NFC skimming saldırıları

NFC ve akıllı telefon ödemelerinin kolaylığı sayesinde, birçok kişi artık cüzdan taşımıyor veya banka kartı PIN kodlarını hatırlamıyor. Tüm kartları bir ödeme uygulamasında saklanıyor ve bu uygulamayı kullanmak fiziksel kartı aramaktan daha hızlı. Mobil ödemeler de güvenli. Bu teknoloji nispeten yakın zamanda geliştirildi ve çok sayıda dolandırıcılık önleme koruması içeriyor. Yine de suçlular, NFC’yi kötüye kullanmak ve paranızı çalmak için çeşitli yöntemler icat etmiş durumda. Neyse ki, paranızı korumak çok basit: Bu hileleri öğrenin ve riskli NFC kullanım senaryolarından kaçının.

NFC aktarımı ve NFCGate nedir?

NFC aktarımı, bir kaynak (banka kartı gibi) ile alıcı (ödeme terminali gibi) arasında kablosuz olarak iletilen verilerin bir ara cihaz tarafından yakalanıp gerçek zamanlı olarak başka bir cihaza aktarılması tekniğidir. İnternet üzerinden birbirine bağlı iki akıllı telefonunuz olduğunu ve her birinde bir aktarım uygulaması yüklü olduğunu hayal edin. Fiziksel bir banka kartını ilk akıllı telefona dokundurup ikinci akıllı telefonu bir terminale veya ATM’ye yaklaştırırsanız, ilk akıllı telefondaki aktarım uygulaması NFC kullanarak kartın sinyalini okur ve bunu gerçek zamanlı olarak ikinci akıllı telefona aktarır, ardından ikinci akıllı telefon bu sinyali terminale iletir. Terminalin bakış açısından, kart fiziksel olarak başka bir şehirde veya ülkede olsa bile, gerçek bir kart okunmuş gibi görünür.

Bu teknoloji başlangıçta suç için yaratılmamıştı. NFCGate uygulaması, Almanya’daki Darmstadt Teknik Üniversitesi öğrencileri tarafından geliştirildikten sonra 2015 yılında bir araştırma aracı olarak ortaya çıktı ve NFC trafiğini analiz etmek ve hata ayıklamak, ayrıca eğitim amaçlı ve temassız teknoloji ile deneyler yapmak için tasarlanmıştı. NFCGate, açık kaynaklı bir çözüm olarak dağıtıldı ve akademik çevrelerde ve meraklılar arasında kullanıldı.

Beş yıl sonra, siber suçlular NFC aktarımının potansiyelini fark ettiler ve NFCGate’i; kötü amaçlı bir sunucu üzerinden çalışmasına, kendisini yasal bir yazılım gibi göstermesine ve sosyal mühendislik senaryoları gerçekleştirmesine olanak tanıyan modlar ekleyerek değiştirmeye başladılar.

Bir araştırma projesi olarak başlayan bu çalışma, banka kartlarına fiziksel erişim olmadan banka hesaplarını boşaltmayı amaçlayan bir dizi saldırının temelini oluşturdu.

Kötüye kullanım geçmişi

Değiştirilmiş NFCGate kullanılarak gerçekleştirilen ilk belgelenmiş saldırılar 2023 yılının sonlarında Çek Cumhuriyeti’nde meydana geldi. 2025 yılının başlarında, sorun büyük ölçekli ve göze çarpan bir hal aldı: Siber güvenlik analistleri, NFCGate çerçevesine dayalı 80’den fazla benzersiz kötü amaçlı yazılım örneği ortaya çıkardı. Saldırılar hızla gelişti ve NFC aktarım yetenekleri diğer kötü amaçlı yazılım bileşenlerine entegre edildi.

2025 yılının Şubat ayına kadar, CraxsRAT ve NFCGate’i birleştiren kötü amaçlı yazılım paketleri ortaya çıktı ve saldırganların kurbanların minimum etkileşimi ile aktarıcıyı kurup yapılandırmasına olanak tanıdı. 2025 ilkbaharında, NFCGate’in “ters” versiyonu olarak adlandırılan yeni bir plan ortaya çıktı ve saldırının yürütülüşünü temelden değiştirdi.

