Jesienią zeszłego roku Apple zaprezentował swój system płatności – Apple Pay. Posiadacze najnowszych telefonów firmy mogą płacić w sklepach zbliżeniowo, po odblokowaniu mobilnego portfela odciskiem palca. Okazuje się jednak, że odsetek transakcji oszukańczych w Apple Pay jest niezwykle wysoki, sięgając aż 6 procent. Wokół problemu oszustw dokonywanych za pomocą Apple Pay robi się coraz głośniej.
Jako pierwszy o sprawie donosił w styczniu Cherian Abraham, doradca w firmie SimplyTapp wdrażającej płatności NFC. Zgodnie z jego informacjami większość wydawców kart uczestniczących w schemacie Apple odnotowuje 6-procentowy odsetek transakcji oszukańczych. Liczba ta jest niezwykle wysoka. Dla porównania w Polsce, zgodnie z danymi publikowanymi przez NBP, w I kwartale 2014 roku oszustwa stanowiły 0,003 proc. liczby i 0,006 proc. wartości wszystkich transakcji kartami.
Ryzyko przyszło „od zaplecza”
Na pozór rozwiązanie Apple wykorzystuje techniki, które powinny skutecznie uniemożliwić oszustwa w płatnościach. Klient płacący zbliżeniowo telefonem musi w momencie dokonywania transakcji przyłożyć palec do czytnika biometrycznego w urządzeniu. Dane biometryczne zapisywane są w wydzielonym układzie elektronicznym – „sejfie”, do którego aplikacje zainstalowane w iPhonie nie mają dostępu.
Informacje o karcie płatniczej przekazywane do terminala w sklepie są zabezpieczone w sprytny sposób – zamiast numeru właściwej karty użytkownika przesyłany jest tzw. token. To jednorazowy numer, dający się wykorzystać tylko w jednej transakcji. Jego przechwycenie nie dałoby złodziejom możliwości dokonywania płatności w imieniu ofiary.
W systemie jest jednak jeden niebezpieczny element, wykorzystany bezlitośnie przez oszustów. Zanim posiadacz smartfona skorzysta z Apple Pay, musi wprowadzić do aplikacji dane swoich kart płatniczych. Złodzieje zorientowali się, że w mobilnym portfelu stosunkowo łatwo jest umieścić skradzione numery kart, kupowane na internetowym czarnym rynku. Podaż jest spora – włamania do systemów informatycznych detalistów owocują wyciekami nawet milionów numerów kart.
W ten sposób gangi mogą za pośrednictwem wynajętych „mułów” okradać konta przypadkowych ofiar. Potrzebny jest tylko iPhone i można iść na zakupy. Co ciekawe, jednym z najczęściej wybieranych miejsc, w których opróżniane są konta nieświadomych niczego „sponsorów” są… sklepy Apple.
Winne są banki?
Proces dostarczania karty do mobilnego portfela (ang. provisioning) zawiera mechanizmy, które z założenia mają zabezpieczać przed ryzykiem oszustwa. Apple bierze pod uwagę szereg czynników, m.in. historię konta użytkownika i kiedy dodana została karta (wcześniej używana np. w sklepie iTunes). Jeśli automatyczna analiza nie wykryje czynników ryzyka, karta udostępniana jest w Apple Pay. W innym przypadku możliwe są dwie drogi – „żółta”, gdzie zadaniem weryfikacji karty obarczany jest bank-wydawca i „czerwona”, czyli odmowa uruchomienia usługi.
Ponieważ, zgodnie z nieoficjalnymi informacjami, „żółta” procedura została wprowadzona zaraz przed startem systemu, banki nie miały czasu na przygotowanie się do weryfikowania kart trafiających do mobilnego portfela. Najlepszym wyjściem z punktu widzenia bezpieczeństwa byłoby potwierdzanie przez klienta tej operacji np. w aplikacji bankowości mobilnej lub w bankowości internetowej. Z braku czasu na wdrożenie tej funkcji wiele banków wybrało prostsze rozwiązanie – weryfikację przez infolinię. Dla przestępców oznacza to znaczące uproszczenie zadania, zwłaszcza że nierzadko posiadają dość szczegółowe dane o tożsamości swojej ofiary. Oszuści wiedzą także, jak wygląda procedura w poszczególnych bankach i wybierają te, które dają największą nadzieję na łatwy zarobek.
Najsłabsze ogniwo
Przypadek Apple Pay po raz kolejny potwierdza znaną prawdę – każdy system jest tak bezpieczny jak jego najsłabsze ogniwo. Przygotowując w tajemnicy premierę schematu, Apple zaniedbał kwestię komunikacji z bankowymi partnerami. Teraz zbierają oni żniwo niedopatrzeń, płacąc za oszustwa dotykające ich klientów.
Z punktu widzenia użytkowników problem jest właściwie niedostrzegalny, ewentualne straty okradzionych pokrywają banki. Dla Apple jest to jednak wpadka wizerunkowa, zwłaszcza, że niektórzy o usłudze Apple Pay mogą się dowiedzieć po raz pierwszy studiując wyciąg z ogołoconego przez złodziei konta.