NFC
بفضل سهولة تقنية NFC ومدفوعات الهواتف الذكية، لم يعد الكثيرون يحملون محافظهم أو يتذكرون الرموز السرية لبطاقاتهم البنكية. وباتت جميع بطاقاتهم مخزنة داخل تطبيقات الدفع، والتي يعد استخدامها أسرع من البحث عن بطاقة بلاستيكية. وعلى الرغم من أن المدفوعات عبر الهاتف آمنة – كونها تقنية حديثة نسبيًا وتتضمن تدابير عديدة لمكافحة الاحتيال. لكن المجرمين ابتكروا طرقًا عدة لاستغلال NFC وسرقة الأموال. ولحسن الحظ، فإن حماية أموالك عملية بسيطة: كل ما عليك هو الإلمام بهذه الحيل وتجنب سيناريوهات استخدام NFC المحفوفة بالمخاطر.
ما هي تقنية ترحيل NFC وNFCGate؟
ترحيل NFC هو تقنية يتم من خلالها اعتراض البيانات المرسلة لاسلكيًا بين المصدر (مثل بطاقة بنكية) وجهاز الاستقبال (مثل ماكينة الدفع) بواسطة جهاز وسيط، ثم ترحيلها في الوقت الفعلي إلى جهاز آخر. تخيل أنه يوجد لديك هاتفين ذكيين متصلين عبر الإنترنت، وكلاهما مثبت عليه تطبيق للترحيل. وإذا قمت بتمرير بطاقة بنكية فعلية فوق الهاتف الأول وقربت الهاتف الثاني من ماكينة دفع أو صراف آلي، سيقوم تطبيق الترحيل على الهاتف الأول بقراءة إشارة البطاقة عبر تقنية NFC، ويرحلها فورًا إلى الهاتف الثاني الذي بدوره سيبث هذه الإشارة إلى الماكينة. ومن منظور ماكينة الدفع، سيبدو الأمر وكأن بطاقة حقيقية قد مُررت فوقها تمامًا – رغم أن البطاقة نفسها قد تكون موجودة فعليًا في مدينة أو دولة أخرى.
لم تُبتكر هذه التقنية في الأصل لأغراض إجرامية. وقد ظهر تطبيق NFCGate عام 2015 كأداة بحثية بعد أن طوره طلاب في جامعة دارمشتات التقنية بألمانيا. وكان الهدف منه تحليل وحل مشكلات حركة بيانات NFC، بالإضافة إلى الأغراض التعليمية وإجراء التجارب على التقنيات اللاتلامسية. وقد جرى توزيع NFCGate كحل مفتوح المصدر، حيث استُخدم على نطاق واسع في الأوساط الأكاديمية وبين الهواة المتحمسين.
بعد مرور خمس سنوات، أدرك مجرمو الإنترنت الإمكانات الكامنة في ترحيل NFC، وبدأوا في تعديل تطبيق NFCGate عبر إضافة تعديلات برمجية تسمح له بالعمل من خلال خادم خبيث، والتخفي في هيئة برامج شرعية، وتنفيذ سيناريوهات الهندسة الاجتماعية.
هكذا تحول ما بدأ كشروع بحثي إلى حجر الأساس لفئة كاملة من الهجمات التي تهدف إلى استنزاف الحسابات البنكية دون الحاجة للوصول المادي إلى البطاقات.
تاريخ من إساءة الاستخدام
وقعت أولى الهجمات الموثقة باستخدام نسخة معدلة من NFCGate في أواخر عام 2023 في جمهورية التشيك. وبحلول أوائل عام 2025، تفاقمت المشكلة لتصبح واسعة النطاق وملحوظة؛ حيث اكتشف محللو الأمن الإلكتروني أكثر من 80 عينة فريدة من البرامج الضارة المبنية على هيكل NFCGate. وتطورت الهجمات بسرعة كبيرة، مع دمج قدرات ترحيل NFC ضمن مكونات برامج ضارة أخرى.
بحلول فبراير 2025، ظهرت حزم برامج ضارة تدمج بين CraxsRAT وNFCGate، مما أتاح للمهاجمين تثبيت أداة الترحيل وإعدادها بأقل قدر من التفاعل من قِبل الضحية. وفي ربيع عام 2025، ظهر مخطط جديد يُعرف بالنسخة “العكسية” من تطبيق NFCGate، وهو ما أحدث تغييرًا جذريًا في آلية تنفيذ الهجوم.
من الجدير بالذكر بشكل خاص فيروس حصان طروادة المعروف باسم RatOn، الذي رُصد لأول مرة في جمهورية التشيك. ويجمع هذا الفيروس بين التحكم عن بُعد في الهاتف الذكي وقدرات ترحيل NFC، مما يتيح للمهاجمين استهداف التطبيقات والبطاقات البنكية للضحايا عبر مزيج من التقنيات المختلفة. وبفضل ميزات مثل تصوير الشاشة، والتلاعب ببيانات الحافظة، وإرسال الرسائل النصية، وسرقة المعلومات من محافظ العملات المشفرة والتطبيقات المصرفية، أصبح لدى المجرمين ترسانة واسعة من أدوات الاختراق.
