O Apple Pay entrou no ar no final do ano passado. Mas ao mesmo tempo em que se discute como ele é fácil de usar e como ele afetará o sistema de pagamentos, a segurança é mais uma vez preterida em prol das demandas por velocidade e conveniência.
Uma primeira preocupação é obviamente a possibilidade de perder o celular. Os norte-americanos perdem um telefone a cada 3,5 segundos.
O Apple Pay aumenta da noite para o dia o valor da perda de um iPhone, criando um grande incentivo para o roubo.
É como perder um cartão de crédito, mas com o risco adicional de ter um estranho acessando também o seu e-mail e o seu segundo fator de autenticação, facilitando não apenas as fraudes mais simples como também a completa personificação da vítima em fraudes mais complexas.
Você pode até usar o aplicativo “Buscar Meu iPhone” para encontrar o seu celular e bloqueá-lo remotamente, mas isso nem sempre é instantâneo.
Em segundo lugar, e provavelmente ainda mais preocupante, é o fato de os mecanismos de autenticação para validação de cartões não serem muito claros. A Apple parece ter focado em mecanismos de segurança de pagamentos, como a tokenização e a impressão digital (que, na nossa opinião, são mecanismos sólidos).
Mas o pagamento somente é tão seguro quanto a autenticação, que começa com o registro dos cartões crédito de uma conta específica, bem como o acesso a essa conta.
A Apple ainda não divulgou como irá autenticar os cartões antes de liberar sua utilização. Sem mecanismos adequados de autenticação, a Apple pode ter facilitado a vida dos criminosos que falsificam cartões de crédito obtidos no mercado negro. Agora, você não precisa mais de um cartão físico para efetuar uma compra pessoalmente. Você pode tirar uma foto de números sobrepostos (ou photoshopados) em um cartão e atuar com ele.
Em terceiro lugar, os usuários acrescentam cartões de créditos aos seus iPhones, tirando fotos deles. Como Jennifer Lawrence e outras pessoas podem confirmar, a habilidade da Apple de armazenar e transmitir com segurança essas fotos permanece obscura. A depender de como elas são armazenadas e transmitidas, não nos surpreenderia se os criminosos desenvolvessem malware focado nesse mecanismo.
Uma falsa sensação de segurança pode desestimular a fraude inicialmente
Nós prevemos que os bancos e as instituições financeiras deverão experimentar menos fraude inicialmente, proporcionando uma falsa sensação de segurança.
Os hackers precisam de tempo para pesquisar o sistema e descobrir vulnerabilidades, para então escrever códigos para explorá-las da forma mais indetectável possível.
Há uma curva de aprendizagem para todo mundo – comerciantes, consumidores e hackers.
Com um alvo tão atrativo e potencialmente lucrativo em jogo, é apenas uma questão de tempo até que esses sistemas estejam expostos. A única questão é, quem encontrará as vulnerabilidades primeiro?
Nós recomendamos que ambos indivíduos e firmas de serviços financeiros continuem a adotar estratégias multicamadas de segurança.
Para os indivíduos, isso significa adotar tantos mecanismos de segurança quanto sejam oferecidos pelo fornecedor.
Para as firmas, isso inclui o monitoramento constante dos mercados negros e das transações com cartão não presente.
Nossa previsão é de que os bancos também comecem a prestar mais atenção na “saúde do dispositivo”, à medida que a visibilidade sobre o status do dispositivo, os aplicativos potencialmente maliciosos que possam estar rodando nele, etc. se tornem cada vez mais importantes.
Nós ainda não vemos a maioria dos consumidores abandonando os meios tradicionais de pagamento (atualmente, apenas 1% dos varejistas suportam o Apple Pay, e ele somente pode ser utilizado em um iPhone 6), mas acreditamos que as instituições financeiras deveriam estar pensando em mecanismos para proteger a si mesmas e aos clientes dos novos esquemas de fraude que com certeza irão surgir.