Apple Pay安全嗎？會發生Apple Pay盜刷3原因和用戶如何防範

自2014年蘋果推出Apple Pay以來，也迅速成為全球主要的行動支付方式之一，但隨著使用者數量增加，也開始有詐騙集團利用Apple Pay盜刷，甚至還有用戶將舊 iPhone 手機回收卻遭盜刷10萬多高鐵票，甚至有安卓用戶沒使用 iPhone，同樣發生信用卡糟綁定 Apple Pay 盜刷短期內也被刷萬元金額，到底這些是如何發生，也引發網友好奇 Apple Pay 安全性的質疑。

Apple Pay是什麼？它如何運作？

Apple Pay 是蘋果推出的行動支付系統，讓用戶可以透過 iPhone、Apple Watch 或其他 Apple 裝置進行感應式付款。無論是在支援感應付款的實體店面、網站還是 App 中，Apple Pay 都能提供便利又安全的支付體驗。

啟用 Apple Pay 後，用戶只需將信用卡或金融卡加入 Apple 錢包（Apple Wallet），就能在支援感應付款的終端機上輕鬆付款，系統主要會透過近場通訊技術（NFC）進行資料傳輸，讓用戶在付款時不需要交出實體卡片，還能安全交易。

Apple Pay盜刷事件頻傳

有民眾投訴媒體自己遭遇嚴重Apple Pay盜刷事件，一位台中林先生在購買新iPhone後，過兩天後將舊手機送至台中大路口的3C數位科技回收機台進行回收，卻在當天晚上9點，他在新手機上重新綁定Apple Pay，但從晚上10點開始至25日的三天內，Apple Pay信用卡卻被盜刷了73筆交易，總金額高達106,530元，全部用於購買高鐵票。

在發現 Apple Pay 盜刷後，林先生也立即向銀行申報，但直到隔年11月才收到回覆，銀行表示因為這些交易被歸類為「境外交易」，無法追回Apple Pay爭議款項，需要林先生自行負責，最後金管會評議中心提出申訴，評議中心認為雙方都有疏失，判定銀行應賠償林先生15,000元。

3C數位科技發表聲明表示，目前尚無法確認該起信用卡盜刷事件與公司門市回收流程有直接關聯，畢竟消費者回收時都需要清除手機資料，同時iCloud也會自動登出並移除 Apple Pay 信用卡綁定，系統確認後才能進入回收程序。

從相關資料來看，這並非是 iPhone 舊機回收後遭到平台業者盜刷，更不可能平台業者有能力在短時間內將資料回復進行盜刷，原因出自於該名用戶本身信用卡資料和驗證碼早已經流入詐騙集團手中。

不管是台灣或是國外都曾發生「Apple Pay遭盜刷」案件，海外也非常慎行盜刷都是購買日本交通票證或西瓜卡儲值，甚至有中國夫婦一直以來只用華為手機，同樣也遭到不明人士使用Apple Pay綁定付款盜刷，都在短期內進行盜刷多筆金額。

Apple Pay遭盜刷主要關鍵原因解析

近年來Apple Pay盜刷事件頻繁發生，從中國到日本至台灣等地區都曾發生，實際調查發現這並非是 Apple Pay 系統或銀行系統有漏洞造成。

金管會就曾明確指出造成 Apple Pay遭盜刷事件，大多數都是因釣魚詐騙攻擊手法，或用戶沒有把證件等個人資料保管好。

原因 1：釣魚網站和信件騙取OTP驗證碼

根據《瘋先生》深入調查發現，通常詐騙集團最常透過釣魚網站或電子郵件方式，來騙取用戶的信用卡資訊，引誘用戶交出綁定Apple Pay的OTP驗證簡訊。

就有不少人都曾收到詐騙集團發送的Apple Pay停用通知警告釣魚信件，內容要求用戶進快在72小時內完成認證，否則付款資格將被永久禁用，目的就是誘導不知情iPhone用戶點選信件內連結竊取信用卡和綁定Apple Pay認證碼。

當用戶透過假冒Apple官方電子郵件點入釣魚網站後，先是自己輸入信用卡資料，最後在填入收取到的OTP驗證碼時，就會導致詐騙者能將受害者的信用卡綁定到自己設備Apple Pay帳戶上，後續就能進行盜刷。

