бесконтактную связь

 

Ретрансляция NFC — это техника, при которой данные, бесконтактно передаваемые между источником (например, банковской картой) и приемником (например, платежным терминалом), перехватываются на одном промежуточном устройстве и в реальном времени передаются на другое. Приложение для ретрансляции устанавливается на два смартфона, связанных через Интернет. Карту прикладывают к первому смартфону, а второй смартфон подносят к считывателю в терминале или банкомате — и с их стороны все выглядит так, будто рядом находится настоящая карта, хотя физически она может быть в другом городе или даже стране.

Изначально эта технология не создавалась для преступных целей. Приложение NFCGate появилось в 2015 году как исследовательский инструмент, разработанный студентами Технического университета Дармштадта в Германии. Оно предназначалось для анализа и отладки NFC-трафика, а также для обучения и экспериментов с бесконтактными технологиями. NFCGate распространялся как решение open source и использовался в академической среде и среди энтузиастов.

Спустя пять лет киберпреступники обратили внимание на саму идею ретрансляции NFC. NFCGate стали модифицировать, добавляя в моды работу через сервер злоумышленников, маскировку под полезные программы и сценарии социальной инженерии. Так исследовательский проект превратился в фундамент для целого класса атак, направленных на кражу денег с банковских счетов без физического доступа к карте.

 

История нецелевого использования

Первые атаки с использованием модифицированного NFCGate задокументированы в конце 2023 года в Чехии, а до России схема добралась в августе 2024 года. Уже к началу 2025-го проблема приобрела заметный масштаб: аналитики обнаружили более 80 уникальных вредоносных образцов на базе NFCGate. Атаки быстро эволюционировали, и ретрансляция NFC интегрировалась с другими вредоносными компонентами. В феврале 2025-го появились связки вредоносного ПО CraxsRAT и NFCGate, позволявшие устанавливать и настраивать ретранслятор с минимальным участием жертвы. Весной 2025 года возникла новая схема — так называемая «обратная» версия NFCGate, где изменился сам способ проведения атаки.

По данным исследований, только за первый квартал 2025 года общий ущерб от атак на базе NFCGate в России превысил 400 млн рублей. За третий квартал 2025 года в одной РФ атак с ретрансляцией NFC замечено более 44 тысяч, что в полтора раза больше, чем кварталом ранее.

 

Прямая атака NFCGate

Прямая атака — это первый появившийся сценарий преступного использования NFCGate. В нем смартфон жертвы играет роль «считывателя», а смартфон злоумышленника — эмулятора карты.

Сначала мошенники убеждают пользователя установить вредоносное приложение под видом банковского сервиса, обновления, программы «защиты счета» или просто популярного приложения вроде TikTok. После установки приложение получает доступ к NFC и Интернету, зачастую не запрашивая опасных прав или root-доступа. В некоторых версиях дополнительно запрашивается доступ к специальным возможностям Android. Затем, якобы для подтверждения личности, жертву просят приложить банковскую карту к смартфону. Когда это происходит, вредоносное приложение считывает данные по NFC и немедленно отправляет их на сервер злоумышленников. Оттуда информация передается на другой смартфон, который находится у дропа, помощника преступников по снятию денег. Затем это устройство эмулирует карту жертвы при оплате в терминале или снятии наличных в банкомате.

Мошенническое приложение на смартфоне жертвы также требует ввести пин-код от карты — как при оплате на терминале или снятии денег в банкомате — и передает его злоумышленникам. В ранних версиях атаки преступники просто стояли у банкомата с телефоном наготове, чтобы оперативно воспользоваться картой одураченного пользователя. Впоследствии вредоносное ПО доработали, чтобы данные можно было использовать в магазинах в отложенном режиме, а не в «прямом эфире». Для жертвы процесс кражи малозаметен: карта не покидает владельца, ее реквизиты вводить или диктовать не требуется, а уведомления о списании денег могут приходить с задержкой или и вовсе перехватываться вредоносным приложением.

