Executive Summary

Ghost-Tapping ist ein relativ neuer und beliebter Angriffsvektor, der hauptsächlich von chinesischsprachigen Bedrohungsakteuren verwendet wird, die NFC-Relaistaktiken (Near Field Communication) verwenden, um Betrug im Einzelhandel zu begehen, indem sie gestohlene Zahlungskartendaten verwenden, die mit mobilen Zahlungsdiensten (wie Apple Pay und Google Pay) verknüpft sind. Diese Technik ermöglicht es diesen Bedrohungsakteuren, Maultieren gestohlene Zahlungskartendaten zur Verfügung zu stellen, die mit kontaktlosen Zahlungssystemen verbunden sind, um physische Güter zu erhalten und schließlich gestohlene Waren gewinnbringend zu transportieren und weiterzuverkaufen. Die Analysten der Insikt Group identifizierten einen der wichtigsten Bedrohungsakteure auf Telegram, @webu8, indem sie Burner-Telefone und Ghost-Taping-Dienste für chinesischsprachige Bedrohungsgruppen (im Folgenden als Syndikate bezeichnet) bewarben und mit Bedrohungsakteuren zusammenarbeiteten, die an Betrugskampagnen im Einzelhandel beteiligt waren. Obwohl Huione Guarantee, ein auf Telegram basierender krimineller Marktplatz, ankündigte, seinen Betrieb am 13. Mai 2025 einzustellen, haben wir beobachtet, dass Cyberkriminelle und Syndikate seitdem die bestehende massive dezentrale Infrastruktur von Huione Guarantee auf Telegram nutzen, um Geschäfte zu tätigen. Chinesischsprachige Cyberkriminelle haben sich auch auf die Plattformen Xinbi Guarantee und Tudou Guarantee als One-Stop-Shops umgestellt, um Ghost-Tapping-, Transport-, Wiederverkäufer- und Geldwäsche-Maultiere zu rekrutieren. Wir glauben, dass etablierte, in Südostasien ansässige kriminelle Gruppen, die seit 2020 in betrügerische Aktivitäten (u. a. Romantik, Investitionsbetrug und Kryptomining) verwickelt sind, damit begonnen haben und auch weiterhin Ghost-Taping-Kampagnen in ihre Aktivitäten einbeziehen werden, um finanzielle Gewinne zu erzielen.

Dieser Bericht enthält die wichtigsten Ergebnisse unserer Zusammenarbeit mit Bedrohungsakteuren, die Analyse von Videodemonstrationen, die das Abhören von Geistern und kontaktlose Abhebungen von Geldautomaten zeigen, Open-Source-Forschung und Ratschläge zur Strafverfolgung, um das chinesische Ökosystem des Geisterabhörens zu erklären. Die Insikt Group geht davon aus, dass Ghost-Taping-Kampagnen schwer zu erkennen sind, da es in Einzelhandelsgeschäften an Know-Your-Customer-Maßnahmen (KYC) mangelt und weil Syndikate Maultiere, die sich als Touristen ausgeben, zum Kauf physischer Güter und zum gewinnbringenden Weiterverkauf schicken können. Diese Kampagnen können sich negativ auf Einzelhandelsgeschäfte, Banken, Anbieter kontaktloser Zahlungen und Versicherungsgesellschaften auswirken, da nicht autorisierte Zahlungskartentransaktionen von Zahlungskarteninhabern durchgeführt werden. Obwohl in Singapur aufgrund von hochkarätigen Verhaftungen weithin über Geisterabhörkampagnen berichtet wurde, können diese Kampagnen auf globaler Ebene durchgeführt werden.

Wichtige Erkenntnisse

• Chinesischsprachige Cyberkriminelle nutzen die Automatisierung, um gestohlene Zahlungskarteninformationen zu kontaktlosen Zahlungsgeldbörsen hinzuzufügen, Brennertelefone zu verkaufen und eine nicht näher spezifizierte Peripheriesoftware bereitzustellen, die in der Lage ist, Zahlungskartendaten an separate mobile Geräte an mehrere chinesischsprachige Verbrechersyndikate weiterzuleiten. Syndikate können auch Burner-Telefone an diese Cyberkriminellen zurücksenden, um sie für zukünftige Betrugskampagnen im Einzelhandel zu recyceln.
• Bedrohungsakteure, die an Ghost-Taping-Aktivitäten beteiligt sind, behaupten, dass die Technik weltweit funktionieren kann, wobei einige Gruppen wahrscheinlich in Kambodscha und China ansässig sind. Im Rahmen unserer Engagements haben wir einige Bedrohungsakteure identifiziert, die nur im Inland in China und an anderen spezifischen geografischen Standorten wie Singapur, Malaysia, Thailand und den Philippinen tätig sind.
• Viele kriminelle Gruppen verwenden Ghost-Taping-Techniken, um Abhebungen an Geldautomaten durchzuführen und Luxusgüter wie Schmuck und Mobiltelefone in Einzelhandelsgeschäften zu kaufen. Sobald diese Waren gekauft wurden, verkaufen Bedrohungsakteure sie gegen Bargeld auf Telegram-Kanälen wie Tudou Guarantee, Xinbi Guarantee und Huione Guarantee weiter.
• Aufgrund der großen Anzahl von Anzeigen über Ghost-Taping-Kampagnen und die Rekrutierung von Maultieren zum Kauf physischer Güter mit Ghost-Taping-Techniken auf der Huione-Garantie, der Xinbi-Garantie und den Tudou-Garantien glauben wir, dass eine große Anzahl von physischen Gütern, die auf diesen chinesischen Cybercrime-Marktplätzen verkauft werden, durch Ghost-Taping-Techniken erlangt werden.

Hintergrund

"Ghost Tap" ist ein Begriff, der von Threat Fabric geprägt wurde . Es beschreibt eine Taktik, die Bedrohungsakteure anwenden, um Geld auszuzahlen, nachdem sie Kreditkartendaten gestohlen haben, die mit mobilen Zahlungsdiensten (wie Google Pay oder Apple Pay) verknüpft sind. Es geht auch um die Weiterleitung von NFC-Verkehr, bei dem Cyberkriminelle gestohlene Zahlungskarten phishing oder beschaffen und auf mobile Geldbörsen laden, die dann für betrügerische Transaktionen verwendet werden. Die Insikt Group definiert Ghost-Tapping als NFC-Relay-Betrug; Beim Ghost-Tapping nutzen Kriminelle mobile Geräte, um Zahlungsinformationen von der Karte oder dem Gerät eines Opfers an ein Zahlungsterminal weiterzuleiten, ohne dass das Opfer davon weiß. Sobald die Zahlungskarteninformationen gestohlen und in mobile Geldbörsen geladen werden, können Kriminelle ein NFC-Signal mit Zahlungskarteninformationen an ein anderes Telefon übertragen und den Vorgang skalieren, was den Betrug im Zusammenhang mit mobilen Geldbörsen erheblich fördern kann.

