-
09/04/2020
-
110
-
1.051 bài viết
Ghost-Tapping: Mối đe dọa nhắm vào người dùng Apple Pay và Google Pay
Trong khi thanh toán không tiếp xúc ngày càng trở thành xu hướng toàn cầu, một kỹ thuật gian lận mới mang tên ghost-tapping đang nổi lên như công cụ ưa thích của các nhóm tội phạm mạng nói tiếng Trung. Phương thức này khai thác tấn công NFC relay để lợi dụng lỗ hổng trong dịch vụ thanh toán di động, điển hình là Apple Pay và Google Pay.
Trên thực tế, quy trình tấn công diễn ra qua nhiều bước có hệ thống. Đầu tiên, tin tặc tiếp cận kênh giao tiếp vật lý hoặc cấy thiết bị trung gian (man-in-the-middle) giữa màn hình và bộ điều khiển. Tiếp đó, chúng thu thập và phân tích dòng dữ liệu cảm ứng hợp lệ để xây dựng mẫu tấn công. Sau khi có được cơ chế phát sinh tín hiệu giả, kẻ tấn công chèn luồng dữ liệu đã được chỉnh sửa vào hệ thống, khiến thiết bị hiểu nhầm đó là hành động người dùng. Cuối cùng, những thao tác giả này có thể được lợi dụng để mở ứng dụng, nhập dữ liệu nhạy cảm, hoặc thậm chí kích hoạt lệnh hệ thống mà nạn nhân không hề hay biết.
Như vậy, cơ chế khai thác phản ánh điểm yếu cốt lõi trong việc xác thực dữ liệu cảm ứng, trong khi quy trình tấn công mô tả chi tiết từng bước triển khai để biến điểm yếu đó thành hành động cụ thể, từ khâu chèn thiết bị trung gian cho đến thao túng hoàn
.
Một báo cáo tại Singapore cho thấy chỉ trong 3 tháng cuối năm 2024 đã ghi nhận hơn 650 vụ việc với thiệt hại ít nhất 1,2 triệu SGD, chủ yếu liên quan đến Apple Pay. Mặt hàng được nhắm đến phổ biến gồm điện thoại, trang sức và vàng, thường do người nước ngoài đóng giả khách du lịch thực hiện.
Điểm đáng sợ nằm ở sự dễ thích nghi: khi một nền tảng bị kiểm soát, tội phạm lập tức di chuyển sang nền tảng khác, từ Telegram đến Discord, thậm chí các forum ngầm chuyên biệt. Việc này khiến cho nỗ lực triệt phá gần như rơi vào trò “mèo vờn chuột”, nơi cơ quan thực thi luôn đi sau một bước.
Song song, ghost-tapping tận dụng chính hệ sinh thái thanh toán hiện đại: máy POS, ví điện tử, và cơ chế tokenization – vốn được thiết kế để bảo mật – nay lại trở thành công cụ bị lợi dụng. Khi các “mule” thực hiện giao dịch tap-to-pay, hệ thống ngân hàng thường chỉ nhận diện được giao dịch hợp lệ, khó phân biệt với khách hàng thông thường. Điều này tạo ra lỗ hổng giám sát mang tính hệ thống, khiến ghost-tapping có thể tồn tại dai dẳng mà không bị phát hiện kịp thời.
Trên quy mô rộng, hậu quả không chỉ là tổn thất tài chính cho nạn nhân cá nhân, mà còn đe dọa niềm tin vào thanh toán số. Một khi ghost-tapping bùng phát tại nhiều quốc gia, các doanh nghiệp bán lẻ, tổ chức phát hành thẻ và nhà cung cấp dịch vụ thanh toán có thể đối mặt với chi phí gian lận tăng vọt, buộc phải thắt chặt quy trình KYC, ảnh hưởng đến sự tiện lợi của người dùng hợp pháp.
Cuối cùng, tính xuyên biên giới của ghost-tapping biến nó thành một bài toán hợp tác quốc tế nan giải. Tiền bị rút từ một cửa hàng ở châu Âu có thể nhanh chóng được chuyển hóa thành tiền mã hóa tại châu Á, rồi rửa qua các sàn phi tập trung, khiến việc lần vết gần như bất khả thi. Đây là lý do giới chuyên gia dự báo ghost-tapping sẽ trở thành mối đe dọa an ninh tài chính toàn cầu trong thập kỷ tới.
