A bûnözõk felfedezték, hogy az Apple Pay az egyik legegyszerûbb módja a lopott hitelkártya-információk felhasználásának, köszönhetõen a gyanútlan vásárlók átverésének. visszaigazoló kódjaik átadása.
A Vice új jelentése szerint a bűnözők az Apple Pay kényelmét és viszonylagos névtelenségét pajzsként használják, hogy „ellopott hitel-és betéti kártyaszámokkal költekezzenek”.
Egy csaló még az Apple Pay-t is a „pénzszerzés legegyszerűbb módjaként” jellemezte, most, hogy a hackerek kifejlesztettek és terjesztettek egy olyan eszközt, amellyel ellophatják az áldozatok többtényezős hitelesítési tokenjeit.
Amikor új hitel-vagy betéti kártyát ad hozzá az Apple Pay szolgáltatáshoz, az iPhone Wallet alkalmazás végigvezeti Önt egy ellenőrzési folyamaton, amellyel megerősítheti, hogy a kártya az Ön tulajdona. Ezt a folyamatot teljes egészében a bankok kezelik, így ez jelentősen eltérhet attól függően, hogy melyik cég bocsátotta ki a kártyát.
Sok esetben ez azt jelenti, hogy szöveges üzenetet, telefonhívást vagy megerősítő kódot tartalmazó e-mailt kap. Az ügyfél ezután közvetlenül beírja a megerősítő kódot a Wallet alkalmazásba, és a kártya használatba vehető.
Azonban, mint helyettes jelentések szerint a bűnözők a kifejezetten ezeknek a kódoknak az ellopására tervezett robotok, így szinte könnyedén aktiválhatják a kártyákat az Apple Pay alkalmazásban.
Ahelyett, hogy közvetlenül felhívnák a potenciális áldozatot, és megpróbálnák „társadalmi mérnökként” megalkotni a kódjukat, ezek a robotok szövegfelolvasó szkripteket használnak, amelyeknek bizonyított előélete van.
Például a bot felhívhatja az áldozatot egy automatizált rendszerrel a bankjától, és közölheti vele, hogy problémát észleltek a számlájával. Ezután a személynek meg kell adnia a kódot, amelyet a bank SMS-ben küldött a mobilkészülékére.
A Motherboard által megszerzett egyik bothívás hanganyagában a bot úgy tett, mintha egy PayPal automatizált rendszere lenne, amely segít az áldozat fiókjának biztonságában. A hívásban a számítógépes hang azt mondta: „Fiókja biztonsága érdekében kérjük, adja meg a kódot, amelyet most küldtünk mobileszközének.” Vice
Egy ilyen robotot akkor használnak, amikor a bűnöző egy ellopott kártyát ad hozzá az Apple Payhez, amely SMS üzenetet küld az áldozat bankjától. A hívást fogadó gyanútlan személy feltételezheti, hogy a szöveges üzenet más okból jött létre, és anélkül adja meg a kódot, hogy észrevenné, hogy hitelkártyaadatait adja meg.
Ez a trükk nem működik minden hitel-és betéti kártyánál, mivel egyes bankok más, lényegesen biztonságosabb ellenőrzési módszereket alkalmaznak. A Vice azonban talált fotókat, amelyeket a bot adminisztrátorai töltöttek fel a Telegram-ra, amelyek azt mutatták, hogy a Wells Fargo és a Chase kártyák sikeresen hozzáadhatók az Apple Payhez ezekkel a módszerekkel.
Az teszi ezt annyira vonzóvá a szélhámosok számára, hogy az Apple Pay szinte semmilyen további ellenőrzést nem igényel az értékesítés helyén. A fizikai hitel-és betéti kártyák sokkal nagyobb kockázatot jelentenek, mivel gyakran megkövetelik, hogy a felhasználó beírja a PIN-kódot a terminálba, vagy átadja a fizikai kártyát egy pénztárosnak, aki ellenőrizheti a nevet, és gyanússá válhat, ha nem egyezik a kártyát birtokló személyével.. Ezt követően viszont kérhetik, hogy lássák el az azonosítást.