Das Payment Fraud Intelligence-Team von Recorded Future hat einen Bericht mit dem Titel "Mobile Wallet, Phishing, and Scam Nexus Supports Globally Distributed Card Fraud" veröffentlicht. Die Ergebnisse des Berichts zeigen, dass NFC-Relay-Betrug eine aufkommende und effektive Angriffsmethode ist, die es Cyberkriminellen ermöglicht, nicht autorisierte Transaktionen mit gestohlenen Zahlungskartendaten durchzuführen. Bedrohungsakteure nutzen Phishing-Kampagnen und Malware, um Zahlungskarten zu kompromittieren und Einmalpasswörter (OTPs) abzufangen, die oft für das Hinzufügen dieser Karten zu mobilen Geldbörsen unerlässlich sind. Durch die Verwendung von Open-Source-NFC-Relay-Tools wie NFCGate können Angreifer tokenisierte Kartendaten in Echtzeit an andere mobile Geräte übertragen oder weiterleiten. Diese Methode ermöglicht es Bedrohungsgruppen, die überall auf der Welt ansässig sind:

• Verwalten Sie Phishing-Kampagnen zentral, um Zahlungskarten von Opfern im Ausland zu kompromittieren und die Karten in betrügerischer Absicht in mobilen Geldbörsen unter ihrer Kontrolle zu aktivieren
• Leiten Sie den NFC-Verkehr von kompromittierten Zahlungskarten, die über mobile Geldbörsen bereitgestellt werden, an Geldkuriere weiter, die in den Ländern der Opfer betrügerische Transaktionen mit Tap-to-Pay-Karten durchführen

Ghost-Taping-Kampagnen bestehen aus Cyber- und physischen Elementen, die die Zusammenarbeit von Cyberkriminellen und Syndikaten erfordern, damit das System erfolgreich ist. Diese Cyberkriminellen verwenden Phishing-Kampagnen, mobile Malware und Social-Engineering-Techniken, um an Zahlungskartendaten und Einmalpasswörter zu gelangen, um die Zahlungskartendaten der Opfer mit kontaktlosen Zahlungssystemen (wie Apple Pay und Google Pay) auf Brennertelefonen zu verknüpfen. Die Cyberkriminellen werden dann die mit Zahlungskarteninformationen geladenen Burner-Telefone verkaufen und proprietäre Software entwickeln, die in der Lage ist, Zahlungskartendaten an chinesischsprachige Syndikate für Ghost-Taping-Kampagnen weiterzuleiten. Im Wesentlichen erfüllen Cyberkriminelle nur das Cyber-Spektrum von Ghost-Taping-Kampagnen.

Syndikate sind etablierte kriminelle Gruppen, die versuchen, ihre illegal erworbenen Gewinne durch Ghost-Taping-Kampagnen zu waschen. Bei Ghost-Taping-Kampagnen besteht die Rolle von Syndikaten darin, eng mit Cyberkriminellen zusammenzuarbeiten, Maultiere anzuheuern, um physische Güter mit Brennertelefonen zu kaufen, die mit Zahlungskartendaten geladen sind, und schließlich die physischen Güter gegen Bargeld weiterzuverkaufen. Syndikate sind dafür verantwortlich, Maultiere anzuheuern, ihre eigenen Kontakte zu knüpfen, ihre Netzwerke und Lieferketten zu stärken, um Geld durch Ghost-Taping-Kampagnen zu waschen. Syndikate decken sowohl das Cyber- als auch das physische Spektrum von Ghost-Taping-Kampagnen ab. Im November 2024 berichtete die Straits Times, dass kriminelle Syndikate aus China bereits seit 2016 Stützpunkte in Ländern wie den Philippinen, Australien und Singapur eingerichtet haben, um ihre Gewinne aus illegalen Aktivitäten wie illegalen Online-Glücksspielen und Betrugskampagnen zu waschen.

Laut einem Threat Fabric-Bericht über Ghost-Tapping gehören zu den Voraussetzungen für die Ausführung der Taktik ein mobiles Gerät mit NFC mit gestohlenen Zahlungskartendaten, die mit einem mobilen Zahlungssystem (meist iOS oder Android) verknüpft sind, zwei mobile Geräte, auf denen NFCGate installiert ist, und ein Server, der für die Weiterleitung des Datenverkehrs konfiguriert ist. NFCGate ist eine Android-Anwendung, mit der NFC-Datenverkehr erfasst, analysiert oder geändert werden kann. Es kann als Forschungsinstrument verwendet werden, um Protokolle zurückzuentwickeln oder die Sicherheit von Protokollen gegen Verkehrsänderungen zu bewerten.

Nach Angaben der Polizei von Singapur gab es zwischen dem 1. Oktober und Dezember 2024 656 Berichte über kompromittierte Zahlungskarten mit mobilen Geldbörsen mit Verlusten in Höhe von mindestens 1,2 Millionen SGD (0,93 Millionen USD). Von diesen Fällen betrafen mindestens 502 Meldungen kompromittierte Zahlungskarten, die mit Apple Pay verknüpft waren. Nach der erfolgreichen Verknüpfung der Kreditkarteninformationen der Opfer mit Apple Wallets konnten Maultiere, die für Betrugssyndikate arbeiten, persönliche Einkäufe mit mobilen NFC-Zahlungsmethoden tätigen, um physische Waren im Geschäft zu kaufen, wie z. B. hochwertige elektronische Artikel oder Luxusgüter.

Im November 2024 berichtete die Straits Times über einen sich abzeichnenden Trend, dass ausländische Staatsangehörige von Syndikaten nach Singapur geschickt werden, um in Einzelhandelsgeschäften im ganzen Land Zahlungskartenbetrug zu begehen. Die singapurischen Behörden warnten Einzelhändler auch vor Syndikaten, die angeblich die Zahlungskartendaten der Opfer durch eine Reihe von Online-Phishing-Betrügereien gestohlen haben. Gestohlene Zahlungskartendaten wurden dann auf eine nicht näher spezifizierte mobile Anwendung geladen, die ferngesteuert und für kontaktlose Zahlungen verwendet werden konnte, die mit Point-of-Sale-Terminals (POS) funktionieren. Es wird angenommen, dass Ausländer von transnationalen Syndikaten in ihren Heimatländern über Social-Messaging-Plattformen angeworben und angewiesen werden, nach Singapur einzureisen, um Artikel wie teure Mobiltelefone, elektronisches Zubehör, Luxusgüter, Schmuck und Goldbarren zu kaufen. Ermittlungen der Polizei von Singapur ergaben , dass Maultiere, die von chinesischen Syndikaten rekrutiert wurden, auch Bilder von gefälschten japanischen Pässen erhielten, die als Identitätsnachweis bei persönlichen Einkäufen in Einzelhandelsgeschäften verwendet wurden, und dass Kreditkartendaten unrechtmäßig durch Phishing erlangt worden waren. Dieser Fall ist höchstwahrscheinlich ein Beispiel für Ghost-Tapping, da es sich um Zahlungskartendaten handelt, die in eine nicht näher spezifizierte mobile Anwendung geladen werden, die ferngesteuert und für kontaktlose Zahlungen verwendet werden kann, die mit Point-of-Sale-Terminals (POS) funktionieren. Die mobile Anwendung wird höchstwahrscheinlich für die Weiterleitung von NFC-Verkehr mit Zahlungskarteninformationen von einem anderen Gerät in Echtzeit verwendet.

