Oplichting via Apple Pay? Het kan! Criminelen zijn er namelijk in geslaagd om creditcardfraude via Apples betaaldienst te plegen. Ook Google Pay en Samsung Pay zijn kwetsbaar. De truc werkt via malware en vooralsnog zijn er geen Nederlandse slachtoffers bekend.
Apple Pay fraude
Steeds meer mensen gebruiken contactloze betaaldiensten, zoals Apple Pay. Afrekenen is daarmee een fluitje van een cent, want je hebt alleen maar een iPhone, Apple Watch of Mac nodig. Bovendien is het systeem heel veilig, want je moet betalingen goedkeuren door middel van een pincode of een scan van je vingerafdruk of gezicht.
Het systeem heeft ook kwetsbaarheden, ontdekte Vice. De website kreeg toegang tot gesprekken in Telegram waar criminelen een nieuwe vorm van creditcardfraude via Apple Pay bespreken.
Hierbij koppelen ze de kaart van het slachtoffer aan hun eigen iPhone, om er vervolgens met de buit vandoor te gaan. In de groepen wordt ook malware aangeboden om de oplichting mee uit te voeren.
Hoe werkt de fraude
De oplichting via Apple Pay gebeurd op de volgende manier. Het komt erop neer dat de criminelen tussen het controlesysteem van de bank en de iPhone in gaan zitten (MitM aanval). Op het moment dat het slachtoffer Apple Pay op haar of zijn iPhone wil activeren, stuurt de uitgever van de kaart een sms met daarin een activatiecode. De code komt echter nooit bij het slachtoffer aan, want deze wordt onderschept door de malware van de criminelen.
Zodra de criminelen erin zijn geslaagd om de creditcard van het slachtoffer aan hun eigen iPhone te koppelen, is het mogelijk om aankopen te doen. Volgens Vice kopen de oplichters vooral cadeaukaarten en vouchers van het geld. Deze worden weer doorverkocht om een dwaalspoor te creëren.
De methode is tot nu toe redelijk onder de radar gebleven, omdat het lastig is om deze oplichtingstruc te herkennen. De fraudedetectie van creditcards werkt namelijk niet altijd als er contactloos wordt betaald.
Volgens Vice komt dit omdat er bij contactloze betalingen minder informatie naar banken worden doorgespeeld. Dat is enerzijds goed voor de privacy van de klant, in dit geval dus het slachtoffer, maar aan de andere kans werkt het creditcardfrauders en oplichting bij Apple Pay de hand.
Bovendien doen de oplichters bewust kleine aankopen. Op die manier gaan er bij de creditcardbedrijven niet snel alarmbellen rinkelen, zoals wel het geval is wanneer er plotseling veel geld wordt afgeschreven.
Bron: telegram, vice.com, iphoned.nl
Bekijk alle vormen en begrippen
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer malware nieuws
Cybercrime schadepost per incident 'verzesvoudigd' ten opzichtig van vorig jaar
Bedrijven die slachtoffer zijn geworden van cybercrime moeten dit jaar dieper in de buidel tasten. Ten opzichte van vorig jaar is de schadepost per incident verzesvoudigd. Onder 1.971 getroffen bedrijven bedroegen de totale kosten afgelopen jaar zo’n €1,61 miljard. Dat is 61 procent meer dan het jaar ervoor.
Nieuwe cijfers politie: Aantal meldingen van digitale misdaad is bijna zeven keer zo hoog als in voorgaande jaren
Tijdens de coronacrisis is het aantal gevallen van cybercrime gigantisch toegenomen. Dat blijkt uit nieuwe cijfers van de politie. Het aantal meldingen van digitale misdaad is bijna zeven keer zo hoog als in voorgaande jaren.
Dit is het verhaal van een man die zijn dochter wilde helpen
Op een avond in het voorjaar van 2020 krijgt de 72-jarige Dirk uit Utrecht een berichtje van zijn dochter (43 jaar). ‘Hoe gaat het?’ Een WhatsApp berichtje zoals wel vaker. Vader en dochter appen een tijdje heen en weer. “Er was eigenlijk niks geks aan de hand. Ook niet toen ze om hulp vroeg”, vertelt Dirk. Maar wat hij dan nog niet weet, is dat hij eigenlijk met een crimineel aan het appen is…
Onvoldoende inzicht in de omvang van online seksueel geweld
Uit het NSCR-rapport 'Het Fenomeen Online Seksueel Geweld', blijkt dat online seksueel geweld op verschillende manieren wordt geregistreerd. Dit maakt het lastig om de omvang en ontwikkeling in kaart te brengen. Daarnaast bestaat er een grote mate van versnippering in de aanpak van betrokken partijen en is er nog weinig bekend over effectieve interventies.
Zerodaylekken melden of openhouden als Nederlandse overheid?
Partijen in de Tweede Kamer zijn verdeeld over hoe de overheid met zerodaylekken in hard- en software moet omgaan, zo blijkt uit een debat dat deze week werd gevoerd. Het debat ging over een initiatiefwetsvoorstel van D66-Kamerlid Kees Verhoeven. Dat voorstel moet een afwegingsproces creëren voor de omgang met zerodaylekken, kwetsbaarheden waarvan de ontwikkelaar niet op de hoogte is.
Cybercrime nieuwsbrief 111 (week 25-2020)
Datalek nieuws en overzicht week 25-2020
Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.
Oplichting / Cybercrime overzicht week 25-2020
Wat is phishing »
De duistere kant van het internet, sexting, grooming, catfishing en sextortion
Help, mijn borsten staan online laat de donkerste kant van het internet zien waar je pikante selfie plots niet meer privé is, waar de lieve jongen die met je dochter aan het chatten is ineens een man van 57 jaar blijkt te zijn en waar die ene gênante foto het perfecte middel blijkt te zijn om je een paar honderd of duizend euro af te persen. Het lijkt allemaal waarschijnlijk de 'ver weg van je bed show' totdat het je zelf een keer overkomt. Een online horror scenario wat helaas bestaat.
Grenzen waren dicht, als compensatie is er meer gezocht op zowel het normaal internet als op het darkweb
De coronapandemie heeft ertoe geleid dat online seksueel misbruik en uitbuiting van kinderen fors is toegenomen, concludeert Europol in een nieuw rapport. Dat gebeurde in maart en april, de maanden dat veel landen in lockdown waren.
Open bronnen onderzoek als middel
Het ministerie van Justitie en Veiligheid, politie, Openbaar Ministerie (OM), CJIB en Justid hebben de laatste jaren een groot aantal voortvluchtige veroordeelden opgespoord.
Slachtoffers bestolen voor duizende euro's door het scannen van een QR code
Verschillende mensen in Tilburg zijn via QR code fraude voor duizenden euro's bestolen. De daders sloegen onder andere toe bij het station van Tilburg en wisten een taxichauffeur op te lichten.