Jesienią zeszłego roku Apple zaprezentował swój system płatności – Apple Pay. Posiadacze najnowszych telefonów firmy mogą płacić w sklepach zbliżeniowo, po odblokowaniu mobilnego portfela odciskiem palca. Okazuje się jednak, że odsetek transakcji oszukańczych w Apple Pay jest niezwykle wysoki, sięgając aż 6 procent.
Wokół problemu oszustw dokonywanych za pomocą Apple Pay robi się coraz głośniej. Jako pierwszy o sprawie donosił w styczniu Cherian Abraham, doradca w firmie SimplyTapp wdrażającej płatności NFC. Zgodnie z jego informacjami większość wydawców kart uczestniczących w schemacie Apple odnotowuje 6-procentowy odsetek transakcji oszukańczych. Liczba ta jest niezwykle wysoka. Dla porównania w Polsce, zgodnie z danymi publikowanymi przez NBP, w I kwartale 2014 roku oszustwa stanowiły 0,003 proc. liczby i 0,006 proc. wartości wszystkich transakcji kartami.
Ryzyko przyszło „od zaplecza”
Na pozór rozwiązanie Apple wykorzystuje techniki, które powinny skutecznie uniemożliwić oszustwa w płatnościach. Klient płacący zbliżeniowo telefonem musi w momencie dokonywania transakcji przyłożyć palec do czytnika biometrycznego w urządzeniu. Dane biometryczne zapisywane są w wydzielonym układzie elektronicznym – „sejfie”, do którego aplikacje zainstalowane w iPhonie nie mają dostępu.
Informacje o karcie płatniczej przekazywane do terminala w sklepie są zabezpieczone w sprytny sposób – zamiast numeru właściwej karty użytkownika przesyłany jest tzw. token. To jednorazowy numer, dający się wykorzystać tylko w jednej transakcji. Jego przechwycenie nie dałoby złodziejom możliwości dokonywania płatności w imieniu ofiary.
W systemie jest jednak jeden niebezpieczny element, wykorzystany bezlitośnie przez oszustów. Zanim posiadacz smartfona skorzysta z Apple Pay, musi wprowadzić do aplikacji dane swoich kart płatniczych. Złodzieje zorientowali się, że w mobilnym portfelu stosunkowo łatwo jest umieścić skradzione numery kart, kupowane na internetowym czarnym rynku. Podaż jest spora – włamania do systemów informatycznych detalistów owocują wyciekami nawet milionów numerów kart.