Wir haben beobachtet, dass Kriminelle gestohlene Waren über kriminelle Quellen wie die Telegram-Marktplätze Huione Guarantee, Xinbi Guarantee und Tudou Guarantee kaufen und verkaufen. Es gibt Berichte (1, 2) über ähnliche Fälle, in denen dieselben TTPs verwendet wurden und Personen unterschiedlicher Staatsangehörigkeit betrafen. Während chinesische Syndikate den Verkauf von Waren auf E-Commerce-Websites nicht ausdrücklich erwähnen, sind Kriminelle dafür bekannt, gestohlene Waren unter anderem bei eBay (1), Carousell (1) und Mercari (1) zu verkaufen. Wir gehen mit hoher Sicherheit davon aus, dass chinesische Syndikate auch Waren verkaufen, die mit gestohlenen Zahlungskarteninformationen auf E-Commerce-Plattformen gekauft wurden.

In einer Empfehlung der Polizei von Singapur vom 17. Februar 2025 heißt es, dass Betrüger, die wahrscheinlich im Ausland ansässig sind, die Kartendaten der Opfer über E-Commerce-bezogene Phishing-Websites, einschließlich Social-Media-Werbung, erhalten haben. In der Empfehlung heißt es, dass ein Betrüger, nachdem er die Zahlungskartendaten eines Opfers erhalten hat, die Kartendaten zur Apple Wallet auf seinem eigenen Gerät hinzufügt. Dem Opfer wird ein SMS-Einmalpasswort (OTP) gesendet, das dann dazu verleitet wird, das OTP auf der vom Betrüger betriebenen Phishing-Website einzugeben und so dem Betrüger Zugriff auf die Zahlungskarte des Opfers zu verschaffen. Nachdem das Betrugssyndikat die Zahlungskarte des Opfers erfolgreich übernommen hatte, verschwor es sich mit einem Geldkurier, um nicht autorisierte Transaktionen durchzuführen, indem es das Mobilgerät des Maultiers mit der Apple Wallet des Betrügers verband. Der Geldkurier wäre dann in der Lage, persönliche Einkäufe mit der kontaktlosen Zahlungsmethode (NFC) zu tätigen, um Waren im Geschäft zu kaufen. Dieser Polizeihinweis beschreibt wahrscheinlich das Abhören von Geistern, bei dem das mobile Gerät des Maultiers mit mobilen Geldbörsen verbunden werden muss, die von Syndikaten ferngesteuert und bedient werden.

Im April 2025 wurden zwei chinesische Staatsangehörige verhaftet , weil sie fünfzehn iPhones aus China nach Singapur geschmuggelt hatten; Die Person und ein Komplize wurden von einem nicht näher bezeichneten Syndikat angewiesen, die Telefone in einen Mülleimer vor einem örtlichen Einkaufszentrum zu werfen. Die Insikt Group geht davon aus, dass es sich bei den beiden Personen wahrscheinlich um Transportkuriere handelt, die von einem chinesischsprachigen Syndikat rekrutiert wurden, und dass die iPhones wahrscheinlich gestohlene Zahlungskartendaten enthalten, die bereits mit Apple Pay verknüpft waren. Nach der Bergung hätte das Syndikat die Telefone verwendet, um Geister zu aktivieren, die sich bereits in Singapur aufhielten, und die sie dann benutzten, um physische Güter persönlich zu kaufen. Dieser Fall ist ein Beispiel für Betrug mit mobilen Geldbörsen, bei dem Brennertelefone mit gestohlenen Zahlungskarteninformationen geladen sind und keine NFC-Relay-Taktik erforderlich ist.

Ghost-Tapping und das kriminelle Ökosystem

Seit 2024 beobachtet die Insikt Group chinesische Cyberkriminelle, die auf Telegram-basierten Treuhandplattformen wie Huione Guarantee, Xinbi Guarantee und Tudou Guarantee operieren, um kriminelle Dienste und TTPs von allgemeinem Betrug bis hin zu Kryptomining zu bewerben. Durch Gespräche mit Bedrohungsakteuren, die an verschiedenen Aspekten der Kriminalität beteiligt sind, haben wir erfahren, dass chinesischsprachige Kriminelle, die an Scamming-Aktivitäten beteiligt sind, jetzt Ghost-Tapping in ihre Angriffsvektoren einführen. Wir haben festgestellt, dass Ghost-Taping-Bedrohungsakteure in südostasiatischen Ländern, insbesondere in Kambodscha, ansässig sind und Burner-Telefone mit Zahlungskartendaten von Opfern an mehrere chinesischsprachige Syndikate verkauft haben. Eine einzige kriminelle Gruppe, die Geister abhört, verfügt über die Mittel und die Fähigkeit, wichtige Gegenstände wie Brennertelefone bereitzustellen und proprietäre Software an mehrere chinesischsprachige Syndikate auszuleihen. Das bedeutet, dass die Existenz mehrerer krimineller Ghost-Taping-Gruppen in der Lage wäre, eine sehr große Anzahl chinesischsprachiger Syndikate für viele verschiedene Ghost-Taping-Kampagnen zu unterstützen, die auf mehrere Unternehmen abzielen – insbesondere im Einzelhandel – weltweit.

Neben der Werbung für Ghost-Taping-Dienste beobachteten wir chinesischsprachige Syndikate, die Maultiere rekrutierten, um Einkäufe auf den drei oben genannten Telegram-Marktplätzen zu tätigen. Die Syndikate heuern in der Regel chinesischsprachige Maultiere an, um in ihrem Namen Operationen durchzuführen, wobei Maultiere unter dem Deckmantel von Touristen in fremde Länder wie Singapur reisen, um hochwertige physische Güter wie Gold, Luxusartikel und Mobiltelefone zu kaufen. Chinesische Verbrechersyndikate werden die Artikel dann auf drei Telegram-Marktplätzen gegen Bargeld weiterverkaufen.

Definition verschiedener Arten von Bedrohungsakteuren und Mules im Ghost-Tapping-Ökosystem

Durch Beobachtungen, die Einbindung von Bedrohungsakteuren und Open-Source-Intelligence-Berichte (OSINT) definiert die Insikt Group verschiedene Arten von Bedrohungsakteuren und ihre Rollen innerhalb von Ghost-Taping-Kampagnen wie folgt:

• Cyberkriminelle: Erhält gestohlene Zahlungskartendaten und verknüpft sie mit kontaktlosen Zahlungsdiensten wie Apple Pay und Google Pay. Cyberkriminelle entwickeln Software, die in der Lage ist, NFC-Verkehr, einschließlich Zahlungskartendaten, in Echtzeit an andere mobile Geräte weiterzuleiten, und sie verkaufen in der Regel Zahlungskarteninformationen an Syndikate, die versuchen, Einzelhandelsbetrug über Ghost-Taping-Kampagnen zu begehen. Darüber hinaus verkaufen Cyberkriminelle Burner-Telefone mit gestohlenen Zahlungskartendaten an Syndikate, um Betrug im Einzelhandel zu begehen.
• Syndikat: Verantwortlich für die Rekrutierung, Ausbildung und Unterweisung verschiedener Maultiere für bestimmte Zwecke, um den operativen Erfolg sicherzustellen. Chinesischsprachige Syndikatsmitglieder nutzen in der Regel Telegram, um Maultiere auf den Plattformen Huione Guarantee, Xinbi Guarantee und Tudou Guarantee zu rekrutieren.
• Geisterklopfendes Maultier: Führt Betrug im Einzelhandel durch, indem er Ghost-Taping-Techniken verwendet, um an physische Güter wie Gold, Luxusartikel und Mobiltelefone zu gelangen. Maultiere reisen oft als Touristen in andere Länder ein, kaufen hochwertige Gegenstände und liefern die Gegenstände direkt an ein Transportmaultier oder das Syndikat.
• Transport-Maultier: Transportiert Waren innerhalb und außerhalb der Grenzen an den gewünschten Bestimmungsort des Syndikats, das sie gemietet hat.
• Reseller Mule: Verkauft Artikel, die mit gestohlenen Zahlungskartendaten für Tether (USDT) mit Huione-Garantie, Xinbi-Garantie und Tudou-Garantie gekauft wurden. Der Hof geht davon aus, dass solche Güter auch in verschiedenen geografischen Regionen gegen Bargeld transportiert und verkauft werden könnten.
• Geldwäsche-Maultier: Überweist Geld zurück auf die Bankkonten der Syndikatsmitglieder. Es ist bekannt, dass die Syndikate Telegram als Plattform nutzen , um Geldkuriere zu rekrutieren.
• Käufer: Chinesischsprachiges Syndikat, das anbietet, physische Güter wie Gold, Luxusartikel und Mobiltelefone in großen Mengen mit Bargeld auf den Plattformen Huione Guarantee, Xinbi Guarantee und Tudou Guarantee zu kaufen.

Wir gehen davon aus, dass Cyberkriminelle mehrere Rollen einnehmen und für mehrere Syndikate gleichzeitig arbeiten können, da Bedrohungsakteure ständig für den Bedarf an 车队 (Autokolonne) werben, was darauf hindeutet, dass es eine hohe Nachfrage nach verschiedenen Arten von Maultieren gibt, um die Ziele von Syndikaten zu erfüllen, wie z. B. die Durchführung kontaktloser Abhebungen von Geldautomaten, den Kauf physischer Güter mit Ghost-Taping-Techniken, Transport, Weiterverkauf physischer Güter und Geldwäscheoperationen.

In Bezug auf Xinbi Guarantee beobachtete der Hof Bedrohungsakteure, die Transportdienstleistungen für physische Güter anbieten, die innerhalb und über Grenzen hinweg für bestimmte Länder transportiert werden können. Zum Beispiel hat der Bedrohungsakteur "路飞" (@OPLuffy888) auf der Xinbi-Garantie Expresstransportdienste für physische Güter beworben, um Waren innerhalb und außerhalb von Malaysia, Singapur, Indonesien und Thailand zu transportieren. Wir beobachteten auch, dass "黑猫" (@llan19889) Geldautomaten-Abhebungskuriere und Geisterklopfende Maultiere rekrutierten, um Gold und Apple-Mobilgeräte zu kaufen.

Huione-Garantie, Xinbi-Garantie und Tudou-Garantie zur Erleichterung von Ghost-Tapping-Kampagnen

Huione Guarantee (@hwdb) ist eine chinesischsprachige Clearnet-Website, die unter der Huione Group, einem Finanzkonglomerat mit Sitz in Kambodscha, betrieben wird. Huione Guarantee dient als Plattform für Tausende von öffentlichen und privaten chinesischsprachigen Telegram-Gruppen, die verschiedene Dienste anbieten, die cyberkriminelle Aktivitäten ermöglichen, und chinesischsprachigen Cyberkriminellen Treuhanddienste anbieten. Elliptic berichtete , dass illegale Aktivitäten auf Basis von Kryptowährungen im Zusammenhang mit der Huione Group mindestens 24 Milliarden US-Dollar erreichten. Bedrohungsakteure warben für den Verkauf von Social-Media- und E-Commerce-Konten, SIM-Karten, Daten mit personenbezogenen Daten (PII), Malware-as-a-Service (MaaS), Deepfake-Technologie, KYC-Bypass-Diensten, Geldwäschemethoden und -diensten und mehr. Weitere Informationen zu Huione Guarantee finden Sie im Bericht der Insikt Group "Huione Guarantee Serves as a One-Stop Shop for Chinese-Speaking Cybercriminals".

Obwohl Huione Guarantee am 13. Mai 2025 die Schließung seines Betriebs angekündigt hat, haben wir beobachtet, dass Cyberkriminelle weiterhin die umfangreiche Infrastruktur von Huione Guarantee auf Telegram nutzen, um kriminelle Aktivitäten und Geschäfte zu erleichtern. Darüber hinaus haben wir beobachtet, dass Cyberkriminelle auf Xinbi Guarantee (@xbdb) und Tudou Guarantee (@tddb) umschwenken, zwei weitere Telegram-basierte Marktplätze, die auf die gleiche Weise wie Huione Guarantee funktionieren und als praktikable Alternativen für chinesischsprachige Cyberkriminelle dienen, um weiterhin Mitglieder für ihre Cyber-, Betrugs- und Betrugskampagnen zu rekrutieren. Alle Einzahlungen müssen in USDT auf eine Kryptowährungs-Wallet erfolgen, die von Xinbi Guarantee und den Kundendienstmitarbeitern von Tudou Guarantee betrieben wird.

Wir haben chinesischsprachige Cyberkriminelle beobachtet, die auf allen drei Telegram-Marktplätzen für Ghost-Taping-Kampagnen für Zahlungskarten aus erster Hand (一道) und gebrauchte (二道) werben. 远程刷卡 bezieht sich auf das Durchziehen von Remote-Karten und in diesem Fall auf Ghost-Tapping-Operationen. Cyberkriminelle verwenden in der Regel USDT, um diese Zahlungskartendaten der Opfer zu kaufen, und die Karten werden so beworben, dass sie weltweit funktionieren, auch mit NFC- und POS-Terminals.

In Abbildung 8 wurde beobachtet, wie der Verwalter von Xinbi Guarantee auf dem öffentlichen Community-Kanal von Xinbi Guarantee (新币公群频道; @gqdh) für mehrere Kanäle warb, die an Ghost-Taping-Operationen beteiligt waren. Der Verwalter warb für mehr als zehn verschiedene Kanäle, die an Ghost-Taping-Kampagnen beteiligt sind, darunter First- und Second-Hand-Zahlungskarten, was darauf hindeutet, dass mehrere cyberkriminelle Gruppen und chinesischsprachige Syndikate aktiv an solchen Kampagnen teilnehmen.

