De plus en plus de personnes paient avec leur téléphone portable, et notamment avec des iPhones. Parmi ceux qui les utilisent quotidiennement, Apple Pay est devenu un outil tellement courant Tout comme sortir sa carte de sa poche, que ce soit pour faire des achats en magasin ou commander en ligne. Cette habitude a un revers moins reluisant : lorsqu’un système de paiement se généralise, il devient aussi une cible de choix pour les fraudeurs.
Récemment, un augmentation notable des fraudes via Apple Pay Dans de nombreux pays, les cybercriminels emploient des techniques de plus en plus sophistiquées. Des messages imitant les banques ou Apple aux sites web quasi identiques aux sites officiels, tout est conçu pour inciter les utilisateurs à baisser leur garde un instant et à révéler leurs données, comme le montre [ce qui suit]. une base de donnéeset le criminel peut alors lier les cartes, effectuer des transactions non autorisées ou prendre le contrôle total du compte.
Pourquoi Apple Pay est devenu une cible si alléchante
L’essor des paiements mobiles a transformé notre façon de gérer notre argent : Paiements instantanés et sans contact, où que vous soyezCette facilité d'utilisation ouvre cependant la porte aux criminels qui tentent d'exploiter la moindre faille de sécurité. Apple Pay, l'une des plateformes de paiement les plus répandues au monde, est devenue un élément central de ce phénomène.
Les autorités et les spécialistes de la cybersécurité avertissent depuis longtemps que Une foi aveugle dans la technologieCe phénomène, combiné à la rapidité des transactions, crée un terrain propice à ces arnaques. Nombre d'utilisateurs pensent que si leur téléphone demande un code ou une confirmation, tout est sécurisé, sans se demander s'ils n'y sont pas arrivés via un lien frauduleux.
La situation décrite par les services de sécurité de différents pays correspond également à ce qui est observé en Europe et en Espagne : Les mêmes schémas de tromperie se répètent dans des environnements très différents, ce qui indique que les gangs réutilisent des tactiques avec de légères variations selon le marché et la langue.
Parallèlement, l'essor des plateformes de vente d'occasion et des boutiques en ligne a ajouté une nouvelle dimension au risque. Dans certains cas, lorsque des criminels obtiennent les informations d'une carte liée à Apple Pay, ils effectuent non seulement des achats directs, mais aussi… Ils revendent des produits ou utilisent des comptes sur des applications tiercesafin que la victime de la fraude ne soit pas toujours la même personne qui voit l'opération sur son relevé bancaire.
Usurpation d'identité : lorsque l'escroc se fait passer pour Apple ou votre banque
L'une des méthodes les plus répandues est la Le vol d'identité, également connu sous le nom d'usurpation d'identitéCe type d'attaque est analysé dans vol d'identité sur iOSLe stratagème est simple mais efficace : le criminel se fait passer pour un employé de la banque, du service client d’Apple, ou même d’un magasin réputé, et utilise la peur ou l’urgence pour inciter l’utilisateur à agir sans trop réfléchir.
Les communications peuvent arriver par SMS, courriel ou appel téléphonique. Le message avertit généralement de Débits irréguliers présumés, blocages de comptes ou des problèmes de sécurité avec Apple Pay. L'utilisateur est alors invité à « vérifier » ses informations ou à confirmer une transaction afin d'éviter tout préjudice supplémentaire.
Dans ce type de fraude, l'objectif est d'obtenir de la victime des données cruciales : codes de vérification, mots de passe, numéro de carte ou informations personnellesGrâce à ces informations, le fraudeur peut lier la carte à son propre appareil, autoriser les paiements ou modifier les données d'accès au compte.
Pour rendre le tout plus crédible, de nombreux criminels utilisent des techniques telles que falsification de l'identifiant de l'appelant ou de l'expéditeur du SMSLe numéro ou le nom affiché à l'écran correspond à celui de la banque ou d'Apple. Cela complique la détection de l'escroquerie, notamment pour les utilisateurs moins familiarisés avec ce type de menace.