قام مجرمو الإنترنت أيضًا بتعبئة تقنية ترحيل NFC ضمن عروض البرامج الضارة كخدمة (MaaS)، وإعادة بيعها لجهات تهديد أخرى عبر اشتراكات مدفوعة. وفي أوائل عام 2025، كشف المحللون عن حملة برامج ضارة جديدة ومتطورة تستهدف أجهزة Android في إيطاليا، أُطلق عليها اسم SuperCard X. وقد سُجلت محاولات لنشر SuperCard X في روسيا في مايو 2025، وفي البرازيل في أغسطس من العام نفسه.
هجوم NFCGate المباشر
يُعد الهجوم المباشر هو المخطط الإجرامي الأصلي الذي استغل تطبيق NFCGate. وفي هذا السيناريو، يلعب هاتف الضحية الذكي دور القارئ، بينما يعمل هاتف المهاجم كجهاز محاكاة للبطاقة.
في البداية، يستدرج المحتالون المستخدم لتثبيت تطبيق ضار يتخفى في هيئة خدمة بنكية، أو تحديث للنظام، أو تطبيق لأمان الحساب، أو حتى تطبيق شهير مثل TikTok. وبمجرد تثبيته، يحصل التطبيق على صلاحية الوصول إلى كل من تقنية NFC والإنترنت – غالبًا ما يتم ذلك دون طلب أذونات خطيرة أو صلاحيات الجذر. وتطلب كذلك بعض الإصدارات الوصول إلى ميزات إمكانية الوصول في نظام Android.
بعد ذلك، وتحت ذريعة التحقق من الهوية، يُطلب من الضحية تمرير بطاقته البنكية فوق الهاتف. وعندما يفعلون ذلك، يقرأ البرنامج الضار بيانات البطاقة عبر تقنية NFC ويرسلها على الفور إلى خادم المجرمين. ومن هناك، يتم ترحيل المعلومات إلى هاتف ذكي ثانٍ يحمله وسيط أموال يساعد في عملية الاستيلاء على المبالغ. ويقوم هذا الهاتف بعد ذلك بمحاكاة بطاقة الضحية لإتمام عمليات دفع عبر ماكينات البيع أو سحب نقود من الصراف الآلي.
يطلب التطبيق المزيف الموجود على هاتف الضحية الرمز السري للبطاقة (PIN) – تمامًا كما يحدث عند استخدام ماكينة الدفع أو الصراف الآلي – ثم يرسله إلى المهاجمين.
في النسخ الأولى من هذا الهجوم، كان المجرمون يقفون ببساطة مستعدين أمام أجهزة الصراف الآلي حاملين هواتفهم لاستخدام بطاقة المستخدم المخترقة في الوقت الفعلي. ولاحقًا، جرى تطوير البرامج الضارة بحيث يمكن استخدام البيانات المسروقة لإجراء عمليات شراء داخل المتاجر في وضع غير متصل بالإنترنت وبشكل مؤجل، بدلاً من الاعتماد على الترحيل المباشر واللحظي.
بالنسبة للضحية، يصعب ملاحظة عملية السرقة؛ فالبطاقة لم تفارق حوزته أبدًا، ولم يضطر لإدخال بياناتها يدويًا أو تلاوتها لأحد، كما أن تنبيهات البنك بشأن عمليات السحب قد تتأخر أو حتى يتم اعتراضها بواسطة التطبيق الضار نفسه.
من بين العلامات التحذيرية التي تثير الشك في وجود هجوم NFC مباشر:
- ظهور مطالبات لتثبيت تطبيقات من خارج المتاجر الرسمية؛
- ظهور طلبات لملامسة البطاقة البنكية بظهر الهاتف.
هجوم NFCGate العكسي
يُعد الهجوم العكسي مخططًا أحدث وأكثر تطورًا. وفيه لا يقرأ هاتف الضحية بطاقته، بل يحاكي بطاقة المهاجم. وبالنسبة للضحية، يبدو كل شيء آمنًا تمامًا، إذ لا توجد حاجة لقراءة تفاصيل البطاقة، أو مشاركة الرموز، أو حتى لمس البطاقة بالهاتف.
تمامًا كما هو الحال في المخطط المباشر، يبدأ كل شيء بالهندسة الاجتماعية. يتلقى المستخدم مكالمة أو رسالة تقنعه بتثبيت تطبيق للمدفوعات اللاتلامسية، أو أمن البطاقات، أو حتى “استخدام العملة الرقمية للبنك المركزي”. وبمجرد التثبيت، يطلب التطبيق الجديد تعيينه كوسيلة دفع افتراضية – وهذه الخطوة بالغة الأهمية. وبفضلها، لا يحتاج البرنامج الضار إلى صلاحيات الجذر، بل يكتفي بموافقة المستخدم فقط.
