שירות התשלומים Apple Pay נחשב לאחד המבצרים המאובטחים ביותר בעולם הפיננסי הדיגיטלי. המערכת, שנשענת על זיהוי ביומטרי (Face ID או Touch ID) וטכנולוגיית טוקניזציה המונעת העברת פרטי אשראי מלאים לבתי עסק, יצרה תחושת ביטחון כמעט מוחלטת אצל המשתמשים. אלא שדווקא הביטחון הזה הוא שעומד כעת למבחן. חוקרי חברת אבטחת המידע ESET מדווחים על עלייה דרמטית בניסיונות הונאה מתוחכמים, שמוכיחים כי כשאי אפשר לפרוץ את הדלת - פשוט משכנעים את בעל הבית לפתוח אותה מרצון.
המלכודת: הנדסה חברתית בשירות הסייבר
השיטה החדשה-ישנה לא מסתמכת על שורות קוד זדוניות או פרצות אבטחה (Exploits) במערכת ההפעלה iOS, אלא על הנדסה חברתית קלאסית. התוקפים מפעילים קמפיינים רחבי היקף של הודעות SMS, מיילים ואפילו שיחות טלפון, תוך התחזות רשמית ומדויקת לשירות הלקוחות של אפל או למוסדות בנקאיים מוכרים.
התסריט לרוב דומה: המשתמש מקבל התראה דחופה על "פעילות חריגה", "חסימת עסקה" או "צורך באימות פרטים מיידי". תחת הלחץ והחשש לאובדן הגישה לכסף, הקורבן מובל לאתר פישינג שמעוצב כהעתק מדויק של אתר החברה, ושם הוא מתבקש להזין את פרטיו האישיים. החלק הקריטי בתרמית מתרחש כאשר המשתמש מזין את קוד האימות החד-פעמי (OTP) שנשלח אליו מהבנק - קוד שנועד במקור להגן עליו, אך הופך למפתח עבור הגנב.
הטעות הקטנה שמובילה לנזק גדול
מרגע שקוד האימות נמסר, המשחק נגמר. התוקף משתמש בפרטים כדי להוסיף את כרטיס האשראי של הקורבן לארנק דיגיטלי במכשיר שברשותו. מכיוון ש-Apple Pay פועלת באמצעות שבב ה-NFC, הגנב יכול פשוט לגשת לכל מסוף תשלום בחנות פיזית ולבצע רכישות ללא צורך במספר הכרטיס המלא או בפרטים נוספים. מבחינת מערכת התשלומים ובית העסק, מדובר בעסקה לגיטימית לחלוטין שאושרה על ידי המשתמש בתהליך האימות.
"הטכנולוגיה של Apple Pay מאובטחת ברמה גבוהה מאוד", מסביר עידן אברמוב, CTO בחברת קומסקיור, המפיצה הרשמית של ESET בישראל. "הבעיה היא ניצול האמון או התמימות. עברייני סייבר משקיעים מאמץ רב בהתחזות לגופים מוכרים, וברגע שמשתמש משתף פעולה, גם מנגנוני האבטחה המתקדמים ביותר לא יכולים למנוע את הנזק".
שינוי אסטרטגיה בעולם ההונאות
המגמה הנוכחית היא המשך ישיר לדו"חות קודמים של ESET מסוף שנת 2025, שהצביעו על עלייה בהונאות מבוססות NFC. השילוב בין פישינג ממוקד לניצול ארנקים דיגיטליים מסמן שינוי אסטרטגי אצל ארגוני הפשיעה: המעבר מניסיונות עקיפה טכניים של הצפנות מורכבות למיקוד בהטעיית הגורם האנושי.
כדי להימנע מנפילה למלכודת, ב-ESET מדגישים כי אין למסור קודי אימות או פרטים רגישים בעקבות פנייה יזומה, גם אם היא נראית אמינה לחלוטין. מומלץ לגשת לחשבונות רק דרך האפליקציות הרשמיות, להפעיל התראות בזמן אמת על כל תנועה בכרטיס האשראי, ובמקרה של חשד קל - ליצור קשר ישירות עם המוסד הפיננסי ולהחליף סיסמאות באופן מיידי. בעולם שבו התשלום הופך לדיגיטלי ומהיר בלחיצת כפתור, הערנות נותרת קו ההגנה האחרון והחשוב ביותר.