Le paiement sans contact est pratique, mais il ouvre aussi la porte à de nouvelles formes de piratage. Des chercheurs en sécurité alertent sur l'émergence de logiciels malveillants capables d'exploiter la puce NFC de certains smartphones pour dérober discrètement les informations des cartes bancaires qui se trouvent à proximité.
Cleafy a ainsi découvert une nouvelle campagne frauduleuse s'articulant autour de SuperCard X.
Comment fonctionne cette arnaque via nfc ?
Le mode opératoire est insidieux. L'attaquant doit d'abord infecter un téléphone Android avec le malware en question, baptisé Supercard-X.
Pour ce faire, les pirates imitent le service bancaire de la victime en la contactant afin de régulariser une situation ou pour sécuriser son terminal... L'idée est de réaliser un appel pour pousser l'utilisateur à installer le malware sur son appareil et à procéder à quelques manipulations visant, pourquoi pas, à lever les plafonds de dépenses de sa carte bancaire depuis son application.
Une fois le téléphone Android infecté, il devient alors une sorte de terminal de paiement pirate mobile.
Lors de l'appel, les pirates se faisant passer pour la banque de l'utilisateur invitent la victime à passer sa carte bancaire au dos de son smartphone pour réaliser des vérifications d'usage...
Et c'est là que le malware, qui sert en réalité de relais NFC capte les données de la carte bancaire pour les renvoyer vers les serveurs détenus par les cybercriminels.
Contrairement aux attaques nécessitant un scanner et une proximité du pirate avec la carte NFC des victimes, ici, c'est la victime elle-même qui orchestre malgré elle le piratage.
Quelles données sont volées et quels risques réels ?
Cette technique permet aux pirates de récupérer certaines informations cruciales, mais pas toutes :
- Données volées : Le numéro de la carte bancaire, sa date d'expiration, et parfois le nom du titulaire ou l'historique de transactions récentes (selon le type de carte).
- Donnée NON volée : Le cryptogramme visuel (CVV ou CVC), ce code à 3 chiffres au dos de la carte, n'est jamais transmis via NFC et ne peut donc pas être intercepté par cette méthode.
Quels sont les risques concrets avec les données de votre carte ainsi obtenues ? Si l'absence du CVV empêche la plupart des achats en ligne classiques, les informations collectées restent précieuses pour les fraudeurs. Elles peuvent être utilisées sur certains sites moins sécurisés n'exigeant pas le CVV, ou servir à monter des arnaques plus sophistiquées comme le phishing ciblé ou l'usurpation d'identité.
Comment se protéger de cette menace ?
Si le risque zéro n'existe pas, quelques bonnes pratiques permettent de limiter l'exposition à ce type d'attaque :
- Soyez vigilant sur les applications que vous installez : privilégiez les sources officielles (Google Play Store) et méfiez-vous des liens ou fichiers suspects.
- Utilisez une solution de sécurité mobile (antivirus) sur votre smartphone Android.
- Vous pouvez désactiver la fonction NFC de votre téléphone lorsque vous ne l'utilisez pas activement pour le paiement mobile (même si cela peut être contraignant).
Cette nouvelle technique rappelle l'importance de rester prudent face aux applications malveillantes et de protéger l'accès physique à ses cartes bancaires, même sans contact.
