'Nieuwe fraudemethode misbruikt Apple Pay en Google Pay'
Cybercriminelen hebben een nieuwe methode gevonden om via contactloze betaalmethoden als Apple Pay, Google Pay en Samsung Pay creditcardfraude te plegen. Slachtoffers worden daarbij met malware gehackt.
Criminelen bespreken in chatgroepen op Telegram hoe Apple Pay nu 'de makkelijkste manier' is om creditcardfraude te plegen. Dat schrijft journalist Joseph Cox van Vice Motherboard, die toegang heeft tot de chatgroepen.
Apple Pay en vergelijkbare diensten hebben waarschijnlijk de voorkeur omdat daarmee zonder pincode contactloos betaald kan worden. Als gebruikers hun betaalkaart eenmaal gekoppeld hebben, is authenticatie via de pincode van de telefoon genoeg – of via vinger- of gezichtsscan. En die methode is ook veilig, totdat het criminelen lukt om de creditcard van een ander aan hun eigen iPhone te koppelen, zoals hier het geval is.
Controlesysteem foppen
De truc die de criminelen gebruiken, is het foppen van het controlesysteem tussen de bank en de iPhone. Dat gebeurt op het moment dat de eigenaar van de kaart een sms-bericht met een eenmalige code van de bank krijgt. Die code moet worden ingevoerd om Apple Pay te activeren. Maar de eigenaar van de kaart ontvangt de code nooit: de malware vangt de code af en speelt die door naar de crimineel. Dat gebeurt meestal ongemerkt.
De malware die gebruikt wordt om zulke codes af te vangen, wordt voor veel geld verhandeld via de genoemde Telegram-groepen. Het gaat om een zogenoemde bot: software die zelfstandig en automatisch wat taken kan uitvoeren.
Eenmaal gehackt kopen de criminelen hoofdzakelijk cadeaukaarten van het geld. Die kunnen dan weer worden doorverkocht.
Fraudecontrole ziet misbruik niet
Bijkomend nadeel voor slachtoffers is dat de standaard fraudedetectie van creditcards niet werkt als er contactloos betaald wordt via Apple Pay, Google Pay of Samsung Pay. Als een creditcard rechtstreeks wordt gebruikt voor een opvallend grote aankoop in het buitenland, wordt die automatisch geblokkeerd.
Bij een betaling van een smartphone krijgt de bank of creditcardverstrekker minder informatie door. Dat is over het algemeen positief voor de privacy van de klant, maar maakt detectie van fraude wel moeilijker. Apple wilde niet op het verhaal van Vice reageren. Google wijst op de "industrie-standaard controleprocessen" die het gebruikt en ook Samsung wijst op zulke controles die worden beheerd door banken en creditcardbedrijven.