對於用戶將舊 iPhone 手機拿到回收機台後才發生 Apple Pay 盜刷，只是時間恰好碰巧詐騙集團在那時間點開始刷卡，才出現回收被盜刷烏龍事件。

原因 2：用戶自行提供個資給網友

金管會也發現，行動支付Apple Pay在台灣登台後，也爆出首宗 Apple Pay 盜刷案件，主要是有民眾私將自己的證件等個人資料分享給網路上未曾見面的不知名網友。

才會導致該名網友趁機冒名去銀行申請補辦信用卡，或是變更客戶在銀行的資料，近一步透過Apple Pay行動支付線上購買和刷卡。

原因 3：VISA可能存在快速模式漏洞

國外安全研究人員向BBC外媒分享一項研究，Apple Pay在啟用「快速模式」功能時，可能被駭客利用進行中繼攻擊，繞過螢幕鎖定直接使用Visa信用卡支付，這種攻擊方式甚至不需要使用者授權即可完成交易。

他們早已經把這項資安疑慮通報給 Apple 和 Visa，但蘋果也回應影響用戶安全的威脅都非常重視，但這次問題主要出自於Visa系統層面漏洞。

Visa 認為這種攻擊很難達成，更何況攻擊都是在實驗室環境內，尚無證據顯示有犯罪集團已經開始利用這個漏洞，且系統設計有多重安全防護機制，如果真的出現未經授權的交易，Visa 也已明確保證，他們會依『零責任政策』保護持卡人。

Apple Pay安全度比實體信用卡比較好嗎？

蠻多用戶會抱持懷疑態度好奇 Apple Pay 安全度，實際蘋果推出 Apple Pay 主要採用了先進的安全架構，與傳統信用卡相比也更具有優勢，也很難讓信用卡盜刷器竊取和複製卡片資料。

而且 Apple Pay 並不是存儲實際卡號，而是使用加密過的「裝置帳號號碼」（Device Account Number）來取代，僅只會保存在一個業界標準、經過認證的獨立安全晶片（Secure Element），專門用於安全儲存付款資訊。

每次在付款時，Apple Pay 都會產生一組獨一無二的交易代碼，這表示你的實際卡片資訊並不會直接傳給商家，不論是實體店購物還是線上消費，Apple 都透過加密技術與晶片級安全機制來保護你的卡片資料，讓每一筆交易都更加安心。

身份驗證和動態安全碼

每次在使用 Apple Pay 交易每次付款前，用戶必須也必須先使用 Face ID （臉部辨識）或 Touch ID 指紋辨識或裝置密碼進行身分驗證，隨後每筆交易都會使用一次性的動態安全碼，這是系統使用交易計數器和密鑰運算而出的，這些安全碼會隨著每筆新交易而遞增，並提供給付款網路和發卡機構，供他們驗證每筆交易。

使用獨特的加密碼，這個代碼每次使用後都會更改，確保同一代碼永不重複使用，連同商家只能接收到設備和特定交易的唯一代碼，並非是原本真實卡號。

加密傳輸與隱私保護

Apple Pay 還會針對每筆金融資料進行加密處理，確保卡片資訊在儲存與傳輸過程中都受到嚴密保護，而且驗證過程涉及商家網站、商家伺服器和Apple Pay伺服器之間的雙向TLS憑證交換。

甚至商家也永遠不會收到你的實際卡號，只能接收到裝置代幣和特定交易的唯一代碼，Apple也承諾 Apple Pay 交易完全不會儲存或追蹤用戶支付詳細資訊，能確保的隱私受到保護。

裝置遺失保護

要是 iPhone 遺失後也不用擔心 Apple Pay 會被盜刷，畢竟每次交易都還是需要透過身份認證，且用戶也可以透過 Find My iPhone 尋找遠端停用 Apple Pay，就算裝置離線同樣也能生效。

整體來說，Apple Pay多層次安全機制也相對比傳統信用卡更安全，同時保護使用者的隱私和交易安全，還能降低再支付過程卡號外流風險。

金管會要求Apple Pay驗證電話用意

為了防止用戶會落入詐騙集團釣魚陷阱，造成信用卡外流和盜取用戶綁定 Apple Pay 驗證碼，金管會也要求金融業者實施防堵詐騙機制，只要 Apple Pay、Google Pay 與信用卡手機門號不同就無法透過簡訊綁定，需要持卡人自行致電向銀行客服進行身分驗證。

才會造成有不少用戶發現，當前綁定 Apple Pay 信用卡都需要透過電話驗證，實際這也是要降低後續 Apple Pay 會被詐騙集團盜刷風險。

延伸閱讀：Apple Pay驗證一定要打電話嗎？綁信用卡需電話驗證新制上路