In de wereld van digitale betalingen heeft een baanbrekend onderzoek door een team van drie securityspecialisten, te weten Raja Hasnain Anwar, Syed Rafiul Hussain en Muhammad Taqi Raza, licht geworpen op significante veiligheidsproblemen met betrekking tot digitale portemonnees zoals Apple Pay, Google Pay en PayPal. Hun bevindingen, gepresenteerd tijdens het Usenix Security Symposium van 2024 te Philadelphia, laten zien hoe criminelen gestolen of zelfs reeds geannuleerde creditcards kunnen koppelen aan digitale betaalmethodes om transacties te verrichten.
Het onderzoek benadrukt vooral de kwetsbaarheden binnen zowel de authenticatie- en autorisatiemethoden, als de toegangscontrolesystemen van digitale portemonnee-aanbieders en de bijbehorende banken in de Verenigde Staten. Dit omvat de verontrustende bevinding dat, door het verbinden van openbaar beschikbare informatie zoals de naam van de kaarthouder en hun adres, criminelen een gestolen creditcard succesvol kunnen toevoegen aan een digitale portemonnee, zelfs zonder dat deze fysiek in hun bezit is. De onderzoekers onthulden ook dat bepaalde transacties met dergelijke gekoppelde kaarten mogelijk blijven na de annulering of vervanging van de kaart, omdat de digitale representatie in de wallet niet onmiddellijk of adequaat wordt bijgewerkt.
Een ander belangijk aspect van de bevindingen betreft de uitdagingen rond de verificatieprocessen. Criminelen kunnen de relatief zwakke beveiliging van sommige digitale wallets uitbuiten door bijvoorbeeld de klantenservice van banken te misleiden met genoeg verkregen persoonlijke informatie, mede dankzij datalekken, om zich voor te doen als de legitieme kaarthouder.
De onderzoekers maakten hun bevindingen bekend aan belanghebbenden zoals Chase, AMEX, Citi en de aanbieders van de digitale betaalplatforms. Terwijl enkelen, waaronder Google, aangaven maatregelen te hebben genomen om de vastgestelde problemen aan te pakken, hebben diverse andere partijen nog niet gereageerd. De extentie van deze kwetsbaarheden in Europese context is niet bekend, omdat het onderzoek zich concentreerde op Amerikaanse instellingen.
Deze bevindingen dienen als een belangrijke waarschuwing voor gebruikers van digitale portemonnees. De onderzoekers adviseren het aanzetten van pushmeldingen voor elke transactie om ongeautoriseerde aankopen te identificeren en het gebruik van sterkere vormen van authenticatie dan SMS-gebaseerde eenmalige codes, bijvoorbeeld via apps zoals Google Authenticator.
Verder benadrukken zij het belang voor banken om hun toezicht en controle op terugkerende betalingen te verscherpen. Dit alles wijst naar een groeiende noodzaak om de beveiligingsmaatregelen rond digitale betalingen te heroverwegen en te verstevigen, om zo gebruikers te beschermen tegen dergelijke fraude.
Aanbevolen reactie
Doe je mee?
Je kunt nu een bericht plaatsen en je later registeren. Als je al een account hebt, kun je je hier aanmelden.
Note: Your post will require moderator approval before it will be visible.