Üha rohkem inimesi maksab oma mobiiltelefonidega ja eriti iPhone'idega. Nende seas, kes neid iga päev kasutavad, Apple Payst on saanud igapäevane tööriist nagu kaardi taskust väljavõtmine, olgu siis füüsilistes poodides ostlemiseks või veebist tellimiseks. Sellel normaalsusel on ka ebameeldivam külg: kui maksesüsteem muutub laialt levinud, muutub see ka petturitele väga atraktiivseks sihtmärgiks.
Hiljuti a Märkimisväärne pettuste kasv Apple Pay kaudu Mitmes riigis kasutavad küberkurjategijad üha keerukamaid tehnikaid. Alates pankade või Apple'i nime imiteerivatest sõnumitest kuni ametlike veebisaitidega peaaegu identsete veebisaitideni on kõik loodud selleks, et kasutajad kaotaksid hetkeks valvsuse ja avaldaksid oma andmeid, nagu on avaldatud [järgnevas]. andmebaasja kurjategija saab kaarte linkida, teha volitamata makseid või konto üle täieliku kontrolli võtta.
Miks on Apple Payst saanud nii mahlane sihtmärk
Mobiilimaksete levik on muutnud seda, kuidas me oma raha liigutame: Kohesed ja kontaktivabad maksed kõikjaltSee mugavus avab aga ka kurjategijatele ukse turvaaukude ärakasutamiseks. Apple Pay kui üks maailma levinumaid makseplatvorme on selle stsenaariumi keskmes.
Võimud ja küberturvalisuse spetsialistid on hoiatanud, et pime usk tehnoloogiasseSee koos tehingute kiirusega loob ideaalse pinnase sellistele pettustele. Paljud kasutajad eeldavad, et kui nende telefon küsib koodi või kinnitust, on kõik turvaline, arvestamata sellega, et nad võisid sinna jõuda petturliku lingi kaudu.
Erinevate riikide julgeolekuasutuste kirjeldatud olukord sobib ka Euroopas ja Hispaanias täheldatuga: Samad pettuse mustrid korduvad väga erinevates keskkondades, mis näitab, et jõugud kasutavad taktikaid uuesti, kuid varieeruvad veidi olenevalt turust ja keelest.
Paralleelselt on kasutatud kaupade turgude ja veebipoodide esiletõus lisanud veel ühe riskikihi. Mõnel juhul, kui kurjategijad saavad kätte Apple Payga seotud kaardi andmed, teevad nad mitte ainult otseostusid, vaid ka Nad müüvad tooteid edasi või kasutavad kontosid kolmandate osapoolte rakendustesnii et pettuse ohver ei oleks alati sama isik, kes näeb makset oma pangaväljavõttel.
Identiteedivargus: kui pettur kehastub Apple'iks või teie pangaks
Üks levinumaid meetodeid on identiteedivargus, tuntud ka kui võltsimineSeda tüüpi rünnakut analüüsitakse artiklis identiteedivargus iOS-isSkeem on lihtne, aga tõhus: kurjategija teeskleb end panga, Apple'i klienditeeninduse või isegi tuntud poe töötajana ning kasutab hirmu või pakilisust, et panna kasutaja tegutsema ilma liigselt mõtlemata.
Teade võib saabuda SMS-i, e-posti või telefonikõne teel. Tavaliselt hoiatatakse sõnumis väidetavad ebaregulaarsed tasud, kontode blokeerimised või Apple Pay turvaprobleemid. Sealt edasi palutakse kasutajal oma andmed "kinnitada" või tehing kinnitada, et vältida edasist kahju.
Seda tüüpi pettuse eesmärk on, et ohver esitaks kriitilisi andmeid: kinnituskoodid, paroolid, kaardinumber või isikuandmedSelle teabe abil saab pettur kaardi oma seadmega siduda, makseid autoriseerida või konto juurdepääsuandmeid muuta.
Usutavamaks muutmiseks kasutavad paljud kurjategijad selliseid võtteid nagu helistaja ID või SMS-i saatja võltsimineEkraanil kuvatav number või nimi ühtib panga või Apple'i omaga. See raskendab pettuse tuvastamist, eriti kasutajate jaoks, kes on seda tüüpi ohuga vähem tuttavad.
Euroopas ja Hispaanias, kus panganduseeskirjad nõuavad klientide tugevat autentimist, keskenduvad kurjategijad just nimelt veenda kasutajat neid teisi turvategureid pakkuma, esitledes neid pelgalt rutiinsete kontrollietappidena.
Õngitsus- ja kloonitud veebisaidid: ideaalne sööt volituste varastamiseks
Teine levinud pettusetehnika, mis on seotud Apple Pay kasutamisega, on PhishingSellisel juhul võetakse esmalt ühendust tavaliselt e-posti või SMS-i teel. Sõnum hoiatab kahtlase ostu, ebatavalise sisselogimise või väidetava Apple'i või pangakonto blokeerimise eest ning sisaldab linki tehingu "ülevaatamiseks" või "tühistamiseks".
Sellele lingile klõpsates suunatakse kasutaja aadressile veebisait, mis jäljendab suure täpsusega Ametliku saidi välimus: logod, värvid, kujundus ja mõnikord isegi turvasertifikaadid, mis võivad eksitada neid, kes ei kontrolli hoolikalt tegelikku domeeniaadressi.
Need võltsitud veebisaidid küsivad teavet, näiteks Apple ID, parool ja kinnituskoodid saadetakse SMS-i või push-teavituse teel...ja isegi täiendavat pangateavet. Kui ohver selle teabe sisestab, pääseb kurjategija mõne minutiga ligi päriskontole.
Tüüpiline näide on pangast saadetud teade, mis teavitab teid Apple Payga tehtud ostust ja pakub linki tehingu "tühistamiseks". Kiireloomulisuse tunne mängib siin võtmerolliPaljud inimesed, keda hirmutab kõrge positsiooni võimalus, klõpsavad lingil ilma aadressi õigsust kontrollimata.
Kui protsess on sisse logitud, tundub see kasutaja vaatenurgast täiesti normaalne. Kuigi lehel kuvatakse edu- või kinnitussõnumeid, on tegelikkuses juhtunud ainult see, et andmed on sattunud petturite kätte, kes... Nad kasutavad seda ajavahemikku ära, et konto üle kontroll haarata. ja teostada petturlikke tehinguid enne, kui ohver jõuab reageerida.
Võltsrakendused, avalikud WiFi-võrgud ja muud nipid andmete jäädvustamiseks
Lisaks sõnumitele ja kõnedele kasutavad küberkurjategijad ka pahatahtlikud rakendused ja ohustatud WiFi-võrgud et proovida hankida teavet Apple Pay ja teiste mobiilimaksete kohta. Eesmärk on, et seade ise muutuks sisenemispunktiks.
Võltsitud rakenduste puhul on need tavaliselt maskeeritud järgmiselt: pangarakendused, finantsjuhtimise tööriistad või väidetavad utiliidid allahindluste saamiseks või preemiad mobiiltelefoniga maksmise eest. Mõned laaditakse alla ametlikest poodidest pärast turvakontrolli läbimist, teised aga levivad vähem turvaliste alternatiivsete kanalite kaudu ja on mõnikord seotud selliste ohtudega nagu Uus pahavara WhatsAppis mis varastab kasutajaandmeid.
Pärast installimist võivad need rakendused küsida liigseid lube või kuvada vorme, mis kutsuvad kasutajat sisse logima. volitused, kaardiandmed või isikuandmed mis tegelikult saadetakse ründaja serveritesse. Mõnel juhul võib pahavara isegi proovida teavitusi pealt kuulata või kinnituskoode sisaldavaid sõnumeid lugeda.
Avalikud WiFi-võrgud kujutavad endast samuti lisariski. Kui loote ühenduse kaitsmata või omavoliliselt muudetud juurdepääsupunktidKasutajad võivad saata andmeid kurjategijate endi kontrolli all oleva infrastruktuuri kaudu. Kuigi Apple Pay on loodud töötama kõrgete turvastandarditega, võivad muud maksega seotud teenused (e-post, SMS, pangalingid) olla haavatavad.
Sellistes kohtades nagu kohvikud, jaamad või lennujaamad pole haruldane leida ühendusi, mis näivad olevat õigustatud, kuid tegelikkuses on need loodud selleks, et... liikluse pealtkuulamine ja mandaatidele juurdepääsu andmineSeetõttu nõuavad võimud, et finantstehingute puhul on eelistatav kasutada mobiilse andmesideühendust või usaldusväärseid võrke.
