Apple Pay-csalások: hat módszer, amellyel a csalók a téged vesznek célba

Az Apple Pay világszerte az egyik legismertebb mobilfizetési megoldás, több százmillió felhasználóval és évente hatalmas tranzakciós forgalommal. Az ESET kiberbiztonsági szakértői szerint azonban éppen ez teszi vonzó célponttá a szolgáltatást a csalók számára. Bár az Apple ökoszisztémája erős technikai védelemmel dolgozik – például biometrikus azonosítással és tokenizációval –, a támadók jellemzően nem ezeket a védelmi rétegeket próbálják feltörni, hanem inkább a felhasználókat veszik rá hibás döntésekre.

A szakértők szerint az Apple Payhez és más digitális pénztárcákhoz kapcsolódó csalások jelentős része pszichológiai manipulációra épül. A cél legtöbbször az, hogy az áldozat önként adjon meg érzékeny adatokat, engedélyezzen egy tranzakciót, vagy küldjön pénzt olyan helyre, ahová valójában nem kellene.

A mobilfizetés terjedésével a kockázat is nő

A mobilos fizetés Magyarországon is egyre szélesebb körben terjed. A tájékoztatás szerint a Magyar Nemzeti Bank adatai alapján 2025 harmadik negyedévében közel 480 millió bankkártyás fizetés történt Magyarországon, összesen mintegy 4500 milliárd forint értékben. Eközben a mobiltárcákba regisztrált bankkártyák száma 2,4 millió fölé nőtt, ami jól mutatja, hogy az Apple Payhez hasonló megoldások már a hazai felhasználók körében is mindennapossá váltak.

A kiberbiztonsági oldalról nézve az NFC-alapú fizetések is egyre nagyobb figyelmet kapnak. Az ESET szerint 2025 első és második fele között csaknem megduplázódott az NFC-t kihasználó androidos kártevők észlelése. Bár ez nem kifejezetten Apple Pay-specifikus adat, jól érzékelteti, hogy a mobilfizetés köré épülő támadási felületek egyre fontosabbá válnak.

Az adathalászat továbbra is az egyik leggyakoribb módszer

Az Apple Payhez kapcsolódó csalások egyik legismertebb formája az adathalászat. Ilyenkor a csalók SMS-ben, e-mailben vagy akár telefonon keresik meg az áldozatot, és azt állítják, hogy valamilyen probléma merült fel a fiókkal, adatellenőrzésre van szükség, vagy éppen visszatérítés jár.

Az üzenetben szereplő link rendszerint hamis oldalra vezet, ahol bankkártyaadatokat, Apple ID-belépési információkat vagy más érzékeny adatot kérnek. Különösen veszélyes, ha a támadók az egyszer használatos megerősítő kódot is megszerzik, mert ezzel saját digitális pénztárcájukba is hozzáadhatják az áldozat bankkártyáját.

Az online piactereken is többféle trükk működik

A piacteres csalásoknál a támadó általában vevőként jelenik meg, és azt állítja, hogy Apple Pay segítségével fizet egy nagyobb értékű termékért. A háttérben viszont előfordulhat, hogy a tranzakció lopott bankkártyával történik. Amikor a valódi kártyatulajdonos később vitatja a vásárlást, az eladó nemcsak a pénzt bukhatja el, hanem a terméket is.

Ehhez hasonló a túlfizetéses csalás is. Ilyenkor a csaló a megbeszéltnél nagyobb összeget küld, majd arra hivatkozva kéri vissza a különbözetet, hogy tévedés történt. Később azonban kiderülhet, hogy az eredeti fizetés szