Fraude met Apple Pay, hoe veilig is de betaalmethode?

Waarom Apple Pay interessant is

Journalist Joseph Cox van Vice Motherboard schrijft in een recent artikel dat er heel wat chatgroepen zijn die bespreken hoe Apple Pay misbruikt kan worden om creditcardfraude te plegen. Ook andere diensten zoals die van Samsung en Google worden misbruikt voor het plegen van cybercriminaliteit. Er is een reden waarom de criminelen het voorzien hebben op de betaaldiensten: het is mogelijk om zonder pincode contactloos te betalen. Door malware te installeren kunnen de hackers zonder tussenkomst van een pincode bedragen van de rekening halen.

Als gebruikers eenmaal de betaalkaart koppelen aan hun Apple Pay-account, begint het misbruik meteen al. Vaak is het koppelen van de betaalkaart aan Apple Pay erg eenvoudig. Alleen het ontvangen van een pincode op de smartphone is voldoende. Daarna is de betaalmethode gekoppeld en kunnen ook cybercriminelen toeslaan. De methode van Apple Pay is voldoende veilig, maar het is criminelen toch gelukt om de creditcards van slachtoffers te koppelen aan hun eigen smartphone. Daarmee is het controlesysteem omzeild en kunnen gebruikers van Apple Pay beroofd worden van duizenden euro’s.

Controlesysteem omzeilen

Apple Pay gebruikt een controlesysteem om misbruik tegen te gaan. Maar cybercriminelen blijken een manier te hebben gevonden om het controlesysteem van Apple om de tuin te leiden. Het controlesysteem is ontwikkeld door Apple, maar is een verbinding tussen de bank en de iPhone. Om Apple Pay te kunnen koppelen, krijgt de eigenaar van de betaalkaart een sms-bericht. Daarin staat een code van de bank die gebruikt kan worden ter verificatie.

Door de malware komt dat bericht nooit aan, maar wordt deze meteen doorgestuurd naar cybercriminelen. De software zorgt ervoor dat de code door de criminelen te onderscheppen is, zodat de gebruiker denkt dat hij de code nooit ontvangen heeft. Daarna slaan criminelen hun slag door de code en informatie te koppelen aan hun eigen iPhone. Op die manier krijgen zij toegang tot de bankrekening, zonder dat het slachtoffer dat door heeft.

De criminelen gebruiken verschillende soorten malware om de codes te onderscheppen. Deze malware is ook beschikbaar via Telegram-groepen, maar wordt voor veel geld verkocht. In dit geval gaat het om software die zelfstandig taken op zich neemt. Op die manier hoeft de cybercrimineel er zelf weinig moeite meer voor te doen en worden de betaalgegevens opgeslagen in de inbox van de dader. Als de gebruiker eenmaal gehackt is, kopen criminelen cadeaukaarten. Daardoor lijkt het alsof de aanschaf van deze kaarten legitiem is. Daarna worden deze cadeaukaarten weer doorverkocht. Op die manier wordt gestolen geld weer witgewassen.

Alternatief: betalen met iDEAL

Een alternatief voor het betalen met Apple Pay is het gebruik van iDEAL. In Nederland is iDEAL al jaren het populairste middel om online af te rekenen. Zo wordt de betaalmethode tegenwoordig gebruikt bij verschillende aanbieders. Bij vrijwel alle grote webwinkels is het mogelijk om met dit betaalmiddel af te rekenen. En ook kun je met iDEAL betalen bij online casino's. Op die manier blijven de gegevens veilig en ben je niet afhankelijk van betaalmethoden van Apple of Google.

Dat komt doordat iDEAL een volledig eigen systeem heeft dat beheerd wordt door centrale instanties. Doordat er gebruik wordt gemaakt van tokens die meteen na de betaling verlopen, is het niet mogelijk om ongelimiteerd geld van de rekening af te schrijven. Daarbij komt ook dat iDEAL een mogelijkheid om eenmalig af te rekenen, terwijl je bij Apple Pay je bankpas of creditcard koppelt aan je iPhone of Apple Watch om herhaaldelijk – zonder verificatie – betalingen te doen.

Fraudecontrole herkent misbruik niet

Het probleem ligt niet alleen bij Apple, maar ook bij andere fabrikanten. Dit lek is namelijk ook aanwezig bij Google Pay en Samsung Pay, die dezelfde manier van verificatie gebruiken. Daarbij blijkt dat de standaard fraudedetectie van creditcards niet werkt wanneer er betaald wordt met een van deze betaaldiensten. Op die manier zijn slachtoffers extra kwetsbaar. Wanneer een creditcard fysiek wordt misbruikt in het buitenland, wordt deze meteen geblokkeerd. Maar dat is met Apple Pay niet het geval. De kaart kan overal worden gebruikt  voor grote aankopen in het buitenland.

Dat komt doordat bij betaling middels de smartphone de bank minder informatie krijgt. Dat is weliswaar goed voor de privacy van de klant, maar het zorgt ook voor grote kwetsbaarheden van de gebruiker. De opsporing van fraude is namelijk erg lastig. Apple heeft niet op het bericht van Vice gereageerd. Google heeft wel gereageerd en geeft aan dat het gebruikmaakt van ‘industrie-standaard controleprocessen’. Het lijkt erop dat deze standaard ook bij andere methoden zoals die van Apple worden gehanteerd.

Deze controles worden bovendien beheerd door banken en creditcardbedrijven. Daarmee wijzen de ontwikkelaars erop dat het aan de banken en creditcardbedrijven is om het probleem op te lossen.