Varastatud kaartidega ostud ja pettused järelturu platvormidel
Kui kurjategijatel õnnestub pääseda ligi Apple Payga seotud kaardile või siduda see oma seadmega, ei piirdu nad alati otseostudega tavalistes poodides. Mõned neist pettustest levivad veebiturgude kaudu. ja veebipoed, kus raha ja tooted vahetavad kiiresti omanikku.
Sellistel juhtudel teevad petised makseid kahjustatud kaardiga kasutatud kaupade müügiteenustes või turuplatsidel. Nad saavad toote seaduslikult kättesamas kui kaardiomanik jääb teadmatuks kuni ta kontrollib oma pangakontot ja avastab tundmatuid makseid; sarnaseid juhtumeid on täheldatud tehingute puhul, kus Kodanikuvalve lammutas vandenõu pühendatud petturlikule müügile.
Kui ohver esitab kaebuse ja finantsasutus tühistab makse, Platvormil olev aus müüja võib jääda ilma raha ja tooteta.Kuna ese on juba saadetud ja kohale toimetatud, tekitab pettus ahelreaktsiooni, mis mõjutab mitut inimest.
Sellised olukorrad muudavad nõude menetlemise keerulisemaks, kuna mängu tulevad nii eraisikute vahelised lepingud, ostja ja müüja kaitsepoliitika kui ka platvormi enda tegevused. See pole alati lihtne. kindlaks teha, kes kannab majanduslikku kahjumis muudab seda tüüpi kuriteod eriti kahjulikuks.
Seetõttu on soovitatav olla äärmiselt ettevaatlik, kui ostja pakub ebatavalised makseviisid, liigne kiirustamine või liiga soodsad tingimused tehingu lõpetamisel. Kuigi pettus ei ole alati otseselt Apple Payga seotud, võivad teenusega seotud kaardid ja kontod olla osa kuritegelikust skeemist.
Kuidas minimeerida Apple Pay kasutamise riske
Vaatamata olukorrale on pettuse ohvriks langemise tõenäosust võimalik märkimisväärselt vähendada. Küberpolitsei üksuste ja tarbijaorganisatsioonide soovitused on sarnased, väikeste erinevustega, kuid kõik põhinevad samal ideel: taastada kontroll jagatud teabe üle ja meie kasutatavate kanalite kohta.
Põhireegel on mitte kunagi jagada kinnituskoodid, paroolid või pangarekvisiidid Ükski seaduslik ettevõte ei küsi seda tüüpi teavet kõnede, SMS-sõnumite ega e-kirjade kaudu, olenemata sellest, kas teine pool väidab end olevat Apple'i või finantsasutuse esindaja.
Samuti on oluline Kontrolli kahtlast tegevust otse panga ametlikust rakendusest või Apple Pay seadetestSõnumites olevate linkide järgimise asemel. Kui on tegemist tõelise probleemiga, ilmub see isegi siis, kui saidile tavapäraste kanalite kaudu ligi pääsete.
Teine oluline kaitsekiht on kahefaktoriline autentimine ja reaalajas teavitused. Teie Apple ID turvavõtmed See pakub täiendavat tõket volitamata juurdepääsu vastu ja raskendab andmepüügil põhinevate rünnakute õnnestumist.
Lõpuks, kuigi see võib tunduda väikese detailina, tasub sellele paar sekundit lisa panna kontrollige veebilehtede täpset aadressi kuhu me sisestame volitusi, ning väldime finantsteenustele juurdepääsu avalike või tundmatute WiFi-võrkude kaudu.
Kokkuvõttes viitab kõik sellele, et Apple Pay pettuste edu ei tulene niivõrd süsteemi tehnilistest vigadest, kuivõrd petturite oskustest. Usalduse, kiirustamise ja kontrolli puudumise ärakasutamine Mõnede kasutajate arvates on kriitilise mõtteviisi säilitamine, ootamatute teadete suhtes ettevaatlik olemine ja alati ametlikele kanalitele lootmine endiselt parim viis mobiiltelefoni kasutamiseks maksete tegemiseks, muutmata seda kurjategijatele avatud ukseks.