Среди тревожных признаков, заставляющих заподозрить проведение прямой NFC-атаки:

  • предложение установить приложение не из официальных магазинов;
  • требование приложить банковскую карту к смартфону.

 

Обратная атака NFCGate

Обратная атака — более новая и изощренная схема. В ней смартфон жертвы уже не считывает карту, а эмулирует карту злоумышленника. При этом жертве все действия кажутся абсолютно безопасными — не нужно ни диктовать реквизиты своих карт, ни сообщать кому-то какие-либо коды, ни прикладывать карту к смартфону.

Как и в прямой схеме, все начинается с социальной инженерии. Пользователю звонят или пишут, убеждая установить приложение «для бесконтактных платежей», «защиты карт» или даже «работы с цифровым рублем». После установки новое приложение просит сделать себя системой для бесконтактных платежей по умолчанию — и именно этот шаг критически важен. Благодаря ему зловреду не требуется root-доступ — достаточно согласия пользователя. Затем вредоносное приложение в фоновом режиме подключается к серверу злоумышленников, и на устройство жертвы передаются NFC-данные карты, принадлежащий одному из преступников. Для жертвы этот шаг незаметен. На следующем этапе жертву направляют к банкомату. Под предлогом «зачисления денег на безопасный счет» или «перевода самому себе» человека просят приложить телефон к NFC-модулю банкомата. В этот момент банкомат фактически работает с картой злоумышленника. ПИН-код жертве диктуют заранее, представляя его как «новый» или «временный». В результате все внесенные или переведенные жертвой деньги уходят на счет преступников. Признаки этой атаки:

  • просьба сменить систему NFC-оплаты по умолчанию;
  • информация о новом ПИН-коде;
  • сценарий, в котором нужно дойти до банкомата и проделать какие-либо действия с ним по чужой инструкции.

 

Как защититься от атак через NFC

Атаки с использованием NFC-ретрансляции опираются не столько на технические уязвимости, сколько на доверие пользователей. Защититься от них помогут простые меры предосторожности.

 

  • Не соглашайтесь менять систему бесконтактных платежей по умолчанию (Mir Pay, Google Pay, Samsung Pay и так далее).
  • Не прикладывайте банковскую карту к смартфону по просьбе посторонних лиц или по запросу приложений. Легитимные приложения иногда используют камеру для сканирования номера карты, но не NFC-считыватель.
  • Не выполняйте операции в банкомате по инструкциям посторонних лиц, кем бы они ни представлялись.
  • Не устанавливайте приложения, присланные в мессенджерах, соцсетях, по ссылкам в СМС, рекомендованные во время телефонного звонка, даже если они приходят от имени «поддержки» или «полиции».
  • Используйте полноценную защиту своих Android-смартфонов, чтобы предотвратить мошеннические звонки, посещение фишинговых сайтов и установку вредоносного ПО.
  • Старайтесь использовать только официальные магазины приложений, а если это невозможно — вручную заходите на официальные сайты банков и других организаций для загрузки заведомо чистых версий мобильных приложений. При загрузке из магазина приложений проверяйте отзывы, число загрузок, дату публикации и рейтинг приложения.
  • При работе с банкоматом используйте физическую карту, а не смартфон.
  • Регулярно проверяйте в настройках NFC смартфона пункт «Платежное приложение по умолчанию». Если видите в списке подозрительные приложения, удалите их немедленно и проведите полную проверку смартфона на заражение другим вредоносным ПО.
  • Изучите в настройках Android список приложений, имеющих доступ к службе «Специальные возможности» (Accessibility) — этой функцией часто злоупотребляет вредоносное ПО. Подозрительные приложения нужно либо отключить от «Специальных возможностей», либо удалить.
  • Добавьте в записную книжку смартфона официальные номера службы поддержки банков, в которых у вас есть счета, и при малейших подозрениях на обман сразу звоните на горячую линию банка.
  • Если карта могла быть скомпрометирована — немедленно заблокируйте ее.

 

 

По материалам Касперский