IT News פורטל המחשוב העסקי וההייטק של ישראל
חוקרי חברת אבטחת המידע ESET מזהים גל מתגבר של הונאות המכוונות למשתמשי Apple Pay. בניגוד לחשש מפרצת אבטחה טכנולוגית, מדובר בהונאות המבוססות על פישינג והנדסה חברתית, שבמסגרתן התוקפים אינם מנסים לפרוץ את מנגנוני האבטחה של חברת אפל אלא לגרום למשתמשים למסור בעצמם פרטים רגישים וקודי אימות.
Apple Pay נחשבת לאחת מפלטפורמות התשלום המאובטחות בעולם, שכן השירות מבוסס על זיהוי ביומטרי וטוקניזציה, כך שמספר הכרטיס המלא אינו מועבר לבית העסק בעת ביצוע עסקה. עם זאת, חוקרי החברה מדגישים כי החולייה החלשה אינה המערכת אלא המשתמש. התוקפים מפעילים קמפיינים של הודעות טקסט, מיילים ושיחות טלפון המתחזים לאפל או לחברות וארגונים פיננסיים, בטענה לפעילות חריגה, חסימת עסקה או צורך באימות מיידי. הקורבן מתבקש להזין פרטים אישיים ולעיתים גם קוד אימות חד פעמי שנשלח מהבנק.
טעות קטנה שעולה ביוקר
ברגע שקוד האימות נמסר, התוקף יכול להוסיף את פרטי הכרטיס לארנק דיגיטלי שבשליטתו, ובשלב זה כבר אין צורך במספר הכרטיס המלא. Apple Pay פועלת באמצעות תקשורת NFC ומזהה דיגיטלי מוצפן, ולכן ניתן לבצע תשלום פשוט באמצעות הצמדת המכשיר למסוף התשלום בחנות. מבחינת בית העסק מדובר בעסקה תקינה לכל דבר, בעוד שהחיוב מופיע אצל בעל הכרטיס רק בדיעבד.
עידן אברמוב, CTO בחברת קומסקיור, המפיצה הרשמית של ESET בישראל, אומר: "הטכנולוגיה של Apple Pay מאובטחת ברמה גבוהה מאוד. הבעיה אינה במערכת עצמה אלא בניצול אמון או תמימות המשתמשים. עברייני סייבר משקיעים מאמץ רב בהנדסה חברתית ובהתחזות לגופים מוכרים, כך שברגע שמשתמש משתף קוד אימות או פרטים אישיים, גם מנגנוני האבטחה המתקדמים ביותר אינם יכולים למנוע את הנזק".
ב-ESET מציינים כי מגמה זו מצטרפת לעלייה רחבה יותר בהונאות מבוססות NFC שעליה הצביעה החברה בסוף שנת 2025. חוקרי ESET דיווחו אז על גידול משמעותי בזיהויים של נוזקות וניסיונות הונאה המנצלים תקשורת ללא מגע לצורך ביצוע תשלומים בלתי מורשים. השילוב בין פישינג מתקדם, גניבת קודי אימות ושימוש בארנקים דיגיטליים מצביע על שינוי באסטרטגיית התוקפים, העוברים מניסיון לעקוף מנגנוני אבטחה טכניים למיקוד בהטעיית המשתמשים עצמם.
איך אפשר להתמגן?
ב-ESET ממליצים למשתמשים שלא למסור קודי אימות או פרטים פיננסיים בעקבות פנייה יזומה, גם אם היא נראית רשמית, ולהיכנס לחשבון רק דרך האפליקציה או האתר הרשמי. כמו כן מומלץ להפעיל התראות והודעות על פעילות בכרטיסי אשראי ולפעול במהירות במקרה של חשד להונאה, כולל החלפת סיסמאות ופנייה מיידית לבנק.
שירותי תשלום דיגיטליים הפכו לחלק בלתי נפרד מחיי היום יום, אך הנוחות מחייבת ערנות. ב-ESET מדגישים כי מודעות לסימני האזהרה והקפדה על כללי זהירות בסיסיים יכולים לצמצם משמעותית את הסיכון לנפילה קורבן להונאה.
אודות ESET
ESETהיא חברת אבטחת מידע בינלאומית הפועלת מאז שנת 1992 ומתמחה בפיתוח פתרונות הגנה מתקדמים עבור עסקים, ארגונים ומשתמשים פרטיים. מוצרי החברה: מוצרי הגנה רב שכבתית, מערכות למניעת חדירה, הגנת מכשירים ניידים ויישומים ייעודיים לאבטחת תשלומים דיגיטליים. מטה החברה ממוקם בברטיסלאבה שבסלובקיה, והיא פעילה בלמעלה מ-200 מדינות ואזורים ברחבי העולם. החברה נחשבת לאחת הוותיקות והמובילות בתחום אבטחת הסייבר, ומציעה מגוון רחב של פתרונות לזיהוי איומים בזמן אמת והגנה רב שכבתית. מוצרי ESET מופצים בארץ בבלעדיות על ידי חברת קומסקיור.
