[情報] Apple Pay快速模式+VISA的潛在風險

看板creditcard (信用卡)作者tsubasawolfy (悠久の翼)時間1小時前 (2026/04/17 09:50)推噓3(3推 0噓 3→)

留言6則, 3人參與討論串1/1

昨天上的，不愧是跟錢有關的議題，觀看數已經280萬簡單來說使用Apple pay的快速交通卡模式搭配 VISA 卡別下就算手機不解鎖不認證也可以直接大額盜刷。解決方法就是關閉Apple pay預設開啟的快速模式台灣有支援Apple pay快速交通卡還不多，但去國外可能就要注意? 原理是在快速交通卡模式下，手機測到讀卡機發出"我是捷運讀卡機"的訊號後就直接發送卡片訊息給讀卡機。影片裡面的資安專家就在英國捷運站直接錄讀卡機訊號然後去修改一般讀卡機偽裝成捷運讀卡機 (第一關) 第二關是修改大小額識別碼修改讀卡機發出來的訊息，把大額的識別碼修改成小額就好這邊他們就實測5美元跟10000美元，把10000美偽裝成小額交易避開Apple pay風控值得一提的是Samsung pay不會只看大小額識別碼，他還會看金額對不對但這就要參照各幣額跟地區所定義的大小額了第三關是攔截銀行回傳要你進行實體認證的要求，因為傳去銀行那邊還是一萬美元攔截下來直接修改識別碼，變成"手機已認證"回傳就好。那理論上的卡片-讀卡機-銀行要三方RSA加密都認可的狀態下為何還可以修改識別碼? 你改識別碼，RSA加密數字一定會變。因為Apple pay測到讀卡機是離線模式(偽裝成捷運讀卡機那種) 會要求執行RSA 但讀卡機本身設定在線模式，所以不會理會卡片-讀卡機的交互認證，只會執行讀卡機-銀行的交互認證。這邊就是他們找出為何只有Apple pay + VISA會中 Mastercard會強制要求三方RSA認證都要過，但VISA只要讀卡機-銀行過就好影片裡面總共測了三個人，10000美、100歐、5000歐都靠這招刷過去它們跑去找Apple詢問為何會這樣，APPLE拒絕採訪並說那是VISA的錯 VISA派出付款風控系統的資深副總裁? 接受採訪 (Senior Vice President,Payment Ecosystem Risk&Control) 說這類型盜刷是可控制的，所以沒變成大規模盜刷。他們有自己的監控系統，也保證會退款。被問到為何不修正這類錯誤(因為MasterCard就可以)，說因為可防可控搬出每100美元的個人交易，只有2美分是詐騙盜刷不過影片出來後應該會修正吧?? 上支 2024/9/22那個透過手機基地台盜取簡訊OTP的影片最近終於看到各國要放棄簡訊OTP認證了 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 163.15.167.119 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1776390609.A.D56.html