עלייה של 35%: הונאת ה-NFC שאתם חייבים להכיר
תשלומים דרך הסמארטפון או השעון הפכו להרגל אצל רוב המשתמשים, אבל יחד עם הטכנולוגיה מגיעות גם ההונאות. תכירו את ההונאה החדשה שבעזרת פישינג או אפליקציה מזויפת גונבים את פרטי האשראי שלכם, מכניסים אותם לתוך ארנקים דיגיטליים במכשירים זרים ובעזרת NFC מפיצים למגוון רחב של מכשירים
בישראל, ובכלל בעולם, אימצו כמעט לחלוטין את טכנולוגיית ה-NFC. כמות גדולה של צרכנים משתמשים בכלי הארנק הדיגיטלי של גוגל ואפל כדי לשלם בחנויות, למעשה לפי חברת שבא ("שירותי בנקאות אוטומטיים", חברת הסליקה של הבנקים בישראל) כ-40% מכלל העסקאות אשראי מבוצעות מאותן אפליקציות. אבל עוד שימושים הפכו לנפוצים - ובהתאם גם ההונאות בנושא.
חברת ESET מדווחת על עליה חדה במספר התקיפות באמצעות "תשלומים ללא מגע" דרך טכנולוגיית ה-NFC - על פי חברת אבטחת הסייבר, מספר התקיפות באמצעות טכנולוגיית NFC זינק פי 35 בתוך חצי שנה בלבד.
הדיווח מגיע לאחר פרסום דוח איומי הסייבר למחצית הראשונה של 2025. על פי החברה, תוקפים פועלים במרחב הדיגיטלי כדי לנצל את הפופולריות הגוברת של תשלומים ללא מגע, ומשתמשים בשיטות התחזות, תוכנות זדוניות והזרמת מידע בין מכשירים.
התוקפים עושים שימוש באפליקציות מזויפות ובאתרי פישינג, שנראים לעין בלתי מקצועית כאילו הם חלק ממערך השירות הרשמי של בנקים ומוסדות ממשלתיים או ציבוריים. משם הם מובילים את המשתמש להוריד אפליקציה זדונית או להכניס פרטים אישיים רגישים, ולהכניס את הפרטים לתוך יישומי ארנק דיגיטלי. הגל החדש של התקיפות החל בצ'כיה אך התפשט במהירות לארצות הברית, אוסטרליה, מדינות אירופה נוספות ואזורים באסיה ובדרום אמריקה, עד כה לא ידועים על מקרים בישראל - אבל זה כנראה רק עניין של זמן, בעיקר מכיוון שמדובר בהונאה שניתן לבצע מכל מקום בעולם.
טכניקה נוספת, ומסוכנת יותר, שזוהתה בדוח היא Ghost Tap, שיטה מתקדמת שבמסגרתה לאחר שנאספים פרטי כרטיס האשראי הגנוב, הנוכלים משתמשים ב-NFC כדי להעביר אותם לארנקים דיגיטליים מזויפים נוספים, המותקנים על מכשירי אנדרואיד ייעודיים. בדרך זו, נוצרות מעין "חוות" או "משפחות" של מכשירים הפועלים באופן אוטומטי ומבצעים עסקאות מזויפות בקנה מידה נרחב, תוך שמירה על אנונימיות מבצעי התקיפה.
אלכס שטיינברג, מנהל מוצרי ESET בחברת קומסקיור בישראל, מסביר כיצד פועלת השיטה: "במקרים שתועדו, התוקפים שלחו הודעות SMS שגרמו לנפגעים להאמין כי מדובר בהודעה רשמית מהבנק או מרשות המיסים, תוך הפניה להורדת אפליקציה נוספת. כך נוצר תהליך הכולל כמה שלבים של התחזות כפולה, הן מצד האפליקציה והן מצד גורם אנושי שיצר קשר טלפוני עם הקורבן, במטרה "לאמת" את השינויים שבוצעו. בשלב זה, הנתונים שכבר נגנבו אפשרו לתוקף לבצע חיקוי של כרטיס האשראי במכשיר אחר, ולהשתמש בו לביצוע תשלומים מידיים".
שטיינברג מוסיף: "אחת השיטות המרכזיות שעלו בדו"ח כוללת ניצול לרעה של כלי תוכנה בשם NFCGate - מערכת שפותחה במקור לצורכי מחקר אקדמי. גרסה זדונית של הכלי, בשם NGate, משמשת את התוקפים לצורך העברת נתוני NFC ממכשיר אחד לאחר, באופן שמאפשר שכפול של ארנקים דיגיטליים וכרטיסים. התוצאה היא יכולת לבצע רכישות או משיכות כספים, ללא צורך בגישה פיזית לכרטיס האשראי".
שוק שרק מתפתח
על פי הדוח של החברה ישנן גם תחזיות לצמיחה עקבית בשוק ה‑NFC הגלובלי. על פי הנתונים של ESET, השוק צפוי לגדול משווי של 21.69 מיליארד דולר בשנת 2024 לכ‑30.55 מיליארד דולר עד שנת 2029. לצערנו ההתפשטות המהירה של טכנולוגיית התשלום מביאה גם פתח להונאות מתוחכמות, שעלולות להתרחש מבלי שהמשתמש יבחין בכך בזמן אמת.
החברה גם סיפקה כמה המלצות בנושא: הימנעו מהורדת אפליקציות ממקורות לא מוכרים, זהו ניסיונות פישינג כבר בשלב ההתחלתי, ותשתמשו בפתרונות אבטחה ייעודיים למכשירים ניידים. נוסיף כי גם מומלץ מדי פעם להסתכל כל פירוט האשראי ולזהות אם יש שם הוצאות לא מוכרות.
לאחרונה הכריז גוף התקינה הבינלאומי NFC Forum על התקן החדש NFC Release 15 (או NFC 15), שייתן מענה מסוים לאיומים ולתקיפות המדוברות. לצד שיפורים טכנולוגיים שיהפכו את התשלום לנוח, מהיר ואמין יותר לשימוש יומיומי, קיים דגש גם על אבטחה. התקן החדש אמור גם להרחיב את מרחק החיבור של NFC מ‑5 מילימטרים ל-2 ס"מ, שזה פי ארבעה מהמרחק הקיים. לאור שדרוג זה, לא יהיה צורך להצמיד פיזית את המכשיר למסופון התשלום, והתשלום יבוצע בצורה קלה יותר, עם חוויית משתמש משופרת, אולי אפילו לא נצטרך מסופון אלא נסתפק בהתקנים בסמארטפון שלנו. כמו כן, התקן החדש יופיע בשעונים ובצמידים החכמים החדשים, וכן בטבעות NFC שצוברות תאוצה בשווקים מסביב לעולם.