Apple Pay這類支付方式,跟信用卡比起來,哪種比較安全呢?多數專家都認為Apple Pay這類支付方式倚賴虛擬帳戶號碼,而且會為每一次交易製作獨特的代碼。這些加密代碼,會先由Visa、Mastercard等信用卡發行商認證,接著才會核可交易,加上Apple Pay和Samsung Pay都需要指紋認證,安全性遠遠超越傳統信用卡。
不過,百密總有一疏。繼日本中國留學生將非法獲得的信用卡資料綁定自己手機的盜刷ApplePay大做無本生意後,台灣也驚傳首遭盜刷事件。Apple Pay為何會被盜刷呢? 樹大招風的Apple Pay到底還安不安全呢 ? 該如何避免被盜刷呢? 以下做一解析與說明:
圖片來源: 自由時報
掌握最新電信資費及3C產品訊息,請加入小丰子3C俱樂部粉絲頁!
根據日本與台灣所發生的Apple Pay被盜刷的事件,被盜刷的方法並非Apple Pay虛擬帳戶號碼及每一次交易製作獨特的代碼(Token)被盜所致,而是犯罪人將他人的信用卡綁定在自己的手機,再竄改信用卡用戶的電話號碼與信箱號碼,輕易便可冒充是信用卡的用戶讓信用卡公司傳送認證碼到自己的手機上,開通並使用ApplePay付款。台灣首宗盜刷案,遭盜刷七萬元的國泰世華及台北富邦皆表示,此案是黃嫌取得客戶資料後,變更通訊資料,而後加載 Apple Pay 並綁定持卡人的信用卡進行盜刷,非行動支付系統出問題。
換言之,目前Apple Pay這類行動支付採取虛擬帳戶號碼及每一次交易製作獨特的代碼(Token)的方式並沒有被攻破,出問題的是被害人的信用卡及詳細個資外洩所致。
圖片來源: VISA
Apple Pay為何會被盜刷呢? 要使用Apple Pay付款,首先必須將信用卡綁定在iPhone手機上且感應刷卡必須使用Touch ID的指紋辨識,所以要利用Apple Pay來盜刷必須有以下可能方式:
1.信用卡與iPhone(含Sim卡)同時失竊且iPhone尚未設定有Touch ID:
iPhone與卡片都掉了,iPhone還未設解鎖密碼也還未設定Touch ID且Sim卡的電話是就是在銀行綁定的連絡電話。 手機是在原廠設定(清空)狀態,犯罪人只要新增信用卡資料並由該手機Sim收到銀行發出的六位數認證密碼,自然可以順利完成設定Apple Pay並進行盜刷! 不過,要發生這種腦殘狀況且被害人未去掛失的機率微乎其微,目前也未有類似狀況被盜刷。
2.信用卡失竊或卡號&有效日期&安全碼被取得,並被綁定在犯罪人iPhone上:
Apple Pay有個小漏洞就是”非實名制”,所以可以在iPhone的Apple Pay加入非本人信用卡,方便父母給尚無法申請信用卡資格的子女或老公給家人當附卡使用。是故,若能取得別人實體信用卡或信用卡資料(卡號、有效日期及安全碼(信用卡背面三個數字)),又可以獲得由銀行註冊的手機取得六位數的密碼,的確就可以使用自己的iPhone去刷別人的信用卡。但要及時獲得他人在銀行註冊的手機取得六位數的密碼通常不易, 且這種方式通常必須被害人的手機要經常在犯罪人身邊,否則刷卡金額過大,銀行通常會發簡訊或致電來確認,往往就會東窗事發。
日本與台灣Apple Pay被盜刷的方法則是犯罪人取得被害人信用卡資料或實體信用卡並有被害人詳細個資後,致電銀行變更通訊資料,直接取得銀行傳來的六位數的密碼,然後加載到自己iPhone的 Apple Pay 進行盜刷。為了避免再度發生類似變更通訊資料進行盜刷,台灣兩家Apple Pay被盜刷的銀行表示 : 「若持卡人變更電話號碼等聯絡方式時,信用卡客服人員除了會進行身分確認外,授信管理部也會以其他控管方式確認客戶身分,同時針對行動支付的持卡人,將有更嚴格的預警作法。」
由於犯罪人要取得被害人的信用卡及所有個資資料來騙過銀行並不是那麼容易,版主認為日本的案例應該是日本中國留學生利用新進留學生不闇日本申請銀行帳戶及信用卡的流程以協助銀行開戶及代辦申請信用卡的詐騙話術,藉此取得被害人所有信用卡資料與銀行個資所致。台灣的案例則是持卡人不明究理的將自己的信用卡資訊「隨便告知他人」,提供信用卡資料給黃嫌「是想請他幫忙開戶」,誤信去銀行開戶要提供信用卡資料及相關個資。當用戶搞不清楚銀行金融業務,也過度輕忽自己所持金融工具的重要性,被詐騙剛好而已。不過,透過這種手法來詐騙的人也有點腦殘,這種詐騙頂多就騙一個月,當被害人收到帳單發現被盜刷報警就馬上很容易被警方循線逮人,所以不是黃嫌缺錢缺瘋了,就是案情沒有報載這麼簡單。
圖片來源: 網路
整體而言,Apple Pay在「 Tokenization」與「 Touch ID」加持下,安全性是優於實體信用卡的。為避免使用Apple Pay被盜刷,請遵循以下六大原則:
A.保管好實體的信用卡與iPhone。
B. iPhone要設定解鎖密碼及Touch ID,並開啟「尋找我的iPhone」。
C. 銀行開戶及信用卡申辦不要透過他人代辦以免洩漏相關個資,不要提供手機收到銀行傳來的6位數密碼給他人。
D. 使用Apple Pay的iPhone不要越獄(JB),也不要安裝任何來自非官網的不明App,以免IOS的安全機制被破壞導致容易被黑客侵入。
E. 減少在高風險的網路商店進行交易,以免影響Apple Pay的使用安全。
F. 執行原廠發布的不定期系統更新及謹慎使用公眾WIFI連線。
2 Comments
Chieh
2017-08-30 at 08:07:47盜刷可能方式A應該不成立吧?
未設密碼根本無法開啟apple Pay 的功能吧?
https://support.apple.com/zh-tw/HT203027
tu0925399900
2017-08-30 at 09:12:00A的情況是手機完全是清空的(原廠設定),犯罪人同時取得信用卡、空手機及在銀行註冊的手機Sim, 就可以用該手機去設定Apple Pay.因有手機門號,可以收到銀行發來的六位數密碼,所以可以順利綁定。不過,這些條件都要成立,微乎其微。