Özellikle dikkat çeken, Çek Cumhuriyeti’nde ilk kez tespit edilen RatOn Truva atıdır. Uzaktan akıllı telefon kontrolü ile NFC aktarım özelliklerini bir araya getirerek, saldırganların çeşitli teknik kombinasyonları kullanarak kurbanların bankacılık uygulamalarını ve kartlarını hedef almasına olanak tanır. Ekran yakalama, panoya veri aktarımı, SMS gönderme, kripto cüzdanlarından ve bankacılık uygulamalarından bilgi çalma gibi özellikler suçlulara geniş bir cephanelik sunar.

Siber suçlular ayrıca NFC aktarım teknolojisini hizmet olarak sunulan kötü amaçlı yazılım (MaaS) paketlerine dahil etmiş ve bunları abonelik yoluyla diğer tehdit aktörlerine satmaktadırlar. 2025 yılının başlarında, analistler İtalya’da SuperCard X olarak adlandırılan yeni ve gelişmiş bir Android kötü amaçlı yazılım saldırı kampanyası ortaya çıkardılar. SuperCard X kullanım girişimleri 2025 yılının Mayıs ayında Rusya’da ve aynı yılın Ağustos ayında Brezilya’da kaydedildi.

Direkt NFCGate saldırısı

Direkt saldırı, NFCGate’i kullanan orijinal suç planıdır. Bu senaryoda, kurbanın akıllı telefonu okuyucu rolünü üstlenirken, saldırganın telefonu kart emülatörü olarak işlev görür.

İlk olarak, dolandırıcılar kullanıcıyı, bankacılık hizmeti, sistem güncellemesi, “hesap güvenliği” uygulaması veya hatta TikTok gibi popüler bir uygulama gibi görünen kötü amaçlı bir uygulamayı yüklemeye ikna ederler. Yüklendikten sonra, uygulama hem NFC hem de internete erişim sağlar ve genellikle tehlikeli izinler veya kök erişimi talep etmez. Bazı sürümler ayrıca Android erişilebilirlik özelliklerine erişim izni ister.

Ardından, kimlik doğrulama bahanesiyle kurbanın banka kartını telefonuna dokundurması istenir. Bunu yaptıklarında, kötü amaçlı yazılım NFC aracılığıyla kart verilerini okur ve hemen suçluların sunucusuna gönderir. Veriler oradan para transferini gerçekleştiren bir kişinin elindeki ikinci bir akıllı telefona aktarılır ve bu kişi para kuryesi olarak paranın çekilmesine yardımcı olur. Bu telefon daha sonra kurbanın kartını taklit ederek bir terminalde ödeme yapar veya ATM’den nakit para çeker.

Kurbanın akıllı telefonundaki sahte uygulama, ödeme terminali veya ATM’de olduğu gibi kart PIN kodunu da ister ve bunu saldırganlara gönderir.

Saldırının ilk versiyonlarında, suçlular ATM’nin önünde telefonlarıyla hazır bekleyerek, dolandırılan kullanıcının kartını gerçek zamanlı olarak kullanıyordu. Daha sonra, kötü amaçlı yazılım geliştirilerek çalınan veriler gerçek zamanlı aktarım yerine gecikmeli, çevrimdışı modda mağaza içi alışverişlerde kullanılabilir hale getirildi.

Mağdur için hırsızlık fark edilmesi zor bir durumdur; kart hiçbir zaman elinden çıkmamıştır, kart ayrıntılarını manuel olarak girmesi veya söylemesi gerekmemiştir ve bankanın para çekme işlemleri hakkında gönderdiği uyarılar gecikebilir veya hatta kötü niyetli uygulama tarafından engellenebilir.

Direkt bir NFC saldırısından şüphelenmenizi gerektirecek uyarı işaretleri şunlardır:

• Resmi mağazalardan olmayan uygulamaları yüklemeyi önerir
• Banka kartınızı telefonunuza dokundurmanızı talep eder

Ters NFCGate saldırısı

Ters saldırı, daha yeni ve daha sofistike bir yöntemdir. Kurbanın akıllı telefonu artık kendi kartını okumaz, saldırganın kartını taklit eder. Mağdur için her şey tamamen güvenli görünür; kart ayrıntılarını söylemeye, kodları paylaşmaya veya kartı telefona dokundurmaya gerek yoktur.