Weiterverkauf von Waren an Waschfonds

Auf den Plattformen Huione Guarantee, Xinbi Guarantee und Tudou Guarantee beobachteten wir Bedrohungsakteure, die anboten, physische Gegenstände zu kaufen und zu verkaufen, die auf illegale Weise in großen Mengen erlangt wurden. Chinesischsprachige Syndikate geben in der Regel nicht an, wie und wo sie an solche physischen Gegenstände gelangt sind, aber nach unseren Recherchen glauben wir, dass es zwei gängige Methoden gibt: Ghost-Taping-Kampagnen und E-Commerce-Betrug. Die E-Commerce-Methode gilt aufgrund der digitaleren und physischeren Fußabdrücke als riskanter, da wichtige Details wie Online-Kartenzahlungsdaten, physische Adressen und Telefonnummern erforderlich sind. Im Vergleich dazu sind Ghost-Taping-Kampagnen von den Strafverfolgungsbehörden viel schwieriger zu erkennen, und Maultiere können ins Ausland reisen und im Auftrag von Syndikaten physische Güter kaufen. Diese persönlichen Transaktionen, die von Maultieren durchgeführt werden, bieten Syndikaten den Vorteil, dass sie Waren sofort und mit größerer Kontrolle erhalten und den Maultieren oft in Echtzeit spezifische Anweisungen erteilen, um die Waren an bestimmte Orte zu liefern, die den Behörden über längere Zeiträume unbekannt bleiben könnten.

Aufgrund der großen Anzahl von Anzeigen über Ghost-Taping-Kampagnen und die Rekrutierung von Maultieren zum Kauf physischer Güter mit Ghost-Taping-Techniken, die alle zusammen auf Huione Guarantee, Xinbi Guarantee und Tudou Guarantees diskutiert und beworben werden, in Verbindung mit OSINT-Artikeln und einer Empfehlung der Polizei von Singapur (1, 2, 3), in denen Ghost-Taping-Verbrechen detailliert beschrieben werden, gehen wir mit einem hohen Maß an Sicherheit davon aus, dass eine große Anzahl physischer Güter, die auf diesen chinesischen Marktplätzen für Cyberkriminalität verkauft werden, durch Ghost-Taping-Techniken erlangt werden.

Basierend auf Anzeigen auf den drei oben genannten Telegram-Kanälen veranschaulicht Abbildung 9, wie physische Güter im Rahmen von Geldwäscheoperationen chinesischsprachiger Syndikate transportiert und gegen Bargeld weiterverkauft werden. Es ist sehr wahrscheinlich, dass chinesischsprachige Syndikate, die an Ghost-Taping-Kampagnen beteiligt sind, physische Artikel, die mit gestohlenen Zahlungskartendaten gekauft wurden, gegen Bargeld weiterverkaufen.

Zum Beispiel haben wir beobachtet, dass der Bedrohungsakteur "莫淮" (@eyDLBhqqotRXfJ) Gold, Mobiltelefone und andere physische Güter kauft, die Syndikate in großen Mengen auf Xinbi Guarantee abladen können.

Bedrohungsanalyse und -engagements

Die Insikt Group führte Gespräche mit zwei Telegram-Pseudonymen durch, die sich mit verschiedenen Aspekten des Ghost-Tapping-Ökosystems befassen: @webu8 (Entwickler von proprietärer Software, die beim Ghost-Tapping verwendet wird) und @xingma888 (Controller und Rekrutierer von Maultieren, die Luxusgüter kaufen und weiterverkaufen, die durch Ghost-Tapping gekauft wurden). Diese Engagements gaben uns wertvolle Einblicke in die Organisation, Struktur, Sicherheitsmaßnahmen und TTPs, die von diesen Bedrohungsakteuren und ihren Partnern verwendet werden.

@webu8: Ghost-Tapping Softwareentwickler

Hintergrund

Die Insikt Group entdeckte einen öffentlichen chinesischsprachigen Telegram-Kanal, cvv教学顶端学习禁广告 (@daoshua00), der zum Zeitpunkt des Schreibens 5.695 Mitglieder hat. Dieser Kanal bewirbt Dienstleistungen im Zusammenhang mit Ghost-Tapping und Carding sowie Materialien, die in Ghost-Taping-Kampagnen verwendet werden, insbesondere Phishing-Materialien aus erster Hand, Penetrationstechniken, CVV-Tutorials, das Klonen von Geldautomatenkarten und die Exfiltration von Datenbanken. Die Administratoren dieses Kanals betreiben die Telegram-Handles @webu8 und @xbdb0. Wir stellen fest, dass @xbdb0 dem Telegram-Kanal (@xbdb von Xinbi Guarantee ähnelt, und durch unsere Zusammenarbeit mit @xbdb0 behauptete der Bedrohungsakteur, Verbindungen zu Xinbi Guarantee zu haben. Wir beobachteten, wie die Administratoren Fotos und Videodemonstrationen von Ghost-Tapping für Syndikate posteten, die an der Durchführung von Ghost-Tapping-Kampagnen interessiert waren. Die Videos und Fotos bestanden hauptsächlich aus Bargeld, Mobiltelefonen mit mehreren Brennern und kompromittierten Zahlungskarten, die mit Apple Pay- und Google Pay-Diensten verbunden sind, geklonten Zahlungskarten und POS-Terminals. Die einzelnen Personen wurden gebeten, sich für weitere Informationen an @webu8 zu wenden. Wir haben uns mit @webu8 beschäftigt und es geschafft, Informationen und eine Beschreibung der Software zu erhalten, die zum Abhören von Geistern verwendet wird.

Die drei Bilder unten, die in Abbildung 13 gezeigt sind, zeigen die Werbung von @webu8 auf dem Telegram-Kanal @daoshua00.

Das erste Bild links zeigt mehrere Brennertelefone, die mit verknüpften Zahlungskartendaten versehen sind. Jedes Telefon ist mit einer Kartenbindungszeit (Tag und Monat, an dem die Zahlungskarte mit dem Brennertelefon verknüpft wurde) und der Anzahl der verknüpften kompromittierten Zahlungskarten versehen. Der Preis für jedes Telefon beträgt 90 USDT (ca. 90 USD) und jede verknüpfte Karte beträgt 41 USDT (ca. 41 USD); Es ist ein Mindestkauf von fünf Brenner-Mobiltelefonen erforderlich. Wenn ein Burner-Telefon zehn verknüpfte kompromittierte Zahlungskarten enthält, beträgt der Preis des Telefons 500 USDT. Das Brennertelefon kann in Putian City, Provinz Fujian, China, gekauft werden. Der Bedrohungsakteur verwendete den chinesischen Text 莆田可面基 打速卖通的不要找我!禁止打国内!, was übersetzt bedeutet: "Wenn Sie sich auf Putischen treffen können, kontaktieren Sie mich bitte nicht, wenn Sie AliExpress verwenden! Inlandsgespräche sind verboten!" Die Insikt Group kam zu dem Schluss, dass solche Maßnahmen dazu dienen, die Anonymität zu wahren und eine Entdeckung durch die chinesischen Strafverfolgungsbehörden zu vermeiden, und dass persönliche Treffen sicherer wären, um eine starke und stabile Beziehung zwischen chinesischen Cyberkriminellen aufzubauen. @webu8 bot auch einen Telefonrecycling-Service für chinesischsprachige Syndikate an, der wahrscheinlich neue kompromittierte Zahlungskartendaten in bestehende Brennertelefone laden wird. Wir stellen fest, dass die Strafverfolgungsbehörden in Singapur im August 2023 zehn chinesischsprachige Syndikatsmitglieder aus Fujian, China, verhaftet und Vermögenswerte im Wert von 3 Milliarden Singapur-Dollar (2,33 Milliarden US-Dollar) beschlagnahmt haben. Die Mitglieder sind mit nicht lizenzierten Geldverleih in China, Betrug und Remote-Online-Glücksspielen auf den Philippinen verbunden. Die Insikt Group kann nicht bestätigen, ob @webu8 und @xbdb0 mit demselben Syndikat in Verbindung stehen, dessen Mitglieder im Jahr 2023 verhaftet wurden.

