ApplePay欺诈直指移动支付

或许，现在应该重新考虑将身份验证解决方案嵌入应用程序，以帮助银行与服务提供商。

Gartner研究副总裁、杰出分析师AvivahLitan

Gartner消费服务团队研究总监沈哲怡

最近，Gartner分析师参加了在洛杉矶举办的ISMG反欺诈论坛（Fraud Forum），会上比较有意思的话题是关于ApplePay的欺诈问题。不法分子会将偷来的无卡支付 CNP 银行卡信息输入iPhone手机（远比窃取有卡 CP支付的银行卡磁条数据容易），再将该数据转换为使用ApplePay实物银行卡信息。

银行家在大会上深入探讨了这方面信息，指出这一计谋使得行骗者可将无卡支付与有卡支付关联起来。现在，他们甚至都不用费力地侵入Target与Home Depot等大型零售连锁公司，只需窃取或购买用于电子商务交易的低成本CNP银行卡数据，并将该数据输入智能手机，便可将CNP数据转化为伪造的实物银行卡数据，进而实施更加有利可图的CP欺诈。这也许并非ApplePay的问题，最终责任应由发卡行承担，他们需要证明ApplePay持卡人是真正持有有效银行卡的合法客户。苹果公司确实已向发卡行提供了相关信息，协助其做出知情决策。但ISMG反欺诈大会上的银行家们却抱怨说未能从ApplePay获得充足信息来有效支持反欺诈流程。如情况属实，他们就有权利拒绝接受该注册卡，前提是营销同事也同意。

同时，苹果公司提供了大量详尽的客户数据，帮助银行进行身份验证，包括有关客户设备与iTunes账号信息，例如：设备名称、当前位置以及客户是否在iTunes内拥有长期交易历史。银行还需要哪些信息不得而知。有趣的是，苹果公司与银行均未从移动运营商处获得任何有用的身份信息—至少目前了解或听到的情况如此。然而，移动运营商数据在身份验证方面尤其有用。

多年来，各厂商向移动支付与商务服务提供大量创新、强大的用户认证解决方案的消息不绝于耳。多年来，Gartner分析师一直询问自信满满的厂商是如何知道其移动应用正在被合法用户而非骗子所使用。这是移动商务中最薄弱的一环—确保您的应用提供给了正确的用户，而非骗子。

在非面对面的环境内进行身份认证绝非易事，但可以利用一些解决方案作为辅助工具，大幅减少交易与身份欺诈。关键是要降低对静态数据的依赖，其中大部分是被不法分子破坏的PII数据（personally identifiable information，个人验证信息），并更加重视动态数据，例如：信誉、行为以及非PII数据组成部分之间的关系等。

由于缺少苹果公司在相对封闭环境内的客户数据优势，Samsung/LoopPay与MCX/CurrentC（由沃尔玛、百思买及其他大型零售商支持）相继推出的移动支付系统只会让问题变得更糟。

移动用户认证领域内的厂商一直回应说，账户认证规范是由银行或服务提供商制定的。或许，现在他们应该重新考虑将身份验证解决方案嵌入应用程序，以帮助银行与服务提供商。在这方面表现突出的公司必将赢得大量的客户继而获得丰厚收益。