Site icon Panda Security Mediacenter

Si può essere derubati con Apple Pay?

È stato scoperto un metodo per inviare addebiti a carte Visa associate ad Apple Pay, ma si tratta solo di uno scenario teorico, per ora.

Un gruppo di ricercatori di Birmingham e Surrey ha scoperto un nuovo loophole nel funzionamento di Apple Pay che può esporre gli utenti iPhone al rischio di essere derubati. L’aspetto più preoccupante è che si tratta di una metodologia di attacco completamente wireless, per cui la vittima non si rende conto di essere stata derubata per intere ore o addirittura giorni.

Apple Pay è considerato uno dei metodi pagamento contactless più sicuri al mondo. Ma è davvero così? Quanto c’è di vero in questa notizia e in che misura la responsabilità è di Apple piuttosto che dei circuiti delle carte di credito coinvolti? Continua a leggere!

Come funziona la truffa basata su Apple Pay

Il principio di base è questo: far credere all’iPhone della vittima che si trova vicino a un accesso contactless a una rete di mezzi pubblici, come la metropolitana di Londra e altre capitali del mondo. Tramite un minuscolo dispositivo radio, all’iPhone viene chiesto di attivare la modalità rapida per i trasporti di Apple Pay.

Il dispositivo radio viene connesso a un altro telefono cellulare che trasmette il pagamento a un terminale per le carte di credito. Quest’ultimo attiva un pagamento tramite addebito che preleva fino a un massimo di 1000 € dalla carta della vittima associata ad Apple Pay.

La modalità rapida è pensata per semplificare la vita di pendolari e cittadini che utilizzano spesso i mezzi pubblici, velocizzando il pagamento delle corse senza la necessità di acquistare un biglietto fisico e riducendo le file alle colonnine di ingresso. Con questo strumento, l’utente deve solo avvicinare il telefono al lettore di carte per attivare un pagamento automatico che, ecco il dettaglio importante, non richiede lo sblocco dell’iPhone né l’inserimento di un PIN o la conferma del pagamento.

L’intero processo è “silenzioso”, in modo da semplificare al massimo l’esperienza di utilizzo; contemporaneamente, però, quando l’utente si converte in vittima, non se ne rende assolutamente conto. In teoria, un hacker potrebbe aggirarsi tra la folla all’entrata della metropolitana e attivare centinaia di pagamenti fraudolenti con Apple Pay utilizzando questa semplice tecnica.

Il vettore di attacco è la Modalità rapida per i trasporti di Apple Pay, pensata per semplificare la vita ai pendolari.

Solo teoria, per ora

La buona notizia è che questa metodologia di attacco non è ancora stata osservata “in the wild”, nel mondo reale. La falla di sicurezza è stata scoperta da ricercatori che si dedicano a cercare e divulgare nuove vulnerabilità prima che vengano sfruttate dai cybercriminali.

Inoltre, questo problema di sicurezza interessa solo le carte Visa configurate per l’utilizzo della modalità rapida di Apple Pay. A questo proposito, un portavoce Visa ha rilasciato una dichiarazione ufficiale sull’argomento, rassicurando i milioni di persone che usano una carta Visa. Il circuito Visa, afferma il portavoce, è assolutamente sicuro e non c’è nessun problema nell’integrazione con Apple Pay. Queste metodologie sono state studiate e confermate solo in ambienti sperimentali, ma una volta applicate nel mondo reale si sono sempre dimostrate impraticabili.

Come proteggersi

Seguendo un approccio più cauto, preferiamo pensare che anche se finora nessun cybercriminale ha utilizzato questa truffa con Apple Pay, è probabile che in futuro qualcuno proverà a usare un metodo simile. Per questo motivo, nonostante le dichiarazioni di Visa, in via del tutto precauzionale potrebbe essere meglio associare una carta MasterCard ad Apple Pay.

Un’altra opzione ancora più drastica è disattivare le funzioni di pagamento automatico senza autenticazione come la modalità rapida di Apple Pay. In definitiva, per confermare un pagamento basta sbloccare fisicamente il telefono con l’impronta digitale o una rapida scansione facciale, che rispettivamente utilizzano gli identificatori biometrici TouchID e FaceID di Apple.

Infine, è possibile acquistare una carta ricaricabile per i trasporti pubblici e associarla alla modalità rapida di Apple Pay, così anche se si dovesse subire un furto, i danni sarebbero mitigati. Questa soluzione non è ancora supportata nel nostro paese, ma dovrebbe essere lanciata a breve.

Per ora, le truffe tramite Apple Pay sono possibili solo in via teorica.

Conclusioni

È importante limitarsi ai fatti e ai dati. Per ora, le truffe tramite Apple Pay sono possibili solo in via teorica, ma non è stato registrato nessun attacco nel mondo reale con questa metodologia.

Inoltre, il timore di futuri attacchi informatici che approfittano di nuove falle di sicurezza non deve farci perdere di vista i vantaggi dei pagamenti contactless: velocità, agilità, facilità di gestione e meno file ai tornelli.

Per concludere, se utilizzi l’iPhone per effettuare pagamenti e salvare dati bancari, ti consigliamo vivamente di utilizzare tutte le impostazioni di sicurezza disponibili e informarti bene sul funzionamento dei vari servizi, ad esempio sulla privacy e sicurezza di Apple Pay.

CONTINUA A LEGGERE: Tecnologia NFC, cos’è e come funziona.

Buona navigazione e buoni acquisti contactless!

Exit mobile version