Das zweite Bild in der Mitte zeigt @webu8 Werbung für gestohlene Kartendaten, die mit einem nicht näher bezeichneten kontaktlosen Zahlungssystem verbunden sind, wobei die Werte der Zahlungskarten das verfügbare Restguthaben anzeigen. Der Bedrohungsakteur behauptet, dass diese Karten mit Apple Pay und Google Pay kompatibel sind, Lagerbestände zum Verkauf haben und zum Abhören von Geistern verwendet werden können.

Das dritte Bild auf der rechten Seite zeigt @djdj8884, einen weiteren Ghost-Taping-Verkäufer, der US-Zahlungskarten mit PIN-Codes bewirbt, die er aus Phishing-Kampagnen erhalten hat. Der Bedrohungsakteur versucht, regelmäßig neue Phishing-Zahlungskarten an chinesischsprachige Syndikate zu liefern. Die Karten werden so beworben, dass sie mit Zahlungen zum Kauf physischer Waren über POS-Automaten kompatibel sind. Der Screenshot zeigt Brennertelefone, die mit mehreren Karten geladen sind, was darauf hinweist, dass der Käufer die Zahlungskarteninformationen zusammen mit den PIN-Codes in seine eigenen Brennertelefone laden kann.

Anhand dieser drei Bilder haben wir zwei Geschäftsmodelle beobachtet, die von Ghost-Tapping Kriminellen verwendet werden:

1. @webu8 Geschäftsmodell der Bedrohungsgruppe besteht darin, kompromittierte Zahlungskartendaten auf Brenner-Telefone zu laden und die Mitglieder des Syndikats dazu zu bringen, persönlich mit dem Käufer in "Putian", einer Stadt in der chinesischen Provinz Fujian, zu verhandeln. Für dieses Geschäftsmodell erhält der Käufer Burner-Handys, die bereits erfolgreich geladen sind und bereit für Ghost-Taping-Kampagnen sind.
2. @djdj8884 Geschäftsmodell der Bedrohungsgruppe verkauft kompromittierte Zahlungskartendaten in großen Mengen zusammen mit PIN-Codes an andere chinesischsprachige Syndikatsmitglieder, wo Transaktionen aus der Ferne durchgeführt werden können. Bei diesem Geschäftsmodell ist der Käufer dafür verantwortlich, kompromittierte Zahlungskartendaten in seine eigenen Brennertelefone zu laden, um sich auf zukünftige Ghost-Taping-Kampagnen vorzubereiten. Die Insikt Group kam zu dem Schluss, dass dieses Geschäftsmodell mehr Vorbereitungszeit erfordert, da nicht alle kompromittierten Karten in ein kontaktloses Zahlungssystem geladen werden können, da die Sicherheitsmaßnahmen der verschiedenen Banken unterschiedlich sind.

Wir haben auch mit proprietären Mitteln Beweise dafür erhalten, dass Cyberkriminelle den Prozess der Verknüpfung kompromittierter Kartendaten mit kontaktlosen Zahlungssystemen auf Brennertelefonen automatisieren. Der folgende Screenshot zeigt automatisierte Versuche, eine kompromittierte Zahlungskarte der DBS Bank in Abständen von vier bis acht Minuten zu Apple Pay hinzuzufügen. In diesem Fall verwendet die DBS Bank eine Sicherheitsfunktion , die erfordert, dass sich eine Person bei ihrer mobilen Anwendung anmeldet, um die Authentifizierung der Verknüpfung ihrer Zahlungskarten mit einer mobilen Geldbörse wie Apple Pay oder Google Pay zu autorisieren. Kunden, die ihre DBS-Karte hinzufügen möchten, müssen zuerst den Schalter "Mobile Geldbörsen" in der Zahlungssteuerung in der DBS digibank-App aktivieren. Um die Benutzer weiter zu schützen, wird diese Funktion "Mobile Wallets" automatisch deaktiviert, wenn die Karte nicht innerhalb von zehn Minuten zu einer mobilen Geldbörse hinzugefügt wird. Für den Fall, dass die Anmeldedaten einer Person aufgrund von mobiler Malware oder durch Social-Engineering-Techniken kompromittiert werden, kann diese Sicherheitsfunktion Cyberkriminelle jedoch nicht daran hindern, kompromittierte Zahlungskarten mit kontaktlosen Zahlungssystemen zu verknüpfen.

Verlobung

Die Insikt Group hat sich mit @webu8 zusammengetan, um mehr über Ghost-Tapping zu erfahren. Der Bedrohungsakteur behauptete, dass seine Ghost-Taping-Technik in jedem Land angewendet werden kann und dass das System eine Art proprietäre Software beinhaltet, die in der Lage ist, Zahlungskartendaten an andere mobile Geräte weiterzuleiten, die sie entwickeln und regelmäßig aktualisieren. Der Bedrohungsakteur erwähnte, dass er uns die proprietäre Software kostenlos leihen würde, wenn wir kompromittierte Zahlungskartendaten von ihm kaufen würden, und ein Mitglied seines Teams würde uns bei der Verwendung anleiten.

Aus diesem Engagement haben wir gelernt, dass diese Bedrohungsgruppe nicht nur Burner-Telefone verkauft, die mit kompromittierten Zahlungskartendaten geladen sind, wie in Abbildung 13 gezeigt, sondern auch kompromittierte Zahlungskartendaten direkt an andere chinesische Syndikate verkauft, indem sie proprietäre Software verwendet, die in der Lage ist, Zahlungskarteninformationen in Echtzeit weiterzuleiten. Diese kriminelle Gruppe, die Ghost-Taping-Systeme orchestriert, ist nicht bereit, Maultiere anzuheuern, um Einzelhandelsbetrug mit Ghost-Taping-Methoden selbst durchzuführen, und trägt kein Risiko, bei der Begehung von Einzelhandelsbetrug von Strafverfolgungsbehörden erwischt zu werden.

Chinesischsprachige Syndikate, die kompromittierte Zahlungskarteninformationen kaufen oder Telefone mit kompromittierten Karteninformationen dieser Ghost-Taping-Bedrohungsgruppe vernichten, sind dafür verantwortlich, Ghost-Tapping-Maultiere zu schicken, um Einzelhandelsbetrug oder kontaktlose NFC-Geldautomatenabhebungen persönlich zu begehen, wobei Maultiere das größte Risiko tragen, von Strafverfolgungsbehörden verhaftet zu werden.

Aufgrund des Wunsches des Bedrohungsakteurs, sich persönlich zu treffen, um weitere Geschäftsdetails in Kambodscha zu besprechen, gehen wir mit großer Sicherheit davon aus, dass gut etablierte chinesischsprachige Syndikate, die in Südostasien tätig sind, Mitglieder haben, die sich physisch in Kambodscha befinden und die Geschäftsbedingungen weiter besprechen könnten. Wir interpretieren die Anfrage nach einem physischen Treffen auch als eine Methode, die der Bedrohungsakteur verwendet, um weniger bekannte kriminelle Banden herauszufiltern, und als den Wunsch, Geschäfte mit etablierteren Syndikaten in einem viel größeren Maßstab zu tätigen, um ihre Gewinne zu maximieren.

