蘋果支付真的存在欺詐問題嗎？

據《衛報》報道，蘋果支付正被身份和信用卡被盜的犯罪分子用於欺詐活動。據知情人士透露，雖然蘋果支付加密並未被攻破，但由於犯罪分子在向蘋果支付新增新卡時，利用驗證過程中的漏洞，允許他們在iPhone中新增被盜信用卡，因此移動支付系統的欺詐行為有所增加。...

據《衛報》報道，蘋果支付正被身份和信用卡被盜的犯罪分子用於欺詐活動。據知情人士透露，雖然蘋果支付加密並未被攻破，但由於犯罪分子在向蘋果支付新增新卡時，利用驗證過程中的漏洞，允許他們在iPhone中新增被盜信用卡，因此移動支付系統的欺詐行為有所增加。

但這個問題更多地與銀行有關，而不是與蘋果本身有關。一些發卡銀行在將信用卡新增到蘋果支付（Apple Pay）之前對信用卡進行驗證的方式存在漏洞。儘管欺詐似乎不像早期報告指出的那樣普遍，但它引發了銀行應如何處理越來越多的移動支付系統（如applepay）的問題。

欺詐更多的是與銀行有關，而不是與蘋果有關

若要向Apple Pay新增新卡，必須設定新卡，或由發卡行驗證。此過程的第一步稱為“綠色路徑”身份驗證。透過green path，蘋果會將加密的資料從你的卡上傳送到你的銀行，包括你的裝置名稱、當前位置，以及你是否有大量的iTunes交易記錄。所有銀行都有能力在驗證過程中新增另一個驗證步驟，比如簡訊、電子郵件或使用應用程式，但許多銀行沒有。

A bank can decide whether a credit or debit card requires additional verification. Depending on what is offered by the card issuer, the user may be able to choose between different opti*** for additional verification, such as a text message, email, customer service call, or a method in an approved third-party app to complete the verification. —Apple iOS Security Guide

通常情況下，透過綠道認證傳送給發卡行的資訊足以獲得為Apple Pay配置的卡，但如果沒有，下一步就是“黃道”，它需要這些額外的驗證方法之一才能獲得該卡的批准，而這正是後門所在。很多選擇客服電話作為驗證方法的銀行都把這個過程做得太簡單了，只要求提供社保號碼的最後四位數——如果你的身份被盜，這個細節往往會被揭穿。如果罪犯盜取了身份和信用卡資訊，他們就擁有一切所需的東西，可以讓那些選擇使用****電話作為其黃色路徑驗證方法的銀行驗證該信用卡。

問題源於****呼叫中心缺乏驗證方法

蘋果支付（applepay）成為犯罪分子詐騙的工具只是時間問題。蘋果支付（Apple Pay）和任何移動支付解決方案都降低了犯罪分子使用被盜信用卡的風險。它們非常方便，不需要再**一張新的信用卡（**的做法要困難得多），也不需要把信用卡交給收銀員，而且信用卡可以很快從你的**中刪除。我們稱贊移動支付系統的簡單性和易用性，正是犯罪分子企圖利用它們來剝削他人的原因。

蘋果支付成為欺詐目標只是時間問題

在一份宣告中，蘋果公司基本上說，發卡銀行有責任批准每一張卡，然後才能將其加入蘋果支付系統。”Apple Pay的設計非常安全，可以保護使用者的個人資訊。在安裝過程中，Apple Pay要求銀行驗證每一張卡，然後銀行確定並批准是否可以將一張卡新增到Apple Pay。蘋果公司的一位發言人說：“銀行總是在審查和改進他們的審批流程，這因銀行而異。”。據知情人士透露，各家銀行已經開始做出改變，並收緊了針對蘋果支付的撥備協議。Apple Pay目前支援全美100多家銀行和信用合作社。

移動支付專家Cherian Abraham首先報告了這種情況。亞伯拉罕還是SimplyTapp的顧問，SimplyTapp是一家初創公司，自2013年釋出Android 4.4（KitKat）以來，其移動支付技術主機卡模擬（host card emulation）就被納入了Android系統。”在這一點上，蘋果支付的每個發行人都看到了透過客戶賬戶接管進行的重大持續撥備欺詐，”亞伯拉罕上個月寫道黃道上的欺詐行為像野草一樣滋長，銀行也分不清敵友。”

但據多個訊息來源稱，雖然蘋果支付（Apple Pay）上的欺詐行為有所增加，但欺詐事件在某種程度上是孤立的（亞伯拉罕指出邁阿密和達拉斯附近的有組織犯罪團夥是主犯），並沒有波及到每一個蘋果支付銀行合作伙伴。我採訪了幾家銀行，他們說他們沒有看到任何與蘋果支付有關的欺詐問題，包括PNC，他們說“這不是PNC的問題，我們對目前的反欺詐措施充滿信心。”

一些銀行尚未發現任何與蘋果支付相關的欺詐問題

美國銀行指出，其客戶對任何欺詐行為概不負責，而且該行“隨著新的欺詐策略和方法的發現，對現有的控制措施進行了更新和改進。”富國銀行還吹噓其為客戶提供零責任保護，並利用蘋果支付為部分客戶提供的額外驗證步驟。”富國銀行虛擬渠道負責人吉姆·史密斯說：“作為一種安全措施，一些客戶在將卡新增到蘋果支付系統時，會收到一條“需要驗證”的資訊。”當我們審查移動錢包提供商時，我們會尋找支付安全性、服務質量以及客戶的易用性。支付安全一直是富國銀行（Wells Fargo）的重中之重，而這一驗證是我們多層次方法的一部分。”大通拒絕置評，指的是它的政策，即不分享任何有關其欺詐防範措施的資訊。

“儘管我們透過Apple Pay意識到這是一個問題，但解決方案必須比這更重要。”

隨著越來越多的移動支付系統在不久的將來上線，亞伯拉罕認為，客戶中心呼叫作為一種驗證方法將無法擴充套件。”在不久的將來，我們將看到谷歌、三星、貝寶、亞馬遜和其他許多公司（提供移動支付解決方案）。如果是這樣的話，很快就會清楚，當我需要把我的名片新增到最新的‘東西’上時，面向呼叫中心的方法無法擴充套件首選的方法將是一個可擴充套件的和安全的，而不是不方便。因此，儘管我們透過Apple Pay意識到這是一個問題，但解決方案必須比這更重要。對此的反應必須是，蘋果支付（applepay）等實體的數量呈指數級增長。”

Abraham認為，使用不同資訊的分層方法是讓信用卡和借記卡的所有者（而且只有所有者）驗證的最佳方法。”亞伯拉罕說：“有些[方法]可能涉及只有銀行和消費者知道的共享祕密，有些可能只有消費者知道，有些可能要求對裝置進行任何異常檢查，有些需要一次性使用密碼和登入，在某些情況下甚至需要呼叫中心。”答案不是總是預設相同的過程，而是要有靈活性和複雜性來選擇平衡安全性和便利性的最佳方法。”