今天小红书上也看到过一个apple card apple pay被盗刷的(2% back),是apple watch的设备卡,可能是高盛的问题
也有可能是独立的事件,我这个和 Facebook 没什么关系,感觉甚至不是线上交易。我有 Apple Card 也一年多了
如果是这样的话有可能,我昨天bilt刚被盗刷,有朋友这两天bilt也被盗刷的
不能排除是mc的问题,我的ihg盗刷也和fb没关系,可能只是fb比较好变现
我去,我也是HSBC debit和IHG最近被盗刷了。真nm离谱
IHG的是fb
单纯盗刷我觉得也好说,卡号被偷走去消费。但我这里明确写的是我手里的这个设备的 Apple Pay 消费出去的,感觉已经是灵异事件了,技术角度很难解释。如果这些是关联的,那这次的盗刷用到的技术手段和以前都不一样,会很有意思
不知道哪位大神解释一下 Apple Pay 显示交易记录的流程。目前 Apple Pay 只要不是 amex 的卡,交易记录只有本机的,即你用手表或者实体卡刷完了手机上应该是什么都没有。我猜测交易记录应该是 nfc 即时获取(如果有像商家地址这种信息nfc没提供再去上网拉数据)。如果一个交易没在手机上刷过,即使 Apple Pay 卡号被盗刷,也应该显示不出来。(我本人没有 Apple Card,不知道是否遵循此规律,但我猜苹果肯定深度合作把所有交易都显示上去了……)所以理论上如果能找到一种机制区分本机交易和非本机交易,至少能告诉我们到底是device以前被pos机tap记住了(并通过mc不为人知的bug在某个以后的时间点交易通过),还是真的DAN被爆库了并且能刷过。
不完全是的、飞机上Wi-Fi apple pay 支付,也是有网了才会有消费记录
我觉得也没那么复杂,跟你手上设备无关,就是苹果被脱裤或者撞了卡号,和bilt那次一样。DAN也就是个卡号,有了卡号就能走刷卡网络扣费,对面可以spoof“我是pos机,我正在处理card present/card not present/NFC,这就是卡号”。
别家也零星出过几次还没寄到的卡被盗刷,那种因为多多少少还有制卡环节可能有制卡内鬼可以甩锅,没法直接往脱裤方向推断,苹果只能承认被脱裤。
2 个赞
Apple Card 有没有开express transit?
问题就在这里。按照 Apple Pay 的解释,这些卡号应该是卡组织特殊标记的号码,只有卡号应该根本刷不过去,还需要动态 token 什么的,交给发卡行验证。然而实际上从结果来看无论是被脱还是撞,后面验证这一步看起来在某些场景下可以bypass?
1 个赞
这下银联遥遥领先了,直接不支持CNP交易
CP和NFC都要芯片/apple设备双向鉴权的吧
关键词“我是pos机”。交易类型是pos机上报的啊。不用管苹果怎么吹的,所谓动态 token 也就是个手机secure element用秘钥算的一个动态卡号,服务器被脱裤了啥动态卡号算不出来。
当然也不排除高盛是草台完全忘了屏蔽非nfc交易类型。知道卡号信息也可以spoof nfc,参考之前短信加卡盗刷弄“Ghost Tap” spoofed NFC relay的逻辑。(即使要先把DAN写进旧iPhone,好几代旧iPhone的安全芯片有无法修复的硬件漏洞,能写进去也不奇怪)
Apple标榜走自己通道盗刷更少,每天收0.15%的apple pay额外通道费收得那么开心,现在出了问题不就得把收上去的吐出来一点
银行卡的nfc要双向验证,你nfc relay的前提也是有一个设备/卡附近的读取设备,光有卡号无法进行nfc/chip交易。 mitm是可以的但是手头一定会有个设备实时拦截,无法做到像cnp或者以前的磁条卡一样复制一些信息之后再用
是可以靠nfc读取卡号(但是也读不到cvv),然后找不需要cvc或者试cvv的商户刷cnp交易,那只能说是高盛sb了
apple pay还有尾号?哪里可以看到?
有两个疑点:你的是单次,对方可能并没有成功获取你的账户。小额付款,说明可能是批量操作而不是个人化黑产,建议调查该收款商户。
路径一:伪装交易 + 商户欺诈行为 + 已存 Token 被滥用
机制:
某商户 曾使用你 Apple Pay 的 Token 发起过交易(如线上支付)
该商户或其支付网关 被黑客入侵,Token 泄漏(包含 DAN + 设备识别 ID)
黑产利用合法的 payment processor 发起类似 Macy’s 的伪装 recurring transaction
技术依据:
Apple Pay 的线上支付只需用 Apple 提供的 Token(非全卡号)+ dynamic cryptogram 来签名
某些商户(尤其是用 Stripe、Square 等)支持 merchant override / description override
在某些场景下 后续交易不需要重新用户授权,如订阅制或允许 recurring payment 的设置(根据当初授权而定)
黑产行为案例:
黑产购买商户后台 dump 数据后,在 Stripe 仿冒新商户,以旧 Token 发起“伪装扣款”,描述伪造成 Macy’s 等大品牌,迷惑银行审核(类似“洗商户池”)
支持点:
交易是 Apple Pay 发起的
是你设备上那张 DAN 卡
但交易可能是通过某 第三方支付商户 模拟伪装的 recurring payment
判据建议:
调阅 Transaction Metadata,看商户 ID 是否为 Macy’s 正品商户(merchant ID 应为 Macy’s 注册)
若 merchant ID 可疑,Dispute 可转为商户欺诈
路径二:曾在不安全终端线下使用过 Apple Pay,被侧信道攻击泄漏令牌
机制:
某 POS 终端存在恶意软件,能记录或转发设备的 cryptogram / merchant session token
特定场景下 Apple Pay POS 可被利用 replay attack 发起延迟扣款(伪装为原始交易)
现实基础:
Apple Pay 的 EMVCo 标准中,cryptogram 有一定时间窗口(通常几分钟)
若攻击者将数据 dump 到自有控制的 POS 上,可以在设备重新生成交易 session 后,在允许时间内进行 replay
该类攻击曾在 2022 年的某些 Visa-Apple Pay relay 攻击 PoC 中出现
支持点:
你曾在线下使用 Apple Pay(如超市、加油站),且环境中存在恶意 POS 或中继设备
路径三:设备绑定的 Apple Pay 被远程授权(通过恶意配置)
机制:
如果攻击者控制某款设备或模拟 iOS 环境(越狱模拟器),可能将某已知 DAN 的 Apple Pay Token 进行 replay 或绑定后触发交易
此方式理论上需要 Secure Enclave 中密钥,但部分漏洞或越狱设备可能绕过验证流程
可能性:较低
Apple Pay 的可信链极为严格,模拟器不能通过认证
除非你绑定 Apple Pay 时使用了越狱设备或非官方 iOS 环境
4 个赞
pos机盗刷很简单,开个飞行模式就不需要卡主验证
还有其他(支付时间接近的)被拒绝的交易记录吗?
建议立即停卡
我个人猜测可能是卡资料(token)泄露,并不是看不到卡资料就不可能泄露,在支付中也可能被
或者商家库被攻击导致泄露,标准结算流程如下(即攻击面)
用户 ➝ 商户 ➝ 支付网关/收单方 ➝ 收单银行 ➝ 卡组织(Visa/Mastercard) ➝ 发卡行
其中商户前端被前端劫持、脚本注入最常见(Magecart、JS-skimmer)。
也有商户后端有数据库被黑被倒卖
支付网关如 Stripe、Adyen 风控强,但有 token 被中继滥用的先例
也有单纯卡号猜测和撞击的可能性存在(这边用不到)
一劳永逸,解决问题的思路杆杠的