Gli utenti Apple hanno a disposizione Apple Pay, il servizio che consente di pagare nei negozi fisici e online, nelle app che lo supportano e sui siti web usando l’iPhone, l’iPad, il Watch o il Mac. Il tutto avviene in modo veloce, semplice e sicuro tramite tecnologia NFC e previa associazione della carta di credito, di debito o carte del punto vendita all’account Apple. Considerando che non usciamo mai senza il nostro telefono, con Apple Pay possiamo dire addio ai contanti, così come al rischio di perdere carte di credito e bancomat o di non ricordarci il codice segreto. Usare Apple Pay per lo shopping online ci evita, poi, di inserire dati della carta o personali.
Per i suoi vantaggi e per la versatilità, Apple Pay è considerato uno dei metodi pagamento contactless più sicuri al mondo. Ma è davvero così?
Recentemente, un gruppo di ricercatori di Birmingham e Surrey ha scoperto un nuovo loophole – una lacuna nella sicurezza – nel funzionamento di Apple Pay che può esporre gli utenti iPhone al rischio di essere derubati.
Il principio di base è questo: far credere all’iPhone della vittima di trovarsi vicino ad un accesso contactless di una rete di mezzi pubblici, come ad esempio la metropolitana grandi capitali europee. Tramite un minuscolo dispositivo radio, all’iPhone viene chiesto di attivare la modalità rapida per i trasporti di Apple Pay.Il dispositivo radio viene connesso a un altro telefono cellulare che trasmette il pagamento a un terminale per le carte di credito. Quest’ultimo attiva un pagamento tramite addebito che preleva fino a un massimo di 1000 € dalla carta della vittima associata ad Apple Pay.
Il vettore di attacco è la Modalità rapida per i trasporti di Apple Pay, pensata per semplificare la vita ai pendolari. Per questo, l’intero processo è “silenzioso”, in modo da semplificare al massimo l’esperienza di utilizzo. Il che accade, però, anche quando l’utente si converte in vittima, non rendendosene così assolutamente conto.
Questo problema di sicurezza sembrerebbe interessare solo le carte Visa configurate per l’utilizzo della modalità rapida di Apple Pay. A questo proposito, un portavoce Visa ha rilasciato una dichiarazione ufficiale rassicurando i milioni di utenti che utilizzano il circuito sulla assoluta sicurezza e sull’inesistenza di problemi di integrazione con Apple Pay.
Per ora la buona notizia è che questa metodologia di attacco non è ancora stata osservata nel mondo reale. La falla di sicurezza è stata scoperta da ricercatori che si dedicano a identificare e divulgare nuove vulnerabilità prima che esse vengano sfruttate dai cybercriminali.
Siamo in ogni caso portati a pensare che, anche se finora nessun cybercriminale ha utilizzato questa truffa con Apple Pay, è probabile che in futuro qualcuno proverà a usare un metodo simile. Per questo motivo ecco alcuni consigli per evitare di essere vittime di attacchi tramite Apple Pay
Come proteggersi
Come primo passaggio è opportuno verificare se si è stati vittime di attacchi che hanno coinvolto Apple Pay controllando le ultime transazioni effettuate. Apple Pay utilizza un numero specifico e un codice di transazione univoco: ciò significa che i dati della carta associata non vengono mai memorizzati sul device né sui server. Inoltre, non vengono archiviati i dati sulle transazioni e solo gli acquisti più recenti (di solito gli ultimi 10) vengono conservati e appaiono su Wallet. Qui, a seconda dell’istituto di credito, troviamo l’ultima transazione di ciascuna carta di credito o di debito con i dettagli su importo dell’acquisto e luogo. Se tra questi si rilevano delle transazioni che non risultano, è necessario segnalarle immediatamente al sistema.
Considerando che il metodo di attacco della Modalità rapida per i trasporti di Apple Pay sembrerebbe far breccia al momento nel circuito Visa, in via estremamente cautelare e del tutto precauzionale, potrebbe essere più sicuro associare una carta di un altro circuito ad Apple Pay.
Un’opzione ancora più drastica è disattivare le funzioni di pagamento automatico senza autenticazione come la modalità rapida di Apple Pay. In definitiva, per confermare un pagamento basta sbloccare fisicamente il telefono con l’impronta digitale o una rapida scansione facciale, che rispettivamente utilizzano gli identificatori biometrici TouchID e FaceID di Apple.
Infine, è possibile acquistare una carta ricaricabile per i trasporti pubblici e associarla alla modalità rapida di Apple Pay, così anche se si dovesse subire un furto, i danni sarebbero limitati. Questa soluzione non è ancora supportata nel nostro paese, ma dovrebbe essere lanciata a breve.
Per ora, è bene ricordarlo, le truffe tramite Apple Pay sono possibili solo in via teorica.
Inoltre, il timore di futuri attacchi informatici che approfittano di nuove falle di sicurezza non deve farci perdere di vista i vantaggi dei pagamenti contactless: velocità, agilità, facilità di gestione e meno file ai tornelli.
Per concludere, se si utilizza un’iPhone per effettuare pagamenti e salvare dati bancari, consigliamo di utilizzare tutte le impostazioni di sicurezza disponibili e di informarsi bene sul funzionamento dei vari servizi, ad esempio sulla privacy e sicurezza di Apple Pay.
Buona navigazione e buoni acquisti contactless!
