גל הונאות: כך גונבים לכם את הכרטיס - ומשלמים דרך אפל פיי

בחברת אבטחת המידע ESET מזהים בתקופה האחרונה עלייה בהונאות שמכוונות למשתמשי אפל פיי. חשוב להבהיר שלא מדובר בפרצת אבטחה טכנולוגית או בפריצה למערכות של אפל, אלא בגל קמפיינים מבוססי פישינג והנדסה חברתית - שבהם התוקפים פשוט משכנעים את הקורבן למסור בעצמו את הפרטים.

התרחיש מוכר גם בישראל: הודעה שמתחזה לדואר ישראל, כביש 6, הוצאה לפועל, משטרה או פייפאל, עם דרישה דחופה להסדיר תשלום או לאשר עסקה. לעין מקצועית זו ספאם שקוף, אבל לא מעט משתמשים נלחצים, מקלידים את פרטי האשראי וקוד האימות - וברגע הזה הכרטיס למעשה נגנב, גם בלי שאיש נגע בו פיזית.

אפל פיי נחשבת לאחת מפלטפורמות התשלום המאובטחות בעולם. השירות מבוסס על זיהוי ביומטרי וטוקניזציה, כך שמספר הכרטיס המלא לא מועבר לבית העסק. אבל ב-ESET מדגישים שהחוליה החלשה אינה המערכת אלא המשתמש.

ברגע שקוד אימות חד-פעמי נמסר לתוקף, הוא יכול להוסיף את כרטיס האשראי לארנק דיגיטלי בשליטתו. מכאן הדרך קצרה: התשלום מתבצע באמצעות NFC והצמדת מכשיר למסוף, ומבחינת בית העסק זו עסקה תקינה לחלוטין. בעל הכרטיס מגלה את החיוב רק בדיעבד.

עידן אברמוב, CTO בחברת קומסקיור, המפיצה הרשמית של מוצרי ESET בישראל, מסביר: "הטכנולוגיה של אפל פיי מאובטחת ברמה גבוהה מאוד. הבעיה אינה במערכת אלא בניצול אמון המשתמשים. ברגע שמשתמש משתף קוד אימות או פרטים אישיים, גם מנגנוני האבטחה המתקדמים ביותר לא יכולים למנוע את הנזק".

בחברה מציינים כי המגמה משתלבת בעלייה רחבה יותר בהונאות מבוססות NFC שעליה דיווחו בסוף 2025, בעיקר בשווקים אמריקאיים ואירופיים. ל-ESET אין בשלב זה נתונים ספציפיים לגבי ישראל, אך ההערכה היא שהתופעה רלוונטית לכל שוק שבו נעשה שימוש נרחב בארנקים דיגיטליים.

איך מתגוננים?

• לא מוסרים קודי אימות או פרטים פיננסיים בעקבות פנייה יזומה, גם אם היא נראית רשמית. נכנסים לחשבון רק דרך האפליקציה או האתר הרשמי.
• מפעילים התרעות על פעילות בכרטיס ופונים מיד לבנק במקרה של חשד.
• לפעמים מספיק רגע אחד של לחץ כדי שהכרטיס יועתק לארנק אחר - ומאותו רגע הנזק כבר מתגלגל.

שירותי תשלום דיגיטליים הפכו לשגרה, אבל הנוחות לא מבטלת את הצורך בערנות. במקרים האלה, לא צריך לגנוב את הכרטיס מהארנק - מספיק להקליד אותו פעם אחת במקום הלא נכון.