Nieuwe oplichtingstruc met contactloos betalen via Apple Pay en Google Pay

Gebruik jij diensten als Apple Pay of Google Pay om contactloos te betalen met je smartphone? Cybercriminelen hebben een nieuwe oplichtingstruc bedacht om jouw digitale betaalpas als het ware te kopiëren: een soort creditcardfraude dus. Met behulp van speciale malware kunnen oplichters verificatiecodes afvangen om jouw bankpas of creditcard vervolgens in deze apps te koppelen op hun eigen telefoon. Daarna kunnen oplichters jouw betaalpas in theorie ongemerkt misbruiken voor aankopen die contactloos worden betaald.

Dat meldt techplatform Motherboard, onderdeel van Vice.

Daarbij dient overigens wel te worden vermeld dat het in bovenstaande artikel niet specifiek over Nederlandse banken gaat. Dus of, en zo ja, in hoeverre Nederlanders momenteel écht risico lopen, is niet duidelijk. Maar omdat het natuurlijk nooit kwaad kan om jezelf vooraf goed te informeren over potentiële veiligheidskwesties, leggen we het toch even uit.

Hoe zit dat? Als jij gebruik maakt van diensten als Apple Pay of Google Pay, dan moet je in de regel een aanvullende beveiligingscode invoeren op het moment dat je voor het eerst een bankpas of creditcard koppelt. Dat is in het kader van de veiligheid een noodzakelijke maatregel, anders is het wel heel makkelijk om andermans rekeningnummer op te geven om daar vervolgens betalingen mee te doen.

Oplichters probeerden dit soort beveiligingscodes voorheen via allerlei 'ouderwetse' trucs in handen te krijgen. Denk dan aan phishingmails, WhatsApp-berichten of sms'jes waarin gevraagd wordt om "een code door te sturen". Deze methode is natuurlijk best bewerkelijk, aangezien de meeste mensen hier niet zomaar in zullen trappen. De kans op slagen is dan ook niet groot.

Maar nu dient zich een nieuw probleem aan. Volgens onderzoeker Joseph Cox van Motherboard zijn er onlangs tools ontwikkeld die in staat zijn om deze zogenaamde authenticatietokens te onderscheppen. Daarmee wordt het voor oplichters dus mogelijk om ongemerkt andermans creditcard of betaalpas aan Google Pay of Apple Pay te koppelen, dus zonder dat gedupeerden dat in eerste instantie doorhebben. Maar hoe?

Deze tools worden momenteel aangeboden en verhandeld in diverse groepen op chat-app Telegram, aldus Motherboard. Oplichters hebben zoals het ernaar uitziet een voorkeur voor diensten als Apple Pay, al blijkt uit de Telegram-chats niet expliciet waarom ze hier een voorkeur voor hebben. Het vermoeden bestaat echter dat dat komt doordat deze diensten de gebruikers in staat stellen om zonder pincode contactloos te betalen.

In normale situaties hoef je je betaalkaart éénmalig te koppelen door de koppeling met een bevestigingscode te verifiëren. Daarna kun je betalingen bevestigen via de pincode van je telefoon of eventueel via een vingerscan. Zolang jij de enige bent die toegang heeft tot de telefoon waarop Apple Pay geïnstalleerd staat, is dat in principe gewoon een veilige methode.

Een ander verhaal wordt dat als het oplichters lukt om deze bevestigingscode te onderscheppen en vervolgens jouw betaalkaart aan een andere telefoon weten te koppelen. En dat is exact waar deze nieuwe oplichtingsmalware voor wordt gebruikt, zo meldt Motherboard.

Als jij je betaalkaart aan Apple Pay koppelt, treedt er bij de bank normaal gesproken een controlemechanisme in werking, en de rekeninghouder krijgt in deze gevallen een sms met daarin een code ter bevestiging. Maar deze malware is geavanceerd genoeg om dit mechanisme voor de gek te houden. De bevestigingscode om een betaalkaart te koppelen aan Apple Pay, gaat namelijk niet naar de rekeninghouder, maar naar de beheerder van de malware, oftewel de oplichter. 

En zo weten oplichters ongemerkt betaalkaarten te misbruiken. Is de betaalpas eenmaal gekoppeld aan Apple Pay op een nieuw toestel? Dan kunnen oplichters vanaf het andere toestel contactloze betalingen verrichten via jouw betaalkaart. In de praktijk blijkt dat er vaak cadeaukaarten worden gekocht, uiteraard bestemd voor de doorverkoop.

Bijkomend probleem is dat er minder gegevens worden uitgewisseld bij contactloos betalen via apps als Apple Pay. Uit privacy-oogpunt is dat in zekere zin natuurlijk mooi meegenomen, maar fraudedetectie wordt er zo bepaald niet makkelijker op.

Bij creditcardverstrekkers gaan de alarmbellen doorgaans wel rinkelen als er onregelmatige transacties worden geconstateerd. Dat kan gaan om transacties waar grote bedragen mee zijn gemoeid, of om transacties die elders ter wereld worden uitgevoerd: dat kan voor banken een signaal zijn dat er iets niet in de haak is.

Maar bij betalingen via apps voor contactloos betalen treedt het detectiemechanisme niet in werking, simpelweg omdat er minder informatie wordt uitgewisseld over transacties die op deze wijze worden gedaan. Daardoor neemt de kans toe dat de fraude pas in een later stadium wordt ontdekt, met grotere schadebedragen tot gevolg.

Motherboard vroeg Apple Pay en Google Pay om een reactie. Apple reageerde niet op de bevindingen en verwees naar het feit dat de banken verantwoordelijk zijn om zorg te dragen voor een betrouwbare verificatie. Google verwees ook naar het feit dat het de banken zijn die zorg moeten dragen voor alle processen omtrent authenticatie van klanten.

Daarnaast werd genoemd dat de controleprocessen voldoen aan de in de sector gangbare kwaliteitsstandaard, al ging Google verder niet in op details.

Bron: Motherboard / Bron afbeelding: Piqsels