Hotie cu iPhone: Cum iti fura cu totul contul Apple Pay

Joi, 05 Martie 2015, ora 13:00
4678 citiri
Hotie cu iPhone: Cum iti fura cu totul contul Apple Pay
Foto: Quartz

Hotii au gasit deja vulnerabilitatile sistemului Apple Pay, iar bancile se confrunta cu un val de cazuri de frauda prin sistemul de plata electronic dezvoltat de gigantul IT.

Investigatiile arata insa ca bresele din sistemul de securitate tin mai mult de furtul de identitate, decat de spargerea efectiva a codurilor biometrice de recunoastere a persoanei, arata o analiza a postului american CNBC.

Hotii fac pe victimele

Metoda care a pus pe jar mediul bancar din Statele Unite este extrem de simpla.

Hotii isi incarca datele unor carduri furate pe noile iPhone-uri cumparate si, folosind cateva detalii din mediul online despre victime, joaca apoi rolul acestora pentru a primi noile date de contact si securitate.

Detaliile cardurilor si detaliile personale ale adevaratilor proprietari nu sunt atat de greu de accesat de catre hoti, asa ca avem de a face cu o inselatorie extrem de usor de pus in practica, avertizeaza expertii in securitate.

"Apple putea sa faca mai mult"

Cum metoda se rezuma doar la talentul actoricesc al hotilor, nu si la capacitatea lor de a sparge codurile de securitate ale sistemelor biometrice folosite de Apple Pay, vina pare sa apartina bancilor.

Este doar o aparenta, sustin specialistii in sisteme de securitate.

"Ambele parti poarta o parte din vina, pentru ca Apple putea sa faca mai mult. Dar frauda se petrece, intr-adevar, in momentul in care bancile verifica acele carduri. Nu este propriu-zis o vulnerabilitate a sistemelor de securitate Apple", explica Samuel Bucholtz, co-fondator al companiei Casaba Security.

Procesul de securizare a datelor cu caracter personal descris pe site-ul Apple presupune ca, in momentul in care un client adauga un card in sistemul Apple Pay, compania cripteaza datele pe care le transmite bancii, adaugand si informatii suplimentare: detalii despre frecventa utilizarii contului de iTunes sau informatii despre dispozitivul mobil folosit.

De aici, problema verificarii identitatii posesorilor de carduri pica in seama bancilor, dar de obicei functionarii institutiilor financiare pun intrebari de siguranta usor de verificat, inclusiv in mediul online.

De asemenea, din dorinta de a nu-si stresa clientii, bancile renunta la a efectua o verificare amanuntita a acestora.

Intre utilitate si securitate

Bancile s-au aratat incantate de inovatiile in domeniul platilor electronice si au recomandat clientilor folosirea acestor sisteme de plata.

JP Morgan, de exemplu, a comunicat recent ca a ajuns la un milion de clienti care efectueaza plati prin Apple Pay, iar Bank of America are 1,1 milioane de utilizatori ai sistemului inca din 2014.

"Bancile au sarit cu capul inainte, promovand aceste metode de plata fara a tine cont ca implica un compromis intre gradul de utilitate si securitate. Bancile nu au remarcat decat utilitatea sistemului", mai spune Bucholtz.

O solutie pe care atat Apple, cat si bancile ar putea sa o puna in practica consta in emiterea unui cod PIN emis de banca pentru inregistrarea unui nou card. Acesta ar putea fi trimis pe e-mail posesorului contului si folosit pentru activare, considera Samuel Bucholtz.

Apple trebuie sa faca compromisuri

Bancile trebuie sa-si rezolve intr-adevar problema emiterii cardurilor catre posesorii de drept ai conturilor, dar asta nu scuteste compania IT de anumite compromisuri pe care trebuie sa le faca la randul ei.

"Apple are un proces de verificare a datelor oarecum inferior, pentru ca pleaca de la premiza ca tot ceea ce-si doresc consumatorii este confortul, iar daca ar face un sistem complicat, acestia s-ar putea sa nu-l foloseasca", sustine Joe Loomis, directorul firmei CyberSponse.

Acesta crede ca trebuie gasita o solutie care sa fie in aceeasi masura sigura si usor de utilizat pana si de bunicii care au adoptat noua metoda de plati digitale.

"Apple trebuie sa gaseasca un echilibru intre sistemul de securitate si modul facil in care pana si persoanele varstnice se pot adapta la noua tehnologie. Din pacate, aceste doua lucruri nu coincid intotdeauna", crede Loomis.

O lume a compromisului ieftin

Dezvoltatorul de sisteme de securitate Cherian Abraham, cel care a dezvaluit si metodele de frauda ale hotilor de identitate, crede totusi ca Apple nu manifesta un interes foarte mare fata de aceasta problema.

"Daca Apple poate convinge bancile sa-i acorde un comision de 15 puncte de baza pentru fiecare tranzactie prin Apple Pay, ma gandesc ca ar putea sa le convinga sa efectueze si verificari mai serioase in momentul in care acorda acces la conturile clientilor", spune acesta intr-o postare pe Twitter.

Joe Loomis sustine, de asemenea, ca Apple are in spate mai multe precedente in care, de dragul confortului utilizatorilor, eficienta sistemului de securitate a fost sacrificata.

Cel mai cunoscut caz a fost spargerea sistemului iCloud, petrecuta anul trecut, cand firma s-a multumit sa mentina o bariera de securitate fragila, in locul uneia cu doi factori de autentificare.

"Cu cat introduci mai multe sisteme de securitate si de verificare, cu atat mai putini utilizatori vei avea. Atata vreme cat popularitatea si utilitatea unui produs depasesc proportia riscului de fraudare esti considerat unul dintre castigatori.

Apple cunoaste acest lucru si stie ca daca va introduce un sistem drastic de securitate pe produsele sale, acestea nu vor mai avea aceeasi priza la public.

De aici pana la pierderea interesului actionarilor si finanatorilor pentru tehnologiile Apple mai este doar un pas. Asta este lumea in care traim. Este un risc pe care trebuie sa ni-l asumam", spume Loomis.

#frauda Apple Pay, #furt identitate Apple Pay, #sistem securitate bancara, #securitate cibernetica Apple , #Produse