La diffusione globale dei pagamenti contactless tramite tecnologia NFC (Near Field Communication) ha semplificato la quotidianità economica di milioni di persone. Tuttavia, questo progresso tecnologico attira anche l’attenzione del cybercrimine internazionale.
A partire dalla fine del 2023, ESET ha rilevato una campagna malware sofisticata con origini in Europa orientale; però, rapidamente ha acquisito una portata globale. Il bersaglio: i dati NFC utilizzati per i pagamenti digitali. Purtroppo gli attacchi registrati nel primo semestre del 2025 mostrano un incremento superiore a 35 volte rispetto ai sei mesi precedenti.
Le tecniche impiegate combinano phishing tradizionale, social engineering e sofisticati strumenti per la manipolazione NFC. In questo modo, si crea uno scenario in cui anche gli utenti più attenti possono caderne vittima.
Tecnica d’attacco e diffusione del malware NGate
Il vettore d’attacco iniziale sfrutta SMS di phishing, mascherati da notifiche bancarie, che reindirizzano a Progressive Web App malevole. Queste applicazioni, camuffate da app legittime, sfuggono ai controlli degli app store; quindi, inducono le vittime a inserire le proprie credenziali bancarie. In una seconda fase, i truffatori contattano telefonicamente la vittima fingendosi impiegati della banca, con l’obiettivo di far scaricare un’app aggiuntiva: NGate.
Questo malware è basato sulla tecnologia NFCGate, sviluppata originariamente a scopo di ricerca dall’Università Tecnica di Darmstadt. Una volta installato, NGate invita la vittima a poggiare la carta di pagamento sul retro del telefono, con la scusa di una verifica PIN o aggiornamento di sicurezza. Il malware intercetta i dati NFC in tempo reale e li inoltra a un’infrastruttura remota gestita dai cybercriminali; si crea così un “ponte” virtuale tra il dispositivo della vittima e quello dell’attaccante.
Questa tecnica consente di clonare la carta e utilizzarla per transazioni fraudolente, senza mai doverla sottrarre fisicamente. Con l’evoluzione dell’attacco, è nato lo scenario “Ghost Tap“: intere “fattorie” di dispositivi Android caricate con dati di carte compromesse sono programmate per effettuare pagamenti automatici in tutto il mondo, ampliando la portata dell’attacco ben oltre il singolo bersaglio iniziale.
Rischi e implicazioni per i pagamenti NFC
L’attacco con NGate e Ghost Tap colpisce al cuore la fiducia nei pagamenti digitali. Nonostante i sistemi NFC siano protetti da cifratura e tokenizzazione, l’inganno non avviene sul piano tecnologico ma su quello umano. Il crimine sfrutta le vulnerabilità psicologiche, la fiducia verso istituzioni bancarie e la disattenzione durante la navigazione online.
Le conseguenze possono essere gravi: accesso illecito ai conti, transazioni non autorizzate, furto d’identità digitale. Poiché la frode avviene mediante un’app che la vittima installa volontariamente, le misure tradizionali di sicurezza possono risultare inefficaci. Inoltre, il fatto che le operazioni siano condotte su circuiti legittimi rende difficile per le banche individuare tempestivamente l’anomalia.
La crescita del mercato NFC, prevista a superare i 30 miliardi di dollari entro il 2029, implica che simili minacce possano intensificarsi, seguendo l’espansione stessa della tecnologia.
Strategie di difesa e soluzioni tecnologiche
La prima barriera resta l’educazione alla sicurezza informatica; ovvero, riconoscere i messaggi di phishing, evitare l’installazione di app sconosciute e verificare sempre l’autenticità delle comunicazioni ricevute. Anche limitare i massimali dei pagamenti contactless, quando possibile, aggiunge un ulteriore livello di protezione. Così come l’uso di blocchi RFID può aiutare a contenere il rischio in ambienti pubblici.
A livello software, l’adozione di soluzioni di sicurezza avanzate che includono rilevamento basato su firme, anti-phishing, protezione dei pagamenti e audit delle autorizzazioni, agisce su più fronti. Blocca link malevoli, impedisce il funzionamento di app dannose e controlla i permessi concessi alle applicazioni installate. Un buon antivirus non solo identifica NGate ma può bloccare l’attacco prima ancora che si concretizzi.
In definitiva, non è necessario rinunciare alla comodità dei pagamenti NFC. Serve però un cambio di mentalità: la sicurezza non è più opzionale.
Pagamenti NFC: conclusione
La campagna malware basata su NGate dimostra come una tecnologia legittima possa essere piegata a fini criminali. Il passaggio da un attacco localizzato in Europa dell’Est a una minaccia globale è avvenuto in meno di due anni.
Tuttavia, il vero punto debole non risiede nei protocolli NFC, ma nell’interazione tra umani e dispositivi digitali. Il phishing, le app camuffate e le telefonate ingannevoli restano oggi tra i mezzi più efficaci per compromettere anche i sistemi più protetti. Le contromisure esistono, ma devono essere adottate attivamente da chiunque utilizzi tecnologie contactless.
