Ayer informé de que una nueva clase de ataque de phishing está utilizando aplicaciones web progresivas (PWA) dirigidas específicamente a los usuarios de Android, que roban las credenciales de inicio de sesión para acceder a las cuentas bancarias. Una actualización del informe original dice que algunos de los mismos ataques de phishing también están utilizando malware para robar información NFC, lo que les permite «clonar» teléfonos y utilizarlos para el robo a través de pagos sin contacto y cajeros automáticos. La configuración utiliza los mismos vectores familiares que los ataques PWA, enviando mensajes de texto y correos electrónicos masivos tratando de que los usuarios instalen una aplicación web ficticia que refleja una cuenta bancaria, y luego recolectando esos datos para realizar transferencias ilícitas. En algunos casos observados por ESET en marzo de este año, los piratas informáticos habían utilizado las mismas técnicas para hacer que los usuarios instalaran aplicaciones basadas en la vulnerabilidad NFC de NGate. Esto les permitió duplicar los sistemas utilizados para verificar a los usuarios a través del sistema de pago NFC instalado en prácticamente todos los teléfonos inteligentes modernos e integrado en la mayoría de las tarjetas de débito y crédito. Luego podían transferir esas credenciales a un teléfono separado y acceder a las interfaces de pago con toque para tiendas minoristas o cajeros automáticos. En marzo, un sospechoso fue arrestado en Praga por hacer exactamente eso, aparentemente usando credenciales NFC robadas para hacer retiros de efectivo de cajeros automáticos. Fue atrapado con 166.000 coronas checas en su persona, aproximadamente $6500 USD o 6000 euros. El ataque detallado por ESET y Bleeping Computer es sofisticado. El malware tiene que guiar a la víctima a través de varios pasos para capturar datos NFC, incluyendo escanear su propia tarjeta de débito con su teléfono. En ese punto, copia la autenticación NFC de la tarjeta (no del teléfono, aunque a menudo está vinculada a la misma cuenta) y envía esa información al atacante. Aunque en realidad falsificar la información NFC requiere algunas habilidades técnicas, el teléfono de la víctima no necesita ser rooteado o modificado, solo comprometido con una aplicación maliciosa. ESET pudo recrear este ataque con teléfonos rooteados específicos. ESET cree que la parte de los ataques de malware dirigidos específicamente a los datos NFC de los usuarios se ha detenido después del arresto en marzo. Pero estas técnicas suelen propagarse rápidamente entre los delincuentes: las herramientas NFC que se utilizan fueron desarrolladas por primera vez por estudiantes de la Universidad Técnica de Darmstadt en Alemania en 2017, y solo recientemente se adaptaron para el robo. Para protegerse de este tipo de ataques, siempre desconfíe de los mensajes «bancarios» o financieros de remitentes que no conoce y no siga los enlaces directos en esos correos electrónicos o mensajes de texto. Si se entera de algún problema con su información bancaria o fiscal, vaya al sitio correspondiente en un navegador separado para verificarlo, no ingrese su información de inicio de sesión en esa cadena de mensajes ni en ningún sitio vinculado. Y, por supuesto, no instale aplicaciones (o aplicaciones web progresivas) de fuentes no verificadas.