自2014年苹果推出Apple Pay以来,也迅速成为全球主要的移动支付方式之一,但随着用户数量增加,也开始有诈骗集团利用Apple Pay盗刷,甚至还有用户将旧iPhone手机回收却遭10万多高铁票,甚至有安卓用户没使用iPhone,同样发生信用卡糟绑定Apple Pay盗刷短期内也被刷万元金额,到底这些是如何发生,也引发网友好奇 Apple Pay 安全性的质疑。
Apple Pay是什么? 它如何运作?
Apple Pay 是苹果推出的移动支付系统,让用户可以通过 iPhone、Apple Watch 或其他苹果 设备进行感应式付款。 无论是在支持感应付款的实体店面、网站还是 App 中,Apple Pay 都能提供便利又安全的支付体验。
启用Apple Pay后,用户只需将信用卡或金融卡加入Apple钱包(Apple Wallet),就能在支持感应付款的终端机上轻松付款,系统主要会通过近场通讯技术(NFC)进行数据传输,让用户在付款时不需要交出实体卡片,还能安全交易。
Apple Pay盗刷事件频传
有民众投诉媒体自己遭遇严重Apple Pay盗刷事件,一位台中林先生在购买新iPhone后,过两天后将旧手机送至台中大路口的3C数位科技回收机台进行回收,却在当天晚上9点,他在新手机上重新绑定Apple Pay,但从晚上10点开始至25日的三天内,Apple Pay信用卡却被盗刷了73笔交易,总金额高达106,530元, 全部用于购买高铁票。
在发现 Apple Pay 盗刷后,林先生也立即向银行申报,但直到隔年11月才收到回复,银行表示因为这些交易被归类为「境外交易」,无法追回Apple Pay争议款项,需要林先生自行负责,最后金管会评议中心提出申诉,评议中心认为双方都有疏失,判定银行应赔偿林先生15,000元。
3C数字科技发表声明表示,目前尚无法确认该起信用卡盗刷事件与公司门市回收流程有直接关联,毕竟消费者回收时都需要清除手机资料,同时iCloud也会自动注销并移除Apple Pay信用卡绑定,系统确认后才能进入回收程序。
从相关资料来看,这并非是iPhone旧机回收后遭到平台业者盗刷,更不可能平台业者有能力在短时间内将资料回复进行盗刷,原因出自于该名用户本身信用卡资料和验证码早已经流入诈骗集团手中。
Apple Pay遭盗刷主要关键原因解析
近年来Apple Pay盗刷事件频繁发生,实际调查发现这并非是Apple Pay系统或银行系统有漏洞造成。
金管会就曾明确指出造成Apple Pay遭盗刷事件,大多数都是因钓鱼诈骗攻击手法,或用户没有把证件等个人资料保管好。
原因 1:钓鱼网站和信件骗取OTP验证码
根据《麦克哥》深入调查发现,通常诈骗集团最常通过钓鱼网站或电子邮件方式,来骗取用户的信用卡信息,引诱用户交出绑定Apple Pay的OTP验证短信。
就有不少人都曾收到诈骗集团发送的Apple Pay停用通知警告钓鱼信件,内容要求用户进快在72小时内完成认证,否则付款资格将被永久禁用,目的就是诱导不知情iPhone用户点击信件内连结窃取信用卡和绑定Apple Pay认证码。
当用户通过假冒Apple官方电子邮件点入钓鱼网站后,先是自己输入信用卡资料,最后在填入收取到的OTP验证码时,就会导致诈骗者能将受害者的信用卡绑定到自己设备Apple Pay账户上,后续就能进行盗刷。
对于用户将旧iPhone手机拿到回收机台后才发生Apple Pay盗刷,只是时间恰好碰巧诈骗集团在那时间点开始刷卡,才出现回收被盗刷乌龙事件。
原因 2:用户自行提供个资给网友
金管会也发现,也爆出首宗Apple Pay盗刷案件,主要是有民众私将自己的证件等个人资料分享给网络上未曾见面的不知名网友。
才会导致该名网友趁机冒名去银行申请补办信用卡,或是变更客户在银行的数据,近一步通过Apple Pay移动支付线上购买和刷卡。
原因 3:VISA可能存在快速模式漏洞
国外安全研究人员向BBC分享一项研究,Apple Pay在启用「快速模式」功能时,可能被骇客利用进行中继攻击,绕过屏幕锁定直接使用Visa信用卡支付,这种攻击方式甚至不需要用户授权即可完成交易。
他们早已经把这项资安疑虑通报给苹果和Visa,但苹果也回应影响用户安全的威胁都非常重视,但这次问题主要出自于Visa系统层面漏洞。
Visa 认为这种攻击很难达成,更何况攻击都是在实验室环境内,尚无证据显示有犯罪集团已经开始利用这个漏洞,且系统设计有多重安全防护机制,如果真的出现未经授权的交易,Visa 也已明确保证,他们会依’零责任政策’保护持卡人。
Apple Pay安全度比实体信用卡比较好吗?
蛮多用户会抱持怀疑态度好奇 Apple Pay 安全度,实际苹果推出 Apple Pay 主要采用了先进的安全架构,与传统信用卡相比也更具有优势,也很难让信用卡盗刷器窃取和复制卡片资料。
而且 Apple Pay 并不是存储实际卡号,而是使用加密过的「设备帐号号码」(Device Account Number)来取代,仅只会保存在一个业界标准、经过认证的独立安全芯片(Secure Element),专门用于安全储存付款信息。
每次在付款时,Apple Pay都会产生一组独一无二的交易代码,这表示你的实际卡片信息并不会直接传给商家,不论是实体店购物还是线上消费,Apple都通过加密技术与芯片级安全机制来保护你的卡片资料,让每一笔交易都更加安心。
身份验证和动态安全码
每次在使用 Apple Pay 交易每次付款前,用户必须也必须先使用 Face ID (面部识别)或 Touch ID 指纹辨识或设备密码进行身份验证,随后每笔交易都会使用一次性的动态安全码,这是系统使用交易计数器和密钥运算而出的,这些安全码会随着每笔新交易而递增,并提供给付款网络和发卡机构,供他们验证每笔交易。
使用独特的加密码,这个代码每次使用后都会更改,确保同一代码永不重复使用,连同商家只能接收到设备和特定交易的唯一代码,并非是原本真实卡号。
加密传输与隐私保护
Apple Pay 还会针对每笔金融数据进行加密处理,确保卡片信息在储存与传输过程中都受到严密保护,而且验证过程涉及商家网站、商家服务器和Apple Pay服务器之间的双向TLS凭证交换。
甚至商家也永远不会收到你的实际卡号,只能接收到设备代币和特定交易的唯一代码,Apple也承诺 Apple Pay 交易完全不会储存或追踪用户支付详细信息,能确保的隐私受到保护。
装置遗失保护
要是 iPhone 遗失后也不用担心 Apple Pay 会被盗刷,毕竟每次交易都还是需要通过身份认证,且用户也可以通过 Find My iPhone 寻找远端停用 Apple Pay,就算设备离线同样也能生效。
整体来说,Apple Pay多层次安全机制也相对比传统信用卡更安全,同时保护用户的隐私和交易安全,还能降低再支付过程卡号外流风险。
