苹果支付真的存在欺诈问题吗？

据《卫报》报道，苹果支付正被身份和信用卡被盗的犯罪分子用于欺诈活动。据知情人士透露，虽然苹果支付加密并未被攻破，但由于犯罪分子在向苹果支付添加新卡时，利用验证过程中的漏洞，允许他们在iPhone中添加被盗信用卡，因此移动支付系统的欺诈行为有所增加。...

据《卫报》报道，苹果支付正被身份和信用卡被盗的犯罪分子用于欺诈活动。据知情人士透露，虽然苹果支付加密并未被攻破，但由于犯罪分子在向苹果支付添加新卡时，利用验证过程中的漏洞，允许他们在iPhone中添加被盗信用卡，因此移动支付系统的欺诈行为有所增加。

但这个问题更多地与银行有关，而不是与苹果本身有关。一些发卡银行在将信用卡添加到苹果支付（Apple Pay）之前对信用卡进行验证的方式存在漏洞。尽管欺诈似乎不像早期报告指出的那样普遍，但它引发了银行应如何处理越来越多的移动支付系统（如applepay）的问题。

欺诈更多的是与银行有关，而不是与苹果有关

若要向Apple Pay添加新卡，必须设置新卡，或由发卡行验证。此过程的第一步称为“绿色路径”身份验证。通过green path，苹果会将加密的数据从你的卡上发送到你的银行，包括你的设备名称、当前位置，以及你是否有大量的iTunes交易记录。所有银行都有能力在验证过程中添加另一个验证步骤，比如短信、电子邮件或使用应用程序，但许多银行没有。

A bank can decide whether a credit or debit card requires additional verification. Depending on what is offered by the card issuer, the user may be able to choose between different opti*** for additional verification, such as a text message, email, customer service call, or a method in an approved third-party app to complete the verification. —Apple iOS Security Guide

通常情况下，通过绿道认证发送给发卡行的信息足以获得为Apple Pay配置的卡，但如果没有，下一步就是“黄道”，它需要这些额外的验证方法之一才能获得该卡的批准，而这正是后门所在。很多选择客服电话作为验证方法的银行都把这个过程做得太简单了，只要求提供社保号码的最后四位数——如果你的身份被盗，这个细节往往会被揭穿。如果罪犯盗取了身份和信用卡信息，他们就拥有一切所需的东西，可以让那些选择使用****电话作为其黄色路径验证方法的银行验证该信用卡。

问题源于****呼叫中心缺乏验证方法

苹果支付（applepay）成为犯罪分子诈骗的工具只是时间问题。苹果支付（Apple Pay）和任何移动支付解决方案都降低了犯罪分子使用被盗信用卡的风险。它们非常方便，不需要再**一张新的信用卡（**的做法要困难得多），也不需要把信用卡交给收银员，而且信用卡可以很快从你的**中删除。我们称赞移动支付系统的简单性和易用性，正是犯罪分子企图利用它们来剥削他人的原因。

苹果支付成为欺诈目标只是时间问题

在一份声明中，苹果公司基本上说，发卡银行有责任批准每一张卡，然后才能将其加入苹果支付系统。”Apple Pay的设计非常安全，可以保护用户的个人信息。在安装过程中，Apple Pay要求银行验证每一张卡，然后银行确定并批准是否可以将一张卡添加到Apple Pay。苹果公司的一位发言人说：“银行总是在审查和改进他们的审批流程，这因银行而异。”。据知情人士透露，各家银行已经开始做出改变，并收紧了针对苹果支付的拨备协议。Apple Pay目前支持全美100多家银行和信用合作社。

移动支付专家Cherian Abraham首先报告了这种情况。亚伯拉罕还是SimplyTapp的顾问，SimplyTapp是一家初创公司，自2013年发布Android 4.4（KitKat）以来，其移动支付技术主机卡仿真（host card emulation）就被纳入了Android系统。”在这一点上，苹果支付的每个发行人都看到了通过客户账户接管进行的重大持续拨备欺诈，”亚伯拉罕上个月写道黄道上的欺诈行为像野草一样滋长，银行也分不清敌友。”

但据多个消息来源称，虽然苹果支付（Apple Pay）上的欺诈行为有所增加，但欺诈事件在某种程度上是孤立的（亚伯拉罕指出迈阿密和达拉斯附近的有组织犯罪团伙是主犯），并没有波及到每一个苹果支付银行合作伙伴。我采访了几家银行，他们说他们没有看到任何与苹果支付有关的欺诈问题，包括PNC，他们说“这不是PNC的问题，我们对目前的反欺诈措施充满信心。”

一些银行尚未发现任何与苹果支付相关的欺诈问题

美国银行指出，其客户对任何欺诈行为概不负责，而且该行“随着新的欺诈策略和方法的发现，对现有的控制措施进行了更新和改进。”富国银行还吹嘘其为客户提供零责任保护，并利用苹果支付为部分客户提供的额外验证步骤。”富国银行虚拟渠道负责人吉姆·史密斯说：“作为一种安全措施，一些客户在将卡添加到苹果支付系统时，会收到一条“需要验证”的信息。”当我们审查移动钱包提供商时，我们会寻找支付安全性、服务质量以及客户的易用性。支付安全一直是富国银行（Wells Fargo）的重中之重，而这一验证是我们多层次方法的一部分。”大通拒绝置评，指的是它的政策，即不分享任何有关其欺诈防范措施的信息。

“尽管我们通过Apple Pay意识到这是一个问题，但解决方案必须比这更重要。”

随着越来越多的移动支付系统在不久的将来上线，亚伯拉罕认为，客户中心呼叫作为一种验证方法将无法扩展。”在不久的将来，我们将看到谷歌、三星、贝宝、亚马逊和其他许多公司（提供移动支付解决方案）。如果是这样的话，很快就会清楚，当我需要把我的名片添加到最新的‘东西’上时，面向呼叫中心的方法无法扩展首选的方法将是一个可扩展的和安全的，而不是不方便。因此，尽管我们通过Apple Pay意识到这是一个问题，但解决方案必须比这更重要。对此的反应必须是，苹果支付（applepay）等实体的数量呈指数级增长。”

Abraham认为，使用不同信息的分层方法是让信用卡和借记卡的所有者（而且只有所有者）验证的最佳方法。”亚伯拉罕说：“有些[方法]可能涉及只有银行和消费者知道的共享秘密，有些可能只有消费者知道，有些可能要求对设备进行任何异常检查，有些需要一次性使用密码和登录，在某些情况下甚至需要呼叫中心。”答案不是总是默认相同的过程，而是要有灵活性和复杂性来选择平衡安全性和便利性的最佳方法。”