Ez egyik sem történik meg az Apple Pay használatakor, mivel feltehetően az iPhone Touch ID vagy Face ID hitelesítése elegendő a tranzakció ellenőrzéséhez. A pénztáros nem lát nevet, és a legtöbb esetben nincs szükség aláírásra vagy PIN-kódra.
Sajnos, amint a jelentésből kiderül, a gyenge láncszem az a folyamat, amelynek során a kártyát először hozzáadják az Apple Payhez.
Hogyan védheti meg magát
Ez nem az Apple, de még csak nem is a bankok és a kártyakibocsátók biztonsági hibája.
A lopott hitelkártya-információkat megszerző bűnözőnek ugyanazon a folyamaton kell átesnie, mint a jogos kártyabirtokosnak, hogy hozzáadja a kártyát az Apple Payhez. Senki sem találta meg a módját, hogy feltörje vagy megkerülje ezt a folyamatot.
Ez teljesen az úgynevezett „szociális mérnöki” támadás. Teljesen azon múlik, hogy a potenciális áldozatokat megtéveszti, és túl könnyen adják fel ellenőrző kódjaikat.
A csalók számára az teszi jövedelmezővé – és mindenki más számára veszélyessé –, hogy ezek az új automatizált robotok lehetővé teszik, hogy potenciális áldozatok százaival minden eddiginél gyorsabban és könnyebben felvegyék a kapcsolatot.
Szerencsére van néhány egyszerű lépés, amellyel megvédheti magát az ilyen csalásoktól:
Ne adjon ki ellenőrző kódokat azoknak, akik telefonon hívják Önt,
erős> nem számít, kinek vallják magukat. Ha szükséges, ajánlja fel a személy visszahívását – de csak a hívott szervezet legitim és közzétett számán. Ne hívjon ismeretlen telefonszámot, hogy ellenőrző kódokat adjon meg. Ha kétségei vannak, keresse meg bankja vagy hitelkártya-társasága hivatalos számát, és hívja közvetlenül őket. Ne kattintson a szöveges üzenetekben lévő linkekre, hacsak nem teljesen biztos abban, hogy az üzenet legitim forrásból származik.Az ellenőrző kódokat soha nem küldik véletlenszerűen. Ha olyan ellenőrző kódot kap, amely nem tett semmit az aktiváláshoz, feltételezze, hogy ez abból adódik, hogy valaki megpróbálta feltörni a fiókját. Ne adja ki ezeket az információkat senkinek.Soha nem szükséges ellenőrző kód a „fiókja további védelméhez”. Ha aggódik egy online fiók biztonsága miatt, változtassa meg jelszavát; ha aggódik hitel-vagy betéti kártyája biztonsága miatt, forduljon közvetlenül bankjához vagy kártyakibocsátójához.
A jó hír az, hogy sok hitel-és betéti kártya sokkal biztonságosabb ellenőrzési módszerekre támaszkodik, mielőtt regisztrálhatná őket az Apple Pay szolgáltatásba. Néhányat csak a bank iOS-alkalmazásán keresztül lehet hozzáadni, ehhez először be kell jelentkeznie a fiókjába. Mások megkövetelik, hogy felhívjon egy tényleges emberi lényt, és ellenőrizze fiókadatait, majd a kártya távoli aktiválásához elfordítanak egy kapcsolót a végén.
Ez a fajta bűncselekmény azt is megmagyarázza, hogy az Apple miért fokozza a csalás elleni védelmet az Apple Pay alkalmazásban. Az olyan nyomkövetési adatok, mint például a tranzakciók helye, biztosíthatják, hogy még ha egy csalónak sikerül is hozzáadni az Ön egyik fizetési kártyáját az iPhone-jához, az gyorsan csalóként lesz megjelölve, mivel nem valószínű, hogy a tolvaj az Ön jelenlegi tartózkodási helye közelében használja..