Владельцы смартфонов на базе Android с NFC-чипом оказались в зоне повышенного риска. В России стремительно набирает обороты новая, крайне изощренная схема мошенничества, которая позволяет злоумышленникам опустошать банковские счета жертв, не похищая при этом ни саму карту, ни её физические данные. Основным орудием преступников стал банковский троян NGate, также известный как NFCGate, модификация легитимного приложения, созданного немецкими студентами ещё в 2015 году.
Масштабы угрозы впечатляют и настораживают. По оценкам экспертов, только за первые три месяца 2025 года с помощью различных версий этого вредоносного программного обеспечения клиенты российских банков потеряли не менее 432 миллионов рублей. Число подобных инцидентов всего за два месяца 2025 года более чем в два раза превысило показатели всего предыдущего года, что свидетельствует о взрывном росте популярности этой схемы среди киберпреступников.
Клон вашей карты в вашем же телефоне: как работает атака
В основе схемы лежит принцип NFC-ретрансляции, получивший жаргонное название «Призрачное касание» (Ghost Tap). Атака начинается с телефонного звонка. Мошенники, используя методы социальной инженерии, представляются сотрудниками банков, социальных служб или даже Центробанка. Они предлагают жертве оформить выплаты, получить компенсацию или решить несуществующую проблему со счетом, для чего требуется установить «специальное» или «обновленное» приложение.
Ссылка на это приложение приходит в SMS или мессенджере. Оно искусно маскируется под интерфейсы популярных и доверенных сервисов: «Госуслуги», сайты Банка России или мобильные приложения крупных финансовых организаций. Пользователь, не видя подвоха, устанавливает программу, которая на самом деле является троянцем.
Далее следует ключевой этап. Приложение просит пользователя «привязать» или «верифицировать» банковскую карту: для этого нужно приложить её к задней панели смартфона, где находится NFC-чип, и ввести PIN-код. В этот момент вредоносная программа считывает все необходимые данные с карты и мгновенно передаёт их преступникам.
«Когда жертва прикладывает карту, данные передаются через NFC в телефон мошенника, который уже находится у банкомата и удаленно снимает деньги с карты человека», — поясняет Сергей Голованов, главный эксперт АО «Лаборатория Касперского».
Существует две основных модификации этой атаки. По классической схеме, троянец работает как ретранслятор: данные с карты жертвы в реальном времени передаются на устройство мошенника. Тот, находясь у банкомата с поддержкой бесконтактной оплаты, подносит свой телефон к считывателю. Терминал видит цифровой клон карты и, используя перехваченный PIN-код, позволяет снять наличные или совершить платеж.
Более продвинутая и опасная схема, активно используемая с 2025 года, работает иначе. Вредоносное приложение создаёт на телефоне жертвы не ретранслятор, а полноценный клон карты-дропа — заранее подготовленной мошеннической карты. Затем злоумышленники под предлогом защиты от кражи убеждают человека положить деньги на «безопасный счёт» через банкомат. Когда жертва подносит свой телефон к банкомату для авторизации, мошенник дистанционно транслирует на него данные своей карты-дропа. В результате все внесённые наличные зачисляются на счёт преступников. Для антифрод-систем банка такая операция выглядит абсолютно легитимной, что серьёзно затрудняет её обнаружение.
Эксперты отмечают, что популярности схемы способствует ситуация с официальными магазинами приложений. После ухода крупных компаний и введения санкций многие легальные банковские и государственные приложения стали менее доступны, что заставляет пользователей легче соглашаться на установку программ из сторонних источников, чем и пользуются мошенники.
Как защитить себя: правила цифровой гигиены
В условиях роста технологически сложных атак личная бдительность остаётся главным щитом. Эксперты по кибербезопасности дают ряд конкретных рекомендаций, которые сведут риск стать жертвой к минимуму.
Первое и самое важное правило — никогда не устанавливать приложения из непроверенных источников. Легитимные программы банков и государственных сервисов следует скачивать только с официальных сайтов организаций или из доверенных каталогов. Если ссылку прислали в SMS или сообщили по телефону, это почти гарантированно ловушка.
Крайне важно никогда и ни при каких условиях не сообщать посторонним лицам или вводным полям в подозрительных приложениях PIN-коды, CVV/CVC-коды карт, а также одноразовые SMS-пароли. Ни один настоящий сотрудник банка или госслужбы никогда не запросит эту информацию.
Простой, но чрезвычайно эффективной мерой безопасности является отключение функции NFC на смартфоне, когда она не используется для оплат. Как отмечает Сергей Белов из Positive Technologies, это действие «кардинально снижает риск любого бесконтактного взаимодействия, включая считывание или эмуляцию карты».
Для дополнительной защиты стоит активировать двухфакторную аутентификацию для входа в банковские приложения, используя для этого не SMS, а более безопасные методы, такие как push-уведомления или токены в специальных приложениях-аутентификаторах. Также полезно завести отдельную виртуальную или дополнительную карту с ограниченным лимитом для онлайн-платежей и экспериментов с новыми сервисами.
Банковскому сообществу также предстоит усилить работу. Эксперты указывают на необходимость доработки антифрод-систем, которые должны активнее учитывать географические и временные аномалии в операциях, а также вводить обязательные задержки для переводов новым получателям на крупные суммы.
Появление и массовое распространение таких сложных мошеннических схем, как атака с помощью NFCGate, — тревожный сигнал. Он показывает, что киберпреступники не только идут в ногу с технологиями, но и умело эксплуатируют пробелы в цифровой грамотности и изменяющуюся цифровую среду. В этой ситуации осведомлённость и разумная осторожность пользователя становятся критически важным последним рубежом обороны для его собственных финансов.
