Nieuw cybercrime-fenomeen: ‘ghost-tapping’ treft mobiele wallets

Een nieuwe fraude-methode, ghost-tapping, vormt een snelgroeiende dreiging voor contactloze betalingen. Criminelen misbruiken hierbij NFC-relay-technieken om gestolen betaalgegevens—gekoppeld aan diensten als Apple Pay en Google Pay—om te zetten in fysieke aankopen in winkels. Waar klassieke kaartfraude vaak online blijft, verplaatst ghost-tapping de fraude naar de kassa, waardoor detectie lastiger wordt voor traditionele antifraudesystemen.

Wat is ghost-tapping?

Ghost-tapping is een end-to-end fraudeoperatie waarbij cyberbendes gestolen kaart- of walletgegevens combineren met near field communication (NFC)-apparatuur en tussenpersonen (mules). Met relay-software wordt het contactloze signaal van een kaart of mobiele wallet op afstand doorgegeven naar een betaalterminal, zodat de transactie lijkt alsof de rechtmatige kaarthouder zelf tapt.

Waarom dit werkt

• Relay i.p.v. kopie: de aanvaller maakt geen statische kopie van de kaart, maar verlengd het NFC-signaal in realtime.
• In-store aankoop: omdat de aankoop fysiek in een winkel plaatsvindt, vallen patronen minder op in CNP- (card-not-present) detectie en adrescontrole.
• Geolocatie-ruis: de kaart lijkt “gewoon” te worden gebruikt aan een terminal; afwijkingen zijn subtieler dan bij buitenlandse online aankopen.

Hoe de operatie is opgezet

1. Toegang tot betaalgegevens
   Gegevens worden buitgemaakt via phishing, datalekken of door misbruik van eerder gestolen inloggegevens van slachtoffers. Die data worden vervolgens gekoppeld aan mobiele wallets of gebruikt als bron voor een relay.

2. Techniek: NFC-relay
   Tools die oorspronkelijk voor legitiem testen zijn gebouwd, worden misbruikt. Met apps als NFCGate kunnen twee telefoons een verbinding opzetten: de ene telefoon “luistert” bij de bron, de andere “tapt” bij de kassa. Alles gebeurt live, zodat de terminal geldige cryptografische uitwisselingen “ziet”.

3. Commerciële infrastructuur
   Op kanalen zoals Telegram worden burner-telefoons aangeboden die al zijn voorgeconfigureerd met gestolen credentials—bijvoorbeeld pakketten van tien kaarten voor rond $500 USDT. Mules krijgen instructies, routes en geautomatiseerde workflows om goederen snel in te slaan en door te verkopen.

4. Globalisering van de fraude
   Operaties en logistieke hubs zijn waargenomen in o.a. Cambodja en China, terwijl de aankopen en slachtoffers wereldwijd verspreid zijn. Het is daarmee een internationale supply-chain van fraude, met specifieke rollen voor phishers, technici, mules en doorverkopers.

Impact en schaal

• In Singapore werden tussen oktober en december 2024 656 gevallen geregistreerd van gekompromitteerde kaarten die aan mobiele wallets waren gekoppeld, met een schade van ruim $1,2 miljoen SGD.
• In ten minste 502 gevallen ging het om Apple Pay, wat illustreert dat criminelen populaire platformen doelbewust uitbuiten.

Waarom detectie lastig is

• Fysieke context: terminal + pincodevrije tap onder drempels kunnen legitiem lijken.
• Token- en cryptogrammisbruik: hoewel wallets werken met dynamische cryptogrammen en tokenized PANs, omzeilt een realtime relay sommige controles omdat de terminal een geldige sessie ervaart.
• Bypass van extra stappen: als aanvallers al beschikken over de volledige set slachtoffer-credentials, kunnen zelfs multi-factor-mechanismen rond provisioning of accountbeheer worden omzeild—bijv. door social engineering of misbruik van eerder verkregen sessies.

“Dit is een end-to-end fraudeoperatie over meerdere landen en criminele rollen heen. Doordat aankopen in persoon plaatsvinden, glippen ze makkelijker door traditionele filters.”

Signalen en rode vlaggen

• Onverklaarbare in-store contactloze transacties op locaties waar je niet was.

• Meerdere kleine transacties kort na elkaar (testen van limieten).

• Nieuwe of onbekende devices die in je Apple- of Google-account verschijnen.

• Onverwachte verificatiecodes / push-meldingen om een kaart aan een wallet toe te voegen.

Wat je nú kunt doen (consumenten)

• Direct blokkeren: zet je kaart/wallet onmiddellijk stil bij verdachte meldingen; veel banken bieden “freeze” in de app.
• Push-alerts aan: activeer directe transactie-meldingen voor zowel kaart als wallet.
• Controleer gekoppelde apparaten: verwijder onbekende telefoons in je Apple-ID of Google-account en wijzig je wachtwoorden.
• Beperkingsopties: overweeg lage limieten voor contactloos en stel daglimieten in voor in-store betalingen.
• Weiger onverwachte verificaties: reageer nooit op ongevraagde sms-codes of push-verzoeken om je kaart aan een wallet toe te voegen.
• Aangifte & claim: meld fraude bij je bank en doe aangifte; documenteer tijdstippen en locaties.

Aanbevelingen voor winkels en betaalpartijen

• Terminal-configuratie: verlaag offline floor limits, dwing vaker online autorisatie af en gebruik velocity-checks (meerdere snelle taps).
• Contextuele risicoanalyse: combineer transactie-data met device-fingerprints en locatie-intelligentie van de terminal.
• MCC-gerichte regels: hogere controles voor categorieën met hoge doorverkoopwaarde (elektronica, giftcards).
• Real-time samenwerking: deel IOC’s (indicatoren van compromis) en afwijkende device-kenmerken in fraude-netwerken.
• Training personeel: herken patronen van mules (bulk-aankopen, ongebruikelijke routes, sturen door een telefoon).

Veelvoorkomende misvattingen

• “Tokenization maakt dit onmogelijk.”
  Tokenization verlaagt risico’s, maar een relay verplaatst het geldige contactloze gesprek in realtime; de terminal ziet nog steeds een valide sessie.

• “MFA lost alles op.”
  MFA helpt, maar niet als aanvallers al volledige toegang hebben of je tot goedkeuring manipuleren (social engineering van provisioningverzoeken).

Ghost-tapping combineert oude trucs (phishing, mules, doorverkoop) met nieuwe relay-technologie rondom NFC. Het resultaat is in-store fraude die lastiger te vangen is met klassieke online detectie. Waakzaamheid, snelle blokkade-mogelijkheden, goede account-hygiëne en strakkere terminal-instellingen zijn cruciaal om de schade te beperken.

Door: Drifter