Đối với tổ chức tài chính và nhà cung cấp dịch vụ thanh toán:
Cơ chế khai thác
Lỗ hổng Ghost-Tapping xuất phát từ cách hệ thống xử lý tín hiệu chạm cảm ứng trên các thiết bị di động. Kẻ tấn công có thể chèn dữ liệu giả mạo vào luồng giao tiếp giữa màn hình và bộ điều khiển cảm ứng, khiến thiết bị nhận diện các cú chạm “ảo” mà người dùng không hề thực hiện. Về cơ chế, đây là sự khai thác điểm yếu trong tầng giao tiếp phần cứng–phần mềm, nơi dữ liệu đầu vào từ cảm ứng không được xác thực nghiêm ngặt, cho phép kẻ tấn công tiêm các sự kiện giả và qua đó chiếm quyền điều khiển thao tác trên thiết bị.Trên thực tế, quy trình tấn công diễn ra qua nhiều bước có hệ thống. Đầu tiên, tin tặc tiếp cận kênh giao tiếp vật lý hoặc cấy thiết bị trung gian (man-in-the-middle) giữa màn hình và bộ điều khiển. Tiếp đó, chúng thu thập và phân tích dòng dữ liệu cảm ứng hợp lệ để xây dựng mẫu tấn công. Sau khi có được cơ chế phát sinh tín hiệu giả, kẻ tấn công chèn luồng dữ liệu đã được chỉnh sửa vào hệ thống, khiến thiết bị hiểu nhầm đó là hành động người dùng. Cuối cùng, những thao tác giả này có thể được lợi dụng để mở ứng dụng, nhập dữ liệu nhạy cảm, hoặc thậm chí kích hoạt lệnh hệ thống mà nạn nhân không hề hay biết.
Như vậy, cơ chế khai thác phản ánh điểm yếu cốt lõi trong việc xác thực dữ liệu cảm ứng, trong khi quy trình tấn công mô tả chi tiết từng bước triển khai để biến điểm yếu đó thành hành động cụ thể, từ khâu chèn thiết bị trung gian cho đến thao túng hoàn
.
Hệ sinh thái tội phạm
Ghost-tapping không chỉ là một kỹ thuật gian lận đơn lẻ mà còn nằm trong một hệ sinh thái tội phạm được tổ chức theo mô hình phân tầng. Mỗi thành phần trong chuỗi hoạt động đóng một vai trò nhất định, giúp cả mạng lưới vận hành hiệu quả và khó triệt phá.- Nhà phát triển công cụ: Đây là những cá nhân hoặc nhóm xây dựng, tùy biến và duy trì phần mềm phục vụ cho việc nạp thẻ, token hóa và relay tín hiệu NFC. Công cụ như NFCGate thường được mã nguồn mở hóa, trong khi các nền tảng chuyên biệt như SuperCard X được phát triển kín và bán giới hạn cho các nhóm đáng tin cậy.
- Syndicate (băng nhóm tổ chức): Đây là tầng điều phối chính, quản lý toàn bộ chuỗi hoạt động, từ tuyển dụng mule cho tới phân phối công cụ kỹ thuật. Các syndicate thường sử dụng Telegram hoặc các nền tảng nhắn tin mã hóa khác để duy trì kênh liên lạc, tạo cơ chế “chợ bảo chứng” (ví dụ Huione Guarantee, Xinbi Guarantee) nhằm giảm rủi ro khi giao dịch nội bộ.
- Mule vận hành giao dịch: Đây là mắt xích trực tiếp thực hiện tap-to-pay tại điểm bán. Họ thường là người nước ngoài nhập cảnh giả dạng du khách, hoặc lao động thời vụ bị lôi kéo. Mule nhận chỉ thị từ syndicate, sử dụng burner phone và ví điện tử giả để mua sắm các mặt hàng có giá trị cao hoặc rút tiền từ ATM.
- Mule vận chuyển và tiêu thụ: Sau khi hàng hóa được mua bằng ghost-tapping, nhóm vận chuyển chịu trách nhiệm đưa sản phẩm qua biên giới hoặc bán lại trên các chợ xách tay. Lợi nhuận được quy đổi thành tiền mặt hoặc tiền mã hóa (USDT, Bitcoin), hoàn thiện chu trình rửa tiền.
Một báo cáo tại Singapore cho thấy chỉ trong 3 tháng cuối năm 2024 đã ghi nhận hơn 650 vụ việc với thiệt hại ít nhất 1,2 triệu SGD, chủ yếu liên quan đến Apple Pay. Mặt hàng được nhắm đến phổ biến gồm điện thoại, trang sức và vàng, thường do người nước ngoài đóng giả khách du lịch thực hiện.