Laut Cleafy wurde das MaaS-Angebot "SuperCard X" von einem chinesischsprachigen Bedrohungsakteur entwickelt und weist Ähnlichkeiten mit der von @webu8 erwähnten proprietären Software auf. Laut Cleafy enthält die "Reader"-Anwendung eine eingebettete Datei, in der mehrere "Answer To Reset" (ATR)-Nachrichten gespeichert sind. Diese Nachrichten, die in der Regel zum Initiieren und Aushandeln von Kommunikationsparametern zwischen einer Smartcard und einem NFC-Lesegerät verwendet werden, werden wiederverwendet, um die Kartenemulation zu erleichtern. Wenn der "Leser" die Kartendaten eines Opfers erfasst und weiterleitet, wird die entsprechende ATR über die Command-and-Control-Infrastruktur (C2) an das "Tapper"-Gerät übertragen, das diese Nachricht verwendet, um eine virtuelle Karte zu emulieren, wodurch POS-Terminals oder Geldautomaten effektiv getäuscht werden, damit sie sie als legitime physische Karte erkennen. Durch die Nutzung von ATRs ermöglicht SuperCard X nahtlose Relay-Angriffe in Echtzeit, die es Bedrohungsakteuren ermöglichen, physische Näherungsbeschränkungen zu umgehen und betrügerische Transaktionen durchzuführen. Die Insikt Group ist nicht in der Lage, zu bestätigen, ob es sich bei der SuperCard X-Plattformanwendung um die von @webu8 verwendete proprietäre Software handelt, da es mehrere Ghost-Taping-Kriminelle gibt, die ähnliche Schemata auf Huione Guarantee, Xinbi Guarantee und Tudou Guarantee bewerben.

Cleafy identifizierte auch eine SuperCard X-Kampagne , die auf Italien abzielte , und fand Hinweise darauf, dass maßgeschneiderte Builds auf bestimmte Tochtergesellschaften oder regionale Betriebe zugeschnitten sind. Diese Forschung bestätigt die Behauptung von @webu8, dass ihr Angriffsvektor zum Abhören von Geistern überall auf der Welt durchgeführt werden könnte und dass solche proprietäre Software an nicht-chinesischsprachige Syndikate ausgeliehen werden könnte.

Die Insikt Group veröffentlichte außerdem einen Bericht mit dem Titel "SuperCard X MaaS Expands Infrastructure, Likely Targeting High-Profile Organizations", der auf Cleafys Forschung zur SuperCard X-Kampagne aufbaut.

@xingma888: Reseller und Mule-Controller

Hintergrund

Bei Xinbi Guarantee haben wir uns mit dem Bedrohungsakteur "星马集团" (@xingma888; übersetzt "singapurische und malaysische Organisation") beschäftigt, der an der Geldwäsche von Geldern in physische Güter und der Auszahlung beteiligt ist. In unseren Gesprächen stellten wir fest, dass der Bedrohungsakteur Teil eines chinesischsprachigen Geisterabhörsyndikats ist, das in Singapur und Malaysia tätig ist. Dieser Einsatz von Bedrohungsakteuren gibt Aufschluss darüber, wie chinesischsprachige Syndikate arbeiten und wie Plattformen wie Huione Guarantee, Xinbi Guarantee und Tudou Guarantee Ghost-Taping-Kampagnen und andere Formen der Cyberkriminalität ermöglichen.

Verlobung

Während eines Engagements erfuhren wir, dass @xingma888 in der Lage ist, eine "Autokolonne" (车队) zu liefern – Maultiere für Geister-Tapping-Kampagnen, um persönliche Einkäufe in Einzelhandelsgeschäften in Singapur und Malaysia zu tätigen. Bedrohungsakteure, die solche Dienste benötigen, müssen angeben, welche Art von physischen Gütern sie erhalten möchten, und @xingma888 müssen den Kautionsbetrag angeben, der erforderlich ist, um die Maultiere für die Geisterabhörkampagne zu mobilisieren. Der Einzahlungsbetrag muss in USDT an ein Treuhandsystem gezahlt werden, das entweder Huione, Tudou oder Xinbi Guarantee gehört. Ähnlich wie bei der Bestellung muss der Käufer eine physische Adresse für Maultiere angeben, die für @xingma888 arbeiten, um die physische Ware zu liefern. @xingma888 erklärte, dass der Käufer nach erfolgreicher Lieferung der Ware ein Video des Unboxing-Prozesses aufnehmen und die Echtheit der Artikel überprüfen sollte, um dann den Kundendienstmitarbeiter, der zu einem Treuhandsystem nach Wahl des Käufers gehört, zu bitten, den Betrag an USDT an @xingma888 freizugeben.

Unter Berücksichtigung von Details zu mehreren Bedrohungsinteraktionen mit verschiedenen Cyberkriminellen, die an Ghost-Taping-Kampagnen beteiligt sind, sowie von Open-Source-Artikeln, in denen über Syndikate berichtet wird, die Transportkosten und Flugtickets für Maultiere finanzieren, geht die Insikt Group mit einem hohen Maß an Sicherheit davon aus, dass @xingma888 Folgendes finanziert:

• Burner-Telefone mit gestohlenen Zahlungskartendaten geladen
• Transportkosten, wie z. B. Flugtickets für Maultiere
• Unterkunft für Maultiere
• USDT oder Bargeld, um Maultiere zu rekrutieren und zu bezahlen
• Ein Geldkurier, um USDT in Fiat-Währung zu waschen

In der Zwischenzeit können potenzielle Käufer, bei denen es sich in der Regel um chinesische Syndikate handelt, die über Ghost-Taping-Kampagnen gekauften physischen Waren gegen Bargeld weiterverkaufen und USDT durch diese Auszahlungsmethode erfolgreich in Fiat-Währung umtauschen. In den meisten Fällen muss der potenzielle Käufer einen größeren Betrag an USDT an Maultierhändler wie @xingma888 zahlen. Wir gehen auch davon aus, dass Syndikate wahrscheinlich Reseller-Maultiere rekrutieren müssen, um die physischen Güter gegen Bargeld weiterzuverkaufen. Die Insikt Group hat die Kosten für die Beschaffung von USDT noch nicht berücksichtigt, die höchstwahrscheinlich durch illegale Mittel wie Cyberkriminalität, illegales Online-Glücksspiel und Betrug erlangt werden, wobei Südostasien eine Brutstätte für chinesische kriminelle Banden ist.

Abbildung 16 zeigt, wie ein Telegram-basiertes Treuhandsystem, wie z. B. Xinbi Guarantee, dazu beiträgt, Transaktionen zwischen chinesischsprachigen Syndikaten und Mule-Controllern wie @xingma888, die zusammenarbeiten möchten, zu erleichtern und zu vermitteln, sowie einen Überblick über die finanziellen Gewinne zu geben, die jede Partei während des Prozesses erhält.

