Podstawowym problemem związanym z płatnościami bezgotówkowymi przy pomocy kart kredytowych są nadużycia, czyli fraudy. Organizacje związane z obsługą kart i wystawcy znają to ryzyko i zarządzają nim, utrzymując nieoficjalnie wskaźnik na poziomie 10bps (czyli straty 10 centów na każde 100USD transakcji). Utrzymują straty na akceptowalnym poziomie. Przypomnę, że w tak wielkim kraju, jak USA, nadal używa się prostych kart z magnetycznym paskiem i akceptuje się transakcje bez obecności karty (MOTO – mail order / telephone order) potwierdzanych jedynie numerem karty oraz datą ważności. Zabezpieczenie takich transakcji jest wręcz prymitywne w porównaniu do znanych w Polsce systemów, które wykorzystują mikroprocesory oraz kod PIN dodatkowo weryfikowany online. Tym bardziej dziwi wysoki poziom nadużyć przy płatnościach Apple Pay, w których korzysta się z protokołu szyfrowanej komunikacji bezprzewodowej, wykorzystuje się tokenizację, w urządzeniach przenośnych tej firmy jest czytnik linii papilarnych, a sam moduł zawierający informacje na przykład biometryczne jest chroniony. Tymczasem poziom nadużyć przy transakcjach via Apple Pay jest bardzo wysoki, w przypadku jednego z wystawców przekracza 600bps – sześć procent ogólnej kwoty transakcji to fraudy. Stoi to w sprzeczności z początkowymi analizami, które zakładały poziom nadużyć rzędu 2-3 bps. Analizy te uwzględniały zastosowane zabezpieczenia i wykorzystywały doświadczenia wystawców kart w innych krajach, takich jak Polska (jesteśmy przecież liderem w bezstykowych płatnościach przy stosunkowo niskim poziomie fraudów). Problem dotyczy jednak nie samego systemu Apple Pay i jego zabezpieczeń technicznych, ale tego, w jaki sposób został on wprowadzony.

Wszystkie banki, które zamierzały rozpocząć współpracę z Apple i wprowadzić swoje płatności przez Apple Pay, musiały opracować procedurę weryfikacji dołączania kart kredytowych do tej usługi. Niestety nie wszystkie banki mają tę procedurę (nazywaną „Yellow Path”) wdrożoną domyślnie. Chociaż teoretycznie powinien tu nastąpić kontakt telefoniczny, potwierdzenie przez aplikację mobilną, a nawet dwuskładnikowe uwierzytelnienie, nie wszystkie banki dostatecznie weryfikują tożsamość oraz wolę dołączenia płatności przez użytkownika karty. Ten problem wykorzystują złodzieje, kupując na czarnym rynku numery i dane kart kredytowych, a następnie dołączając do usługi Apple Pay przy zerowej lub bardzo słabej weryfikacji. Jak twierdzą specjaliści droplabs.co, większość nadużyć pochodzi z kradzieży tożsamości oraz danych kart płatniczych, przechodząc weryfikację bez żadnych problemów, ewentualnie posługują się przy tym odrobiną socjotechniki.
Mechanizm kradzieży jest zatem zupełnie inny, niż spodziewali się tego specjaliści – zamiast łamania zabezpieczeń protokołów kryptograficznych, kradzieży iPhone’ów, ataków pośrednictwa, mamy do czynienia z pospolitą kradzieżą danych kart płatniczych i wprowadzenia tych numerów do usługi Apple Pay. W niektórych przypadkach autoryzacja dołączenia karty kredytowej wymaga jedynie kontaktu ze strony klienta, który dzwoni do call center banku (jest to najmniej bezpieczny sposób!).
Już Charles Darwin, twórca teorii ewolucji powiedział:

Jedynym rezultatem budowania lepszych pułapek są sprytniejsze myszy.

To samo dotyczy złodziei, którzy nie będą łamać zaawansowanych zabezpieczeń, ale po prostu znajdą sposób, by je obejść przy minimalnych nakładach. Zatem winne nie jest Apple ale niedostosowane procedury.

Źródło: droplabs.co

Podobne tematy związane z bezpieczeństwem będą jednym z tematów konferencji SEMAFOR 2015, na którą serdecznie Państwa zapraszam.