Nguy cơ toàn cầu
Ghost-tapping không chỉ dừng lại ở phạm vi một quốc gia hay một hệ thống thanh toán đơn lẻ, mà mang trong nó mối nguy toàn cầu. Bản chất của kỹ thuật này dựa trên sự kết hợp giữa công cụ kỹ thuật số và mạng lưới con người, khiến nó có khả năng lan truyền nhanh như một loại “dịch bệnh” trong kỷ nguyên thanh toán không tiền mặt.Điểm đáng sợ nằm ở sự dễ thích nghi: khi một nền tảng bị kiểm soát, tội phạm lập tức di chuyển sang nền tảng khác, từ Telegram đến Discord, thậm chí các forum ngầm chuyên biệt. Việc này khiến cho nỗ lực triệt phá gần như rơi vào trò “mèo vờn chuột”, nơi cơ quan thực thi luôn đi sau một bước.
Song song, ghost-tapping tận dụng chính hệ sinh thái thanh toán hiện đại: máy POS, ví điện tử, và cơ chế tokenization – vốn được thiết kế để bảo mật – nay lại trở thành công cụ bị lợi dụng. Khi các “mule” thực hiện giao dịch tap-to-pay, hệ thống ngân hàng thường chỉ nhận diện được giao dịch hợp lệ, khó phân biệt với khách hàng thông thường. Điều này tạo ra lỗ hổng giám sát mang tính hệ thống, khiến ghost-tapping có thể tồn tại dai dẳng mà không bị phát hiện kịp thời.
Trên quy mô rộng, hậu quả không chỉ là tổn thất tài chính cho nạn nhân cá nhân, mà còn đe dọa niềm tin vào thanh toán số. Một khi ghost-tapping bùng phát tại nhiều quốc gia, các doanh nghiệp bán lẻ, tổ chức phát hành thẻ và nhà cung cấp dịch vụ thanh toán có thể đối mặt với chi phí gian lận tăng vọt, buộc phải thắt chặt quy trình KYC, ảnh hưởng đến sự tiện lợi của người dùng hợp pháp.
Cuối cùng, tính xuyên biên giới của ghost-tapping biến nó thành một bài toán hợp tác quốc tế nan giải. Tiền bị rút từ một cửa hàng ở châu Âu có thể nhanh chóng được chuyển hóa thành tiền mã hóa tại châu Á, rồi rửa qua các sàn phi tập trung, khiến việc lần vết gần như bất khả thi. Đây là lý do giới chuyên gia dự báo ghost-tapping sẽ trở thành mối đe dọa an ninh tài chính toàn cầu trong thập kỷ tới.
Giải pháp và khuyến nghị
Để đối phó với ghost-tapping, cả tổ chức tài chính lẫn người dùng đều phải chủ động tham gia vào quá trình phòng vệ, thay vì chỉ trông chờ vào các biện pháp từ một phía.Đối với tổ chức tài chính và nhà cung cấp dịch vụ thanh toán:
- Tăng cường xác thực đa lớp: Không chỉ dừng lại ở OTP qua SMS, các ngân hàng cần áp dụng các phương thức xác thực mạnh hơn như push notification, chữ ký số hoặc biometrics
- Giám sát giao dịch theo thời gian thực: Kết hợp hệ thống phân tích rủi ro nâng cao với machine learning để phát hiện các giao dịch relay bất thường, ví dụ cùng một thiết bị nhưng phát sinh giao dịch ở nhiều vị trí địa lý trong thời gian ngắn
- Kiểm soát quy trình liên kết thẻ với ví điện tử: Siết chặt các điều kiện xác minh khi người dùng thêm thẻ mới, hạn chế nguy cơ kẻ gian tận dụng các lỗ hổng thủ tục
- Chia sẻ thông tin liên ngành: Thiết lập cơ chế cảnh báo sớm giữa ngân hàng, công ty fintech và cơ quan chức năng nhằm nhanh chóng triệt phá các đường dây mule và chợ đen trực tuyến
- Thận trọng khi liên kết thẻ và ví điện tử: Chỉ thực hiện trên ứng dụng chính thống và thiết bị tin cậy
- Hạn chế phụ thuộc vào OTP qua SMS: Ưu tiên các phương thức xác thực mạnh hơn khi có thể
- Theo dõi biến động tài khoản: Chủ động kiểm tra thông báo giao dịch, kịp thời phát hiện dấu hiệu bất thường
- Báo cáo ngay khi phát hiện giao dịch trái phép: Đây vẫn là “lá chắn” quan trọng nhất giúp ngân hàng nhanh chóng phong tỏa dòng tiền, giảm thiểu thiệt hại
Kết luận
Ghost-tapping cho thấy ranh giới giữa tội phạm mạng và tội phạm tài chính ngày càng mờ nhạt. Khi công nghệ thanh toán phát triển, các nhóm tội phạm cũng đồng thời thích nghi với tốc độ không kém. Thách thức đặt ra cho cơ quan thực thi và ngành tài chính là phải chạy đua với một đối thủ vừa cơ động vừa công nghệ cao, liên tục vượt qua các biện pháp kiểm soát truyền thống.Theo Cyber Press