Direkt saldırı yönteminde olduğu gibi, her şey sosyal mühendislikle başlar. Kullanıcı, “temassız ödemeler”, “kart güvenliği” veya hatta “merkez bankası dijital para birimini kullanma” için bir uygulama yüklemesini ikna eden bir arama veya mesaj alır. Yüklendikten sonra, yeni uygulama varsayılan temassız ödeme yöntemi olarak ayarlanmasını ister ve bu adım çok önemlidir. Bu sayede, kötü amaçlı yazılım kök erişimi gerektirmez, sadece kullanıcının onayı yeterlidir.

Kötü amaçlı uygulama daha sonra arka planda saldırganların sunucusuna sessizce bağlanır ve suçlulardan birine ait kartın NFC verileri kurbanın cihazına aktarılır. Bu adım kurban için tamamen görünmezdir.

Ardından, kurban bir ATM’ye yönlendirilir. “Güvenli bir hesaba para transfer etmek” veya “kendilerine para göndermek” bahanesiyle, telefonlarını ATM’nin NFC okuyucusuna dokundurmaları istenir. İşte bu anda ATM, saldırganın kartıyla etkileşime girer. PIN numarası, “yeni” veya “geçici” olduğu söylenerek kurbana önceden verilir.

Sonuç olarak, kurban tarafından yatırılan veya transfer edilen tüm para, suçluların hesabına aktarılır.

Bu saldırının belirgin özellikleri şunlardır:

• Varsayılan NFC ödeme yönteminizi değiştirme talepleri,
• “Yeni” bir PIN,
• ATM’ye gidip başka birinin talimatları doğrultusunda işlem yapmanızın istendiği her türlü durum.

NFC aktarım saldırılarından kendinizi nasıl koruyabilirsiniz?

NFC aktarımı saldırıları, teknik güvenlik açıklarından çok kullanıcıların güvenine dayanır. Bu tür saldırılara karşı savunma, bazı basit önlemlerle mümkün olabilir.

• Güvenilir temassız ödeme yönteminizi (Google Pay veya Samsung Pay gibi) varsayılan olarak ayarlamayı unutmayın.
• Başkasının isteği üzerine veya bir uygulamanın talimatı doğrultusunda asla banka kartınızı telefonunuza dokundurmayın. Yasal uygulamalar, kart numarasını taramak için kameranızı kullanabilir, ancak kendi kartınız için NFC okuyucuyu kullanmanızı asla istemezler.
• ATM’de tanımadığınız kişilerin talimatlarını asla uygulamayın, kim olduklarını iddia etseler de.
• Resmi olmayan kaynaklardan uygulama yüklemekten kaçının. Buna; mesajlaşma uygulamaları, sosyal medya, SMS yoluyla gönderilen veya telefon görüşmesi sırasında önerilen bağlantılar da dahildir; bu bağlantılar, müşteri desteği veya polis olduğunu iddia eden kişilerden gelmiş olsa bile.
• Android akıllı telefonlarınızda kapsamlı güvenlik kullanarak dolandırıcılık amaçlı aramaları engelleyin, kimlik avı sitelerine erişimi önleyin ve kötü amaçlı yazılımların yüklenmesini durdurun.
• Yalnızca resmi uygulama mağazalarını kullanın. Bir mağazadan indirme yaparken, uygulamanın yorumlarını, indirme sayısını, yayın tarihini ve derecelendirmesini kontrol edin.
• ATM kullanırken, işlem için akıllı telefonunuz yerine fiziksel kartınızı kullanın.
• Telefonunuzun NFC menüsündeki “Ödeme gecikmesi” ayarını düzenli olarak kontrol etmeyi alışkanlık haline getirin. Şüpheli uygulamalar görürseniz, bunları hemen kaldırın ve cihazınızda tam bir güvenlik taraması yapın.
• Erişilebilirlik izinlerine sahip uygulamaların listesini gözden geçirin, bu özellik, kötü amaçlı yazılımlar tarafından sıklıkla kötüye kullanılır. Şüpheli uygulamalar için bu izinleri iptal edin veya uygulamaları tamamen kaldırın.
• Bankalarınızın resmi müşteri hizmetleri numaralarını telefonunuzun rehberine kaydedin. En ufak bir dolandırıcılık şüphesi durumunda, gecikmeden doğrudan bankanızın acil yardım hattını arayın.
• Kartınızın ayrıntılarının ele geçirilmiş olabileceğinden şüpheleniyorsanız, kartınızı hemen bloke edin.