O Apple Pay é uma das formas de pagamento mais convenientes da atualidade. O sistema permite que usuários cadastrem seus cartões de crédito e utilizem seu próprio celular para realizarem transações. Por outro lado, a carteira digital se tornou uma ferramenta para golpistas que roubam cartões de crédito, segundo uma reportagem da VICE.

Informações divulgadas na última quinta-feira (21) sugerem que o Apple Pay é a carteira mais utilizada pelos golpistas, embora também usem o Samsung Pay e Google Pay, que funcionam de forma semelhante. Os criminosos possuem diversos canais no Telegram, onde exibem cartões presente de lojas e serviços comprados com dinheiro roubado.

O processo é sempre idêntico em todos os casos — um bot (robô) é utilizado para entrar em contato com um número massivo de vítimas. Aqueles que tiveram o número do cartão de débito ou crédito roubado são persuadidos a enviarem o token de autenticação aos golpistas, que ficam possibilitados de cadastrar os cartões em seus próprios dispositivos.

Com o cartão registrado, os criminosos podem realizar compras em qualquer estabelecimento ou serviço digital através da própria biometria — no caso do iPhone, o Face ID ou Touch ID —, uma vez que o sistema não atrela o rosto ou impressão digital do usuário ao cartão. O Apple Pay é a “forma mais fácil de ganhar dinheiro”, segundo um dos criminosos.

Na publicação acima, o administrador de um dos bots ostenta US$ 20 mil em cartões de presente de lojas e serviços. Esses gift cards costumam incluir assinaturas de streaming, como Netflix e Spotify; créditos para compras de jogos, como Xbox e PlayStation Store; e cartões em lojas varejistas, como a Amazon.

É possível que o Apple Pay seja “favorito” por conta das políticas de privacidade da Apple. Nos Estados Unidos, não é incomum que operadores de caixa solicitem a documentos de identificação de uma pessoa ao realizar compras no cartão de crédito. A carteira digital oculta os dados que ficam impressos no cartão físico, o que dificulta a detecção dos golpistas.

“Não há quaisquer verificações antifraude para esses sistemas de pagamento”, alerta Timur Yunusov, pesquisador de cibersegurança da Positive Technologies. “Se eu cadastrar um cartão dos EUA no Apple Pay em algum lugar da Tailândia e gastar US$ 10 mil, por exemplo, ninguém sequer tentaria me parar”, adiciona o especialista.

A Wells Fargo, empresa de crédito e finanças norte-americana, afirma que verificações antifraude são realizadas tanto em compras com cartão físico como nos pagamentos por aproximação. O Google e a Samsung atribuíram a responsabilidade de autenticação à entidade emissora do cartão, enquanto a Apple não comentou sobre o assunto.

A recomendação é que usuários nunca respondam a solicitações de códigos de autenticação de dois fatores (2FA) vindas de ligações e mensagens.