يتصل التطبيق الضار بعد ذلك بصمت بخادم المهاجمين في الخلفية، حيث يتم نقل بيانات NFC الخاصة ببطاقة تعود لأحد المجرمين إلى جهاز الضحية. وتعد هذه الخطوة غير مرئية تمامًا بالنسبة للمستخدم.
بعد ذلك، يتم توجيه الضحية إلى جهاز صراف آلي. وتحت ذريعة “تحويل الأموال إلى حساب آمن” أو “إرسال أموال لنفسه”، يتلقى تعليمات بلمس هاتفه على قارئ NFC الخاص بالصراف الآلي. وفي هذه اللحظة، يتفاعل الصراف الآلي في الواقع مع بطاقة المهاجم. أما الرمز السري (PIN)، فيتم إملاؤه على الضحية مسبقًا، ويُقدّم له على أنه رمز “جديد” أو “مؤقت”.
النتيجة هي أن ذهاب كل الأموال التي أودعها الضحية أو قام بتحويلها في نهاية المطاف إلى حسابات المجرمين.
تعد السمات المميزة لهذا الهجوم كما يلي:
- طلبات لتغيير طريقة الدفع الافتراضية الخاصة بك عن طريق NFC؛
- رمز سري (PIN( “جديد”؛
- أي سيناريو يُطلب منك فيه الذهاب إلى ماكينة الصراف الآلي وتنفيذ الإجراءات هناك بموجب تعليمات شخص آخر.
كيف تحمي نفسك من هجمات ترحيل NFC
لا تعتمد هجمات ترحيل NFC على الثغرات الفنية بقدر ما تعتمد على ثقة المستخدم. ولذا، فإن الدفاع ضدها يتلخص في اتباع بعض الاحتياطات البسيطة.
- تأكد من الاحتفاظ بوسيلة الدفع اللاتلامسية الموثوقة (مثل Google Pay أو Samsung Pay) كخيار افتراضي في هاتفك.
- لا تلمس بطاقتك البنكية بهاتفك أبدًا بناءً على طلب شخص آخر، أو لأن تطبيقًا ما يطلب منك ذلك. وقد تستخدم التطبيقات الشرعية الكاميرا لمسح رقم البطاقة، لكنها لن تطلب منك أبدًا استخدام قارئ NFC لبطاقتك الخاصة.
- لا تتبع أبدًا أي تعليمات من غرباء عند ماكينة الصراف الآلي (ATM)، بغض النظر عن الصفة التي يدّعونها.
- تجنب تثبيت التطبيقات من مصادر غير رسمية. ويشمل ذلك الروابط المرسلة عبر تطبيقات المراسلة، أو وسائل التواصل الاجتماعي، أو الرسائل النصية (SMS)، أو تلك التي يُوصى بها خلال مكالمة هاتفية – حتى لو كانت مرسلة من شخص يزعم أنه من خدمة العملاء أو من الشرطة.
- استخدم حلول أمان شامل على الهواتف الذكية التي تعمل بنظام Android لحظر المكالمات الاحتيالية ومنع الزيارات إلى مواقع التصيد الاحتيالي وإيقاف تثبيت البرامج الضارة.
- التزم بالتنزيل من متاجر التطبيقات الرسمية فقط. وعند التنزيل من متجر، تحقق من مراجعات التطبيق وعدد التنزيلات وتاريخ النشر والتصنيف.
- عند استخدام ماكينة الصراف الآلي، اعتمد على بطاقتك الفعلية بدلاً من هاتفك الذكي لإجراء المعاملة.
- اجعل من عادتك التحقق بانتظام من إعداد “وسيلة الدفع الافتراضية”في قائمة إعدادات NFC على هاتفك. وإذا رأيت أي تطبيقات مريبة مدرجة، فقم بإزالتها على الفور وقم بتشغيل فحص أمني كامل على جهازك.
- راجع قائمة التطبيقات التي تتضمن أذونات إمكانية الوصول – هذه ميزة يتم إساءة استخدامها بشكل شائع بواسطة البرامج الضارة. وقم إما بإلغاء هذه الأذونات لأي تطبيقات مشبوهة أو قم بإلغاء تثبيتها تمامًا.
- احفظ أرقام خدمة العملاء الرسمية لبنوكك في جهات اتصال هاتفك. وعند أدنى إشارة إلى حدوث تلاعب، اتصل بالخط الساخن للبنك الذي تتعامل معه مباشرة دون تأخير.
- وإذا كنت تشك في احتمال تعرض تفاصيل بطاقتك للاختراق، فاحظر البطاقة على الفور.
النصائح