En Europe et en Espagne, où la réglementation bancaire exige une authentification forte des clients, les criminels se concentrent précisément sur convaincre l'utilisateur de fournir ces seconds facteurs de sécurité, les présentant comme de simples étapes de vérification de routine.
Hameçonnage et sites web clonés : l’appât idéal pour voler des identifiants
Une autre technique courante liée à la fraude utilisant Apple Pay est la suivante : phishingDans ce cas, le premier contact se fait généralement par courriel ou SMS. Le message signale un achat suspect, une connexion inhabituelle ou un blocage supposé du compte Apple ou bancaire, et contient un lien permettant de « vérifier » ou d’« annuler » la transaction.
En cliquant sur ce lien, l'utilisateur est redirigé vers un site web qui imite avec une grande fidélité L'apparence du site officiel : logos, couleurs, design et parfois même certificats de sécurité peuvent induire en erreur ceux qui ne vérifient pas attentivement l'adresse de domaine réelle.
Ces faux sites web demandent des informations telles que Identifiant Apple, mot de passe, codes de vérification envoyés par SMS ou notification push…et même des informations bancaires supplémentaires. Si la victime saisit ces informations, le criminel peut accéder au véritable compte en quelques minutes.
Un exemple typique est le message qui semble provenir de la banque, vous informant d'un achat effectué avec Apple Pay et vous proposant un lien pour « annuler » la transaction. Le sentiment d'urgence joue un rôle clé ici.Nombreux sont ceux qui, effrayés par la possibilité d'occuper une position élevée, cliquent sur le lien sans vérifier si l'adresse est légitime.
Une fois à l'intérieur, le processus paraît parfaitement normal du point de vue de l'utilisateur. Bien que la page affiche des messages de succès ou de confirmation, en réalité, la seule chose qui s'est produite est que les données sont tombées entre les mains des escrocs, qui Ils profitent de ce laps de temps pour prendre le contrôle du compte. et effectuer des transactions frauduleuses avant que la victime ne puisse réagir.
Applications factices, réseaux Wi-Fi publics et autres astuces pour capturer des données
Outre les messages et les appels, les cybercriminels ont également recours à applications malveillantes et réseaux Wi-Fi compromis L'objectif est d'obtenir des informations sur Apple Pay et d'autres moyens de paiement mobile, l'appareil devenant ainsi le point d'entrée.
Dans le cas des fausses applications, elles sont généralement déguisées en Applications bancaires, outils de gestion financière ou prétendus services permettant d'obtenir des réductions ou des récompenses pour les paiements effectués avec votre téléphone portable. Certaines sont téléchargées depuis des boutiques officielles après avoir passé des contrôles de sécurité, tandis que d'autres circulent via des canaux alternatifs moins sécurisés et sont parfois liées à des menaces telles que : Nouveau logiciel malveillant sur WhatsApp qui vole les informations des utilisateurs.
Une fois installées, ces applications peuvent demander des autorisations excessives ou afficher des formulaires invitant l'utilisateur à saisir des informations. informations d'identification, détails de carte ou informations personnelles Ces données sont en réalité envoyées aux serveurs de l'attaquant. Dans certains cas, le logiciel malveillant peut même tenter d'intercepter les notifications ou de lire les messages contenant les codes de vérification.
Les réseaux Wi-Fi publics présentent également un risque supplémentaire. Lorsque vous vous connectez à un réseau Wi-Fi public, vous pouvez le faire. points d'accès non protégés ou altérésLes utilisateurs peuvent transmettre des données via une infrastructure contrôlée par les criminels eux-mêmes. Bien qu'Apple Pay soit conçu pour fonctionner selon des normes de sécurité élevées, d'autres services liés au paiement (courriel, SMS, accès bancaire) peuvent être vulnérables.
Dans des lieux comme les cafés, les gares ou les aéroports, il n'est pas rare de trouver des connexions qui semblent légitimes mais qui, en réalité, ont été créées à des fins frauduleuses. intercepter le trafic et accéder aux identifiantsPar conséquent, les autorités insistent sur le fait que, pour les transactions financières, il est préférable d'utiliser les connexions de données mobiles ou les réseaux de confiance.
Achats avec des cartes volées et fraudes sur les plateformes d'occasion
Lorsque des criminels parviennent à accéder à une carte associée à Apple Pay ou à la lier à leur propre appareil, ils ne se limitent pas toujours à effectuer des achats directs dans des magasins traditionnels. Certaines de ces fraudes sont perpétrées via des plateformes de vente en ligne. et les boutiques en ligne, où l'argent et les produits changent rapidement de mains.
Dans ce genre de situation, les escrocs effectuent des paiements avec la carte compromise sur des plateformes ou des places de marché de vente d'occasion. Ils reçoivent le produit légitimementalors que le titulaire de la carte reste dans l'ignorance jusqu'à ce qu'il consulte son compte bancaire et découvre des débits non reconnus ; des cas similaires ont été observés dans des transactions où le La Garde civile a démantelé un complot dédié aux ventes frauduleuses.
Lorsque la victime porte plainte et que l'établissement financier annule le paiement, Le vendeur honnête présent sur la plateforme peut se retrouver sans argent et sans produit.Étant donné que l'article a déjà été expédié et livré, la fraude crée une réaction en chaîne qui affecte plusieurs personnes.
Ces situations compliquent le processus de réclamation car les contrats entre particuliers, les politiques de protection des acheteurs et des vendeurs, et les actions propres à la plateforme entrent tous en jeu. Ce n'est pas toujours simple. déterminer qui supporte la perte économiquece qui rend ces types de crimes particulièrement néfastes.
C’est pourquoi il est recommandé de faire preuve d’une extrême prudence lorsqu’un acheteur propose méthodes de paiement inhabituelles, précipitation excessive ou conditions trop avantageuses Lors de la clôture d'une transaction. Bien que la fraude ne soit pas toujours directement liée à Apple Pay, les cartes et les comptes associés à ce service peuvent être impliqués dans des opérations frauduleuses.
Comment minimiser les risques lors de l'utilisation d'Apple Pay
Malgré cette situation, il est encore possible de réduire considérablement le risque d'être victime d'une escroquerie. Les recommandations des unités de police spécialisées dans la cybercriminalité et des associations de consommateurs sont similaires, avec de légères variations, mais elles reposent toutes sur la même idée : reprendre le contrôle des informations que nous partageons et concernant les chaînes que nous utilisons.
Une règle de base est de ne jamais partager codes de vérification, mots de passe ou coordonnées bancaires Aucune entreprise légitime ne demande ce type d'informations par téléphone, SMS ou courriel, que la personne à l'autre bout du fil prétende travailler pour Apple ou un établissement financier.
Il est également essentiel Vérifiez toute activité suspecte directement depuis l'application officielle de la banque ou depuis les paramètres d'Apple Pay.Au lieu de suivre les liens dans les messages. En cas de problème réel, celui-ci apparaîtra même en accédant au site par les voies habituelles.
Une autre couche de protection importante est l'authentification à deux facteurs et les notifications en temps réel. L'utilisation de Clés de sécurité pour votre identifiant Apple Elle constitue une barrière supplémentaire contre les accès non autorisés et rend plus difficile la réussite des attaques par hameçonnage.
Enfin, même si cela peut paraître un détail mineur, il vaut la peine de prendre quelques secondes supplémentaires pour vérifiez l'adresse exacte des pages Web où nous saisissons nos identifiants, et en évitant d'accéder aux services financiers depuis des réseaux Wi-Fi publics ou inconnus.
Globalement, tout porte à croire que le succès de la fraude à Apple Pay est moins dû à des failles techniques du système qu'à l'habileté des fraudeurs en matière de… Exploiter la confiance, la précipitation et le manque de vérification D'après certains utilisateurs, garder l'esprit critique, se méfier des communications inattendues et toujours privilégier les canaux officiels reste la meilleure façon d'utiliser son téléphone portable pour les paiements sans en faire une porte ouverte aux criminels.
