Вопросы безопасности Apple Pay

Использование украденных кредитных карт:

Как в последней статье подробно объяснялось, как конечный пользователь может зарегистрироваться в системе Apple Pay, было сделано одно большое предположение: конечный пользователь использует свою собственную авторизованную и проверенную карту, а не украденную кредитную карту., Учитывая сложность Интернета, легко украсть номера кредитных карт, особенно если кибер-злоумышленник знает, что такое «Темная паутина», и утверждают, что украденные номера кредитных карт можно продавать здесь. за столь же высокие 2,00 $ за штуку. Таким образом, проблема становится при вводе номера украденной кредитной карты в iPhone, который также снабжен угнанным номером сотового телефона. Это считается даже формой кражи личных данных, которая была специально помечена как «Предоставление». Нет сомнений в том, что злоумышленнику легко ввести номер украденной кредитной карты. Хотя Apple Pay подтверждает личность конечного пользователя, когда он или она входит в iPhone , он не подтверждает личность конечного пользователя, поскольку они вводят номер кредитной карты, Другими словами, хотя конечный пользователь является законным владельцем iPhone, он также может быть «владельцем» украденного номера кредитной карты без каких-либо вопросов при вводе его в Apple Pay. 

Основной причиной этого является то, что Apple не подтверждает действительность номера кредитной карты (хотя она использует шифрование и токены) после того, как она была обработана Apple Pay; вместо этого они оставляют это банкам-эмитентам для выполнения этой задачи. Хотя в этих банках существуют специальные протоколы по предотвращению мошенничества (которые просто проверяют наличие каких-либо аномалий), правда заключается в том, что алгоритмы, которые составляют основу этих протоколов, должны быть полностью переработаны и откорректированы, чтобы соответствовать постоянно растущая изощренность кибер-атакующего. Тем не менее, жизненно важный вопрос, который нужно задать, где именно находится в процессе подтверждения номера кредитной карты в Apple Pay эта мошенническая деятельность? Это происходит в тот момент, когда банк-эмитент получает информацию о кредитной карте, а также информацию, относящуюся к учетной записи iTunes; общее местоположение конечного пользователя и любые соответствующие ссылки на приложения мобильного банкинга, которые установлены на этом устройстве iPhone.

Таким образом, учитывая устаревшие функции безопасности, которыми обладают банки-эмитенты, все, что должен сделать кибер-злоумышленник, - это перехватить эту информацию, которая передается из Apple Pay в банк-эмитент. Затем он должен получить новое устройство iPhone, загрузить информацию об украденной кредитной карте и тайно украсть номер телефона человека, которому принадлежит украденная кредитная карта.

Точка доступа Wi-Fi:

Нет сомнений в том, что существуют серьезные проблемы, связанные с безопасностью, когда речь идет об использовании точки доступа Wi-Fi, предлагаемой в общедоступном месте. Например, хотя многие из них требуют сочетания имени пользователя и пароля, нет никакой гарантии, что фактическое сетевое соединение зашифровано. Чаще всего это не так, и, как следствие, почти любой вид злонамеренной, скрытой деятельности может иметь место в отношении конечного пользователя, даже если он об этом не знает. Что еще хуже, есть даже проблема поддельной точки доступа Wi-Fi, которую злоумышленники устанавливают, чтобы они выглядели легитимными для конечного пользователя, такого как Xfinity, AT & T, Verizon и т. д. Эта проблема мошенническая точка доступа теперь стала влиять и на Apple Pay. 

Например, Исследователи из компании Cybersecurity, известной как Wandera, обнаружили серьезную уязвимость в операционной системе iOS, которая в основном позволяет фиктивной странице Apple Pay появляться на iPhone, если она подключена к мошеннической точке доступа. Затем конечному пользователю предлагается ввести информацию о своей кредитной карте, которая затем, конечно же, будет захвачена злоумышленником для проведения мошеннических транзакций на основе мобильного кошелька. Важно отметить, что эта поддельная страница Apple Pay имеет свои недостатки, а это означает, что, на первый взгляд, можно сказать, что это подделка. Однако для конечного среднего конечного пользователя высока вероятность того, что он не сможет различить, является ли это поддельной страницей или реальной вещью. Это предположение, что кибер-злоумышленники делают ставку на запуск мошеннических страниц Apple Pay. 

В техническом плане этот тип атаки известен именно как атака «Captive Portal». Это происходит, когда устройство iPhone пытается подключиться к любой точке доступа Wi-Fi (включая ложные) с известным идентификатором набора услуг (также известным как «SSID»). Они также передаются в общедоступный интернет-домен, даже если они не подключены к определенной сети, с помощью различных «сообщений зонда». С этого момента поддельная точка доступа Wi-Fi может затем инициировать так называемую « Probe Request »для подключения к легитимной сети, маскируясь под легальную точку доступа. Отсюда, как только это соединение будет установлено, злоумышленник может развернуть поддельную страницу Apple Pay на любом устройстве iPhone. В этом отношении это не обязательно к странице Apple Pay; кибер-злоумышленник может развернуть практически любую поддельную страницу, какую пожелает, для сбора информации о кредитной карте или любых других конфиденциальных данных (таких как комбинация имени пользователя и пароля). 

Атака «Captive Portal» может произойти, когда конечный пользователь собирается завершить транзакцию Apple Pay. Кибер-злоумышленник может быть поблизости, разворачивая поддельную страницу Apple Pay. Затем конечному пользователю, конечно же, будет предложено ввести информацию о своей кредитной карте, думая, что это обычная часть процесса - снова вводить номер своей кредитной карты снова, даже после того, как он введен в первый раз. время в процессе настройки. Однако правда в том, что кибер-злоумышленник тайно захватывает информацию о кредитной карте для собственной выгоды. Атака «Captive Portal» может произойти, когда конечный пользователь собирается завершить транзакцию Apple Pay. Кибер-злоумышленник может быть поблизости, разворачивая поддельную страницу Apple Pay. Затем конечному пользователю, конечно же, будет предложено ввести информацию о своей кредитной карте, думая, что это обычная часть процесса - снова вводить номер своей кредитной карты снова, даже после того, как он введен в первый раз. время в процессе настройки. Однако правда в том, что кибер-злоумышленник тайно захватывает информацию о кредитной карте для собственной выгоды. Атака «Captive Portal» может произойти, когда конечный пользователь собирается завершить транзакцию Apple Pay. 

Кибер-злоумышленник может быть поблизости, разворачивая поддельную страницу Apple Pay. Затем конечному пользователю, конечно же, будет предложено ввести информацию о своей кредитной карте, думая, что это обычная часть процесса - снова вводить номер своей кредитной карты снова, даже после того, как он введен в первый раз. время в процессе настройки. Однако правда в том, что кибер-злоумышленник тайно захватывает информацию о кредитной карте для собственной выгоды. думая, что это обычная часть процесса - снова вводить номер своей кредитной карты, даже после того, как они ввели его в первый раз в процессе настройки. Однако правда в том, что кибер-злоумышленник тайно захватывает информацию о кредитной карте для собственной выгоды. думая, что это обычная часть процесса - снова вводить номер своей кредитной карты, даже после того, как они ввели его в первый раз в процессе настройки. Однако правда в том, что кибер-злоумышленник тайно захватывает информацию о кредитной карте для собственной выгоды.