Gegenmaßnahmen

Für Banken und Zahlungsanbieter:

• Banken sollten Sicherheitsmaßnahmen einführen, um Phishing-Betrug mit Zahlungskarten zu verhindern, wie z. B. eine Sicherheitsfunktion, bei der sich die Person bei ihrem eigenen Bankkonto anmelden muss, um die Verknüpfung ihrer Zahlungskarte mit einer mobilen Geldbörse zu autorisieren. Diese Funktion sollte sich automatisch deaktivieren, wenn die Karte nicht innerhalb eines festgelegten kurzen Zeitraums zu einer mobilen Geldbörse hinzugefügt wird.
• Kartenaussteller sollten Alternativen zu SMS- oder E-Mail-basierten OTPs für die Authentifizierung und Aktivierung von Geräte-Wallets in Betracht ziehen. Dazu können automatisierte oder "besetzte" Anrufe mit dem Kundendienst oder Push-Provisioning über die offizielle mobile Anwendung des Ausstellers gehören, die weniger anfällig für Phishing sind.
• In Szenarien, in denen SMS- oder E-Mail-basierte OTPs weiterhin verwendet werden, sollten Kartenaussteller in Erwägung ziehen, das OTP in der zweiten Hälfte der Nachrichten zu platzieren und es aus dem Vorschautext auf mobilen Startbildschirmen auszuschließen, um die Wahrscheinlichkeit zu erhöhen, dass ein Karteninhaber verdächtige Aktivitäten bemerkt.
• Analysieren Sie die Risikofaktoren von Geräten, bevor Sie das Hinzufügen einer Zahlungskarte zu einer digitalen Geldbörse zulassen. Erzwingen Sie eine strengere Authentifizierung, wenn eine Karte von einem nicht erkannten Gerät oder Standort aus hinzugefügt wird.
• Kennzeichnen Sie Transaktionen, bei denen dieselbe Zahlungskarte an geografisch weit entfernten Orten innerhalb eines unrealistischen Zeitrahmens verwendet wird.
• Analysieren Sie Muster, bei denen mehrere Karten mit demselben Gerät verknüpft sind, insbesondere nach bekannten Phishing-Vorfällen.
• Nutzen Sie Modelle des maschinellen Lernens, um die Merkmale von weitergeleiteten Zahlungen und Anomalien des Geräteverhaltens im Zusammenhang mit NFC-Relay-Betrug zu erkennen.
• Ermöglichen Sie es Kunden, risikoreiche Transaktionen oder Bereitstellungsversuche für digitale Geldbörsen über ihre Banking-App zu überprüfen, bevor sie abgeschlossen werden.

Für Verbraucher:

• Einzelpersonen sollten sich an ihre jeweiligen Bankinstitute wenden und ihren Zugang zu ihren kompromittierten Zahlungskarten sperren, sobald sie Benachrichtigungen über eine unbefugte Nutzung erhalten.
• Einzelpersonen sollten keine mobilen Anwendungen von Drittanbietern außerhalb der offiziellen App Stores herunterladen.
• Einzelpersonen sollten keine Zahlungskarteninformationen zu unbekannten oder nicht vertrauenswürdigen Websites hinzufügen und keine OTPs oder PINs an Dritte weitergeben. Das regelmäßige Ändern der Zahlungskarten-PIN und das Überwachen von Zahlungskartentransaktionen können dazu beitragen, die Wahrscheinlichkeit von Zahlungskarten-Phishing zu verringern.
• Einzelpersonen sollten sich vor Betrügern in Acht nehmen, die sich als Bankmitarbeiter ausgeben, und sich über ihre offizielle Banking-Hotline an die Bank wenden, um Informationen über ihre eigenen Bankangelegenheiten zu erhalten und zu klären.

Für Strafverfolgungsbehörden:

• Arbeiten Sie mit Zahlungsnetzwerken, Finanzinstituten und digitalen Plattformen zusammen, um aufkommende Trends im Zusammenhang mit NFC-Relay-Betrug und Phishing von Zahlungskarten zu identifizieren und zu verfolgen.
• Unterstützung der Bemühungen zur Zerschlagung der Infrastruktur, die zur Verbreitung von Phishing-Kits und mobiler Malware verwendet wird, die für den Diebstahl von Zahlungsdaten verwendet wird.

Ausblick

Die Insikt Group geht davon aus, dass chinesischsprachige Syndikate dazu übergehen, Ghost-Tapping als Angriffsvektor zu nutzen, um Betrug im Einzelhandel zu begehen und Gelder von Waren zu waschen, die mit kompromittierten Zahlungskarten gekauft wurden. Wir gehen davon aus, dass Kriminelle, die Geister abhören, Datenschutzverletzungen von Banken und Telekommunikationsunternehmen ausnutzen können, um personenbezogene Daten zu erhalten und Social-Engineering-Techniken zu nutzen, um Zahlungskarteninformationen durch Phishing zu stehlen. Datenschutzverletzungen von Telekommunikationsunternehmen, die Datenbanken von Kunden betreffen, können das Risiko des SIM-Austauschs erhöhen, bei dem Cyberkriminelle möglicherweise Zahlungskarteninformationen aus der Ferne hinzufügen, verknüpfen und authentifizieren können, um Telefone zu verbrennern.

Trotz der Schließung des Betriebs von Huione Guarantee am 13. Mai 2025 haben wir beobachtet, dass Cyberkriminelle schnell auf alternative Telegram-basierte Treuhandsysteme wie Xinbi Guarantee und Tudou Guarantee umschwenken. Diese Plattformen ermöglichen es Cyberkriminellen weiterhin, Transaktionen durchzuführen und Maultiere für Geisterabhöroperationen zu rekrutieren. Da es sich bei diesen Marktplätzen um kriminelle Quellen handelt und behauptet, eine vertrauenswürdige Plattform zu sein, besteht die Möglichkeit, dass sie ihren Betrieb einstellen, wie z. B. Huione Guarantee, während Ereignisse wie Telegram, die gegen Kanäle vorgehen, die mit diesen beiden Plattformen verbunden sind, Ghost-Taping-Kampagnen vorübergehend stören können. Wenn diese beiden Marktplätze ihren Betrieb einstellen würden, würden chinesischsprachige Syndikate wahrscheinlich auf andere Plattformen ausweichen, die über strengere Sicherheitsmaßnahmen verfügen, was zu einer geringeren Sichtbarkeit für Forscher und Strafverfolgungsbehörden bei der Überwachung von Ghost-Tapping-Informationen führen könnte.

Der Erfolg der Ghost-Tapping-Kampagne wird sowohl Syndikaten als auch Cyberkriminellen mehr finanzielle Ressourcen einbringen. Ghosttapping wird sich wahrscheinlich weltweit ausbreiten , wobei Bedrohungsakteur maßgeschneiderte Tools anbietet, die auf nicht-chinesischsprachige Syndikate und regionale Operationen zugeschnitten sind. Umgekehrt würde die Erfolgsquote der Verknüpfung von Kompromiss-Zahlungskarten-Anmeldedaten mit kontaktlosen Zahlungssystemen sinken, wenn Banken weltweit strengere Maßnahmen zur Verhinderung von Phishing-Betrug mit Zahlungskarten einführen würden, ähnlich der Sicherheitsfunktion der DBS.
Um die vollständige Analyse zu lesen, Click Here , um den Bericht als PDF herunterzuladen.

Anhang A: Glossar der Begriffe