Apple Card - Apple Pay 被盗刷，百思不得其解

8.29 更新：

高盛回复，Dispute Approved，Disputed charges will be removed

7.7 更新：

Apple Card 交易已 Post，$2 Daily Cash 也已经到账。Dispute 也更新为 Opened，然后给了我 $100 temporary credit

然后在 Dispute 的邮件里，商家名是 “Cellaris Santa Anita”，而交易记录里仍写着 “macys santa anita”，不过这并不冲突，可能是 Macy’s 里有一家 Cellaris。但这里的 Cellaris 是一个新的线索，打算明天打电话给 Macy’s 和 Cellaris 问一下

7.6 原文

盗刷发生在了我的用户名上，离大谱

今天正在刷 iPhone 的时候突然 Apple Card 有个来自 Macy’s 的 $100 pending 扣款通知，还写着 2% 返现。

首先第一时间联系高盛客服，高盛客服提交了 Dispute（很神奇，交易还在 pending 状态就提交了 Dispute）。但高盛客服也没能给我提供新的信息，只知道这个是 Apple Pay 交易，也说不清是 online 还是 in-person。客服把我的 Virtual Card Number 顺便也换了。

IMG_261E0F72E9D2-11206×2202 187 KB

然后我就开始研究，检查了一下我的 Apple ID。我看了下基本只有我的 iPad、个人 Mac、Apple Watch、iPhone 添加了 Apple Card，这三个设备今天一直在我手里。然后我的 Apple ID 还是由三个 YubiKey 作为两步认证，这三个 Yubikey 也都在我手里，最近也没有异常登录。我后来还是改了 Apple ID 密码，登出了其他所有设备。其他设备在重新登录时还需要用 YubiKey。

再去看卡号，发现 5XXX 这个卡号正是我手里 iPhone 的 Apple Pay 的四位尾号，完整的卡号我都不知道是多少。这个也不是 Virtual Card number 的尾号。经检查，发现 iPad、Mac、Apple Watch 的 Apple Pay 尾号也都是不一样的，符合预期。此时我立刻在 iPhone 上删除了 Apple Card，然后重新添加了 Apple Card，发现新添加的 Apple Card 的 Apple Pay 尾号也变成了全新的了。高盛客服也说现在 5XXX 这张卡已经关了。这个线索，意味着这个交易理论上是在我手里的 iPhone 上发生的。

然后我也从来没在 Macy’s 消费过，Statement Descriptor 上似乎是一个加州的 Macy’s，我更没去过。

然后查了下，发现由于高盛渣，Apple Card 的 Dispute 很容易输，尤其是 Apple Pay 的付款一般被认为不可能是盗刷，因为 Apple Pay 被认为很安全。

总结可能的原因：

1. Apple ID 被盗：不太可能，因为密码是从未在任何其他账号上使用过的随机长密码，新登录需要 YubiKey，设备列表里也都是我的设备
2. iPhone 被盗：不太可能，最近 iPhone 一直都没丢过。iPhone 的密码也是长密码（字母+数字）。
3. 卡号被盗：不太可能，这个交易的 5XXX 尾号是我 iPhone 中的 Apple Pay 卡号，除非 Apple Pay 有漏洞，不然不会有除了 Apple 和高盛外的人知道这个卡的完整卡号。我都无法知道这张卡的完整卡号
4. 有 POS 机贴着我 iPhone 把钱刷走了：难度较大。我收到通知的时候我正在看 Youtube，至少肯定不是那个时候被刷走的。不排除是很久以前有这种事情发生（我是没印象），然后扣款推迟到了现在，不过这个需要刷的时候不经意扫成功了 Face ID，因此我觉得这个可能性较低。如果是 Apple Watch 上的 Apple Pay 尾号这种可能性还大一点，因为不需要 Face ID。
5. Apple Pay 被复制：不太可能。Apple Pay 线下付款只能是 NFC，我不觉得技术上能被复制。Apple Pay 线上付款最起码也用了一些加密协议，我也觉得技术上也不能复制。
6. 商家侧 Tokenization 泄漏，导致 Recurring Payment：可能性也不高。疑点是之前从未在 Macy’s 刷过。不过如果是这个原因，那这个 Macy’s 也大概是假的，是被之前的一个商家恶意改成的名字，我不觉得会有人这么做。因此我觉得这个可能性也较低
7. Apple Card 后端卡 Bug 了，显示了错误的交易：也存在这种可能，如果是这样，最近应该有更多类似的 DP

真的是百思不得其解，如果这个 Dispute 被拒绝那我高盛一生黑。

Reddit 相关讨论：https://www.reddit.com/r/AppleCard/s/CCyGBik7Aa

macys santa anita

这个很可疑

可能是暴力试出来的卡号

这家店确实是存在的 https://www.macys.com/stores/ca/arcadia/shops-at-santa-anita_482.html

当然我肯定没去过这家店，我住在离这里十万八千里的地方

macys 账单上的店名，会全小写，并且看起来两个空格吗？

这个是 Statement Descriptor，这个一般不分大小写的。我过去 Apple Card 的交易都是全小写的。其他的银行习惯把这个全大写

我觉得macys 后边两个空格很奇怪。你要不要去店里问问。

我前两天也是，City of Newport Beach用 Card Number刷了$8。马上报被盗刷然后给换新的虚拟卡好。

刚在红薯看到准备搬过来，没想到也是谭友

哦不对，红薯那个是另外一个。看起来是Apple Card问题

这种应该会显示 1% 返现吧，交易记录尾号应该与 Virtual Card number 的尾号一致。我这个使用 Apple Pay 的尾号被盗刷的。

你这张卡号用的多么？我觉得 1% 这么烂的返现应该也用的很少吧，那可能真的是苹果/高盛那边卡号被盗了。

Chase 的 Apple Pay 同样 dispute 过一次，失败。Chase 说 Apple Pay 的 dispute 要找 Apple，找 Chase 没用

看在撸了 Chase 这么多 offer 的背景下，只能认了

是的，写了个1%返现。

另外，因为 Chase dispute 了一次 apple pay，之后所有的 Chase 卡，都不能加 apple pay 了

这很不合理啊，难道 Apple 能给你补上钱？

估计是高盛渣it有什么漏洞被人利用了，类似之前bilt疯狂被盗刷

不是dispute盗刷吗？还是dispute其他原因

这个卡号难道也是和正常卡号一样能被用的？我还以为 Apple Pay 有什么黑科技

每张添加到 Wallet 里的卡都有一个独立的卡号，那楼上 Chase 的 Apple Pay 被盗刷也可能是这个卡号被盗刷了

查了下苹果官网上这么写的 Apple Pay security and privacy overview - Apple Support

After your card is approved, your bank, your bank’s authorized service provider, or your card issuer creates a device-specific Device Account Number, encrypts it, and sends it along with other data (such as the key used to generate dynamic security codes that are unique to each transaction) to Apple. The Device Account Number can’t be decrypted by Apple but is stored in the Secure Element — an industry-standard, certified chip designed to store your payment information safely — on your device. Unlike with usual credit or debit card numbers, the card issuer can prevent its use on a magnetic stripe card, over the phone, or on websites. The Device Account Number in the Secure Element is isolated from iOS, watchOS, macOS, and visionOS, is never stored on Apple servers, and is never backed up to iCloud.

是否阻止这个卡号在 Apple Pay 外的场景使用取决于 Card issuer（in this case 高盛）

不过如果 Apple Card 都能出 Apple Pay 的乌龙那属实有点搞笑了

不过还有一段：

When you use Apple Pay in stores

After you authenticate your transaction, the Secure Element provides your Device Account Number and a transaction-specific dynamic security code to the store’s point of sale terminal along with additional information needed to complete the transaction. Again, neither Apple nor your device sends your actual payment card number. Before they approve the payment, your bank, card issuer, or payment network can verify your payment information by checking the dynamic security code to make sure that it’s unique and tied to your device.

When you use Apple Pay within apps or on the web

To securely transmit your payment information when you pay in apps or on the web, Apple Pay receives your encrypted transaction and re-encrypts it with a developer-specific key before the transaction information is sent to the developer or payment processor. This key helps ensure that only the app or the website that you’re purchasing from can access your encrypted payment information. Websites must verify their domain every time they offer Apple Pay as a payment option. Like with in-store payments, Apple sends your Device Account Number to the app or website along with the transaction-specific dynamic security code. Neither Apple nor your device sends your actual payment card number to the app.

所以商家侧是可以知道 device-specific Device Account Number 的。那这样的话 Apple Pay 存在被盗刷的可能的？

不知道啊，也可能苹果或者银行那边有什么0 day被人小规模捞钱吧

问题是apple是怎么区分是否使用apple pay的来给2%返现？ 仅通过这个虚拟卡号吗

延伸：如果Apple pay的卡号可以直接用来消费，那UAR岂不是…..