Nieuwe oplichtingstruc met contactloos betalen via Apple Pay en Google Pay – Kassa

22-04-2022

leestijd 4 minuten

10860 keer bekeken

betalen_smartphone_20220422

Gebruik jij diensten als Apple Pay of Google Pay om contactloos te betalen met je smartphone? Cybercriminelen hebben een nieuwe oplichtingstruc bedacht om uw digitale betaalpas als het ware te kopiëren: een soort creditcardfraude dus. Met behulp van speciale malware kunnen oplichters verificatiecodes afvangen om jouw bankpas van vervolgens in deze apps te koppelen op hun eigen telefoon. Later kunnen oplichters uw betaalpas in theorie ongemerkt misbruiken voor aankopen die contactloos worden betaald.

Daarbij dient dient wel te worden vermeld dat in bovenstaande artikel niet betreffende Nederlandse zaken gaat. Dus of, en zo Nederlanders momenteel ja risico lopen, is niet duidelijk. Maar omdat het natuurlijk nooit kwaad kan om jezelf goed te informeren over veiligheidskwesties, leggen we het toch vooraf uit.

Betaalpas koppelen via beveiligingscode

Hoe zit dat? Als jij gebruik maakt van diensten als Apple Pay of Google Pay, dan moet je in de regel een aanvullende beveiligingscode invoeren op het moment dat je voor het eerst een bankpas of creditcard koppelt. Dat is in het kader van de veiligheid een regeling, anders is het wel gemakkelijk om andermans rekeningnummer op te geven om daar betalingen mee te doen.

Oplichters van beveiligingscodes voorheen via ‘ouderwetse’ trucs in handen te krijgen. Denk aan phishingmails, WhatsApp-berichten of sms’jes waarin wordt bedoeld om “een code door te sturen”. Deze methode is natuurlijk best bewerkelijk, aangezien de meeste mensen hier niet zomaar in zullen trappen. De kans op slagen is dan ook niet groot.

Maar nu dient zich een nieuw probleem aan. Volgens onderzoeker Joseph Cox van Motherboard zijn er onlangs ontwikkelde tools die in staat zijn om deze authenticatietokens te onderscheppen. creditcard van betaalpas aan Google Pay of Apple Pay te koppelen, dus zonder dat gedupeerden dat in eerste instanties doorhebben. Maar hoezo?

Contactloos betalen zonder pincode

Deze tools worden momenteel aangeboden en in diverse groepen op chat-app Telegram, volgens Motherboard. Oplichters hebben zoals het tonen van een voorkeur voor diensten als Apple, al bleek-chats niet expliciet waarom ze hier een voorkeur voor hebben. Het is gebaseerd op het bestaan ​​van deze diensten op de gebruikers in staat stellen om zonder pincode contactloos te betalen.

In normale situaties hoef je je betaalkaart te koppelen door de koppeling met een bevestigingscode te verifiëren. Betalingen bevestigen via de pincode van je telefoon van verbinding via een vingerscan. Zolang jij hebt de toegang tot de telefoon geïnstalleerd, is dat in principe gewoon een veilige methode.

Detectiemechanisme van banken omzeild

Een ander verhaal dat lukt om deze bevestigingscode te onderscheppen en vervolgens uw betalingskaart aan een andere telefoon weten te koppelen wordt. En dat is exact waar deze nieuwe oplichtingsmalware voor wordt gebruikt, zo meldt Motherboard.

Als jij je betaalkaart aan Apple Pay koppelt, er bij de bank normaal gesproken een controlemechanisme in werking, en de rekeninghouder krijgt in deze gevallen een sms met een code bevestiging. Maar deze malware is vreemd genoeg om dit mechanisme voor de gek te houden. De bevestigingscode om een ​​betaalkaart te koppelen aan Apple Pay, gaat namelijk niet naar de rekeninghouder, maar naar de beheerder van de malware, oftewel de oplichter.

En zo weten oplichters ongemerkt betaalkaarten te misbruiken. Is de betaalpas draaien aan Apple Pay op een nieuw toestel? Dan kunnen oplichters vanaf via uw betaalkaart. In de praktijk blijkt dat er vaak cadeaukaarten worden gekocht, betaald voor de doorverkoop.

Minder fraudecontrole bij contactloos betalen

Bijkomend probleem is dat er minder gegevens worden uitgewisseld bij contactloos betalen via apps als Apple Pay. Uit privacy-oogpunt is dat in zekere zin natuurlijk meegenomen, maar fraude detectie wordt er zo bepaald niet op.

Bij creditcardverstrekkers worden wel rekeningen gehouden met onregelmatige transacties. Dat kan gaan om transacties waar grote bedragen mee zijn gemoeid, of om transacties die oudsten ter wereld worden uitgevoerd: dat kan voor banken een signaal zijn dat er iets niet in de haak is.

Maar bij betalingen via apps voor contactloos betalen betalingen het detectiemechanisme niet in werking, omdat er minder informatie wordt uitgewisseld over transacties die op deze wijze worden gedaan. Daardoor wordt de kans op fraude pas in een later stadium ontdekt, met grotere schadebedragen tot gevolg.

Moederbord vroeg Apple Pay en Google Pay om een ​​reactie. Apple niet op de volgende en verwees naar het feit dat de banken verantwoordelijk zijn om te dragen voor een betrouwbare verificatie. Google verwees ook naar het feit dat de banken moeten zorgen voor alle processen ongeveer authenticatie van klanten.

Daarnaast werd genoemd dat de controleprocessen voldoen aan de in de sector gangbare kwaliteitsstandaard, al ging Google verder niet in op details.

Bron: Moederbord / Bron afbeelding: Piqsels

Leave a Reply

Your email address will not be published.