卡還在但卡號被盜?Apple Pay恐成詐騙天堂

Apple Pay一樣會有詐騙問題      (圖:AFP)
Apple Pay一樣會有詐騙問題 (圖:AFP)

資安專家認為,iPhone 增加付款感應功能後,蘋果 (AAPL-US) 與其銀行夥伴可能不經意間,讓信用卡詐騙更猖獗。

只要將付款卡片的正面拍下,就可以新增該卡至 Apple Pay,設備可運作光學字元辨識該圖,以提入卡片號碼、到期日期和其他細節。因為這些數字可以手動輸入,所以不必實地接觸到卡片。

根據 Apple Pay 支援頁面的說明,在新增信用卡或簽帳卡到 iPhone 的 Apple Pay 之後,這些細節就會加密傳送至銀行,以及該用戶 iTunes 帳戶活動紀錄、交易歷史和實際位置,也將一併傳給銀行。

銀行將依照這些紀錄,判斷是否核准該卡添加到 Apple Pay,或者透過人工電話聯繫,要求進一步確認。此舉係為防止卡片遺失後,遭人植入 Apple Pay。

但問題是,一些美國銀行過份簡化了驗證過程,僅要求受話者提供社會安全號碼的末 4 碼就可以。

對於駭客而言,取得社會安全號碼並非難事,且證據顯示,比起傳統盜用信用卡的手法,Apple Pay 上整個安裝過程更容易出現詐欺行為。

想像一下,一個駭客若手上有滿是信用卡和社會安全號碼的數據庫,那將這些信用卡加入 Apple Pay 再瘋狂消費,這是再簡單不過的事了。

《衛報》記者 Charles Arthur 報導,整體損失已經衝上數百萬美元,且遠高於預期,因為約莫 200 萬名美國人均在使用此付費系統。

「這些詐騙者沒有破壞環繞在 Apple Pay 指紋啟動的無線付費機制周圍的安全加密,他們反而是用偷來的個資設定新 iPhone,然後打電話給銀行,在電話上提供受害者卡片資料,再用來購物。」

Apple Insider 指出,與其說 Apply Pay 內部資安控管疲弱,導致身分詐欺事件頻傳,不如說是因為銀行驗證控管鬆散,才造成此問題。

行動支付領域專家 Cherian Abraham 預警,因為 Apple Store 是詐騙熱門目標之一,所以 Apple Pay 引起的詐騙事件相當「猖獗」。他在 Drop Labs 部落格上發文表示,蘋果手機的符號化、設備上的安全儲存和生物識別系統,這些加起來相當強大,但是提供卡號到 Apple Pay 這個動作卻是蘋果手機的安全軟肋。

無獨有偶,Gartner 獨立分析師、支付領域專家 Avivah Litan 也對 Apple Pay 詐騙行為感到憂心。

但他也同時警告,Samsung、LoopPay 和 MCX、CurrentC (沃爾瑪、百思買與其他美國大型零售商使用中) 推出手機感應式付卡機制時,均有可能面臨同樣問題,除非銀行加緊監控才行。