Cyberprzestępcy stale doskonalą swoje metody działań, sięgając po nowe technologie oraz rozwijając socjotechniki w drodze do osiągnięcia swoich celów. Jednocześnie jednak, chętnie sięgają po już wcześniej wykorzystywane i skuteczne sposoby działań, jak w przypadku ataku złośliwym oprogramowaniem NGate.
Metoda nazywana NGate oparta jest na odkryciu studentów Uniwersytetu Technicznego w Darmstadt, którzy nauczyli się przechwytywać i przekierowywać sygnał NFC z urządzeń mobilnych. Niestety, technologia została zaadaptowana przez cyberprzestępców i jeszcze w grudniu 2023 roku przestępcy opracowali plan i rozpoczęli regularne działanie w Czechach. Schemat tego oszustwa został odkryty przez analityków ESET jeszcze w 2024 roku. Z kolei na początku 2025 r. odnotowano ataki oprogramowaniem NGate na użytkowników PKO Banku Polskiego .
W ostatnim czasie w Polsce zauważono nowe próby działań wymierzone w użytkowników różnych polskich banków, o czym informował w ostatnich dniach m. in. zespół CERT Polska .
Zaczyna się od klasycznego phishingu
Pierwszym krokiem oszustów jest wiadomość phishingowa e-mail lub SMS o rzekomym problemie technicznym lub incydencie bezpieczeństwa. W wiadomości znajduje się link do instalacji fałszywej aplikacji bankowej na Androida. Dosłownie chwilę później oszust dzwoni, podając się za pracownika banku, aby „potwierdzić tożsamość” i uwiarygodnić instalację aplikacji. Użytkownik może również otrzymać SMS potwierdzający tożsamość rzekomego pracownika.
W trakcie rozmowy oszust tworzy presję pilnej potrzeby działania, co jest typowe dla phishingu. Pobranie i instalacja aplikacji bankowej z linku ma rzekomo uchronić użytkownika przed kłopotami, najczęściej stratą środków.
– W ten sposób do telefonu ofiary trafia malware, czyli złośliwe oprogramowanie. Tak rozpoczyna się ciąg zdarzeń, przypominający domino. Ofiara jest proszona przez aplikację o pilne zweryfikowanie swojej karty płatniczej przez fizyczne przyłożenie jej do telefonu z modułem NFC. Następnie aplikacja wymusza wpisanie kodu PIN karty. Powyższe dane są wystarczające do wypłacenia gotówki z bankomatu przy wykorzystaniu specjalnie opracowanego do tego celu urządzenia. Co więcej, oszuści posiadając dostęp do konta ofiary w banku, mogą dowolnie zmieniać limity wypłat gotówki, co stanowi dodatkowe niebezpieczeństwo – opisuje mechanizm Kamil Sadkowski, ekspert cyberbezpieczeństwa ESET.
Płatności NFC – niemal tak popularne, jak gotówka
Kluczowym elementem oszustwa jest nakłonienie użytkownika do działania z użyciem NFC. Zdecydowana większość smartfonów wyposażona jest w tę funkcję. Jak się też okazuje, Polacy chętnie z niej korzystają podczas płatności mobilnych i ich udział wśród całości transakcji zbliżeniowych jest znaczący. Jak wynika z badania POLASIK Research dla Fundacji Polska Bezgotówkowa w 2024 r. aż 69 proc. wszystkich płatności zostało zrealizowanych w sposób bezgotówkowy. Do najpopularniejszych metod płatności w punktach handlowo-usługowych należą karty płatnicze (41 proc.), gotówka (31 proc.) oraz właśnie mobilne płatności NFC (18 proc.) .
Oszustwo ewoluuje, zachowaj czujność
Według danych analityków ESET, złośliwym oprogramowaniem NGate atakowano klientów banków w Czechach, Polsce, na Węgrzech, Rosji, Niemczech i w Gruzji. Dane ESET zawarte w Threat Report za I półrocze 2025 r. pokazują aż 35-krotny globalny wzrost oszustw opartych o moduły NFC w odniesieniu do II półrocza 2024, co potwierdza że cyberprzestępcy chętnie sięgają po tę metodę.
Nasilenie oszustw zaobserwowano zwłaszcza w Czechach. Czeska policja sukcesywnie walczy z cyberprzestępcami. Przełomowym wydarzeniem było zatrzymanie pod koniec 2024 roku 22-latka, który wypłacał pieniądze z bankomatów w Pradze. W momencie aresztowania podejrzany posiadał 160 000 koron czeskich, co stanowi równowartość ponad 6000 euro (około 6500 USD).
– Spodziewamy się, że te przestępcze techniki będą ewoluować. Niektóre grupy już łączą kradzież NFC z innymi metodami, takimi jak smishing, czyli formę phishingu opartą o SMS czy oszustwa z wykorzystaniem call center, aby zachować wysoką skuteczność. Niemniej jednak czujne instytucje finansowe, producenci urządzeń oraz społeczność zajmująca się cyberbezpieczeństwem monitorują te zagrożenia i reagują na nie. Dużą część ataków możemy zablokować przez własne odpowiedzialne zachowania, np. pobierając aplikacje wyłącznie z oficjalnych sklepów, weryfikując uprawnienia aplikacji, ignorując podejrzane linki oraz przykładając fizyczną kartę tylko w momentach, gdy jesteśmy absolutnie pewni jej zasadnego użycia – podsumowuje Lukáš Štefanko, ekspert cyberbezpieczeństwa ESET, który specjalizuje się w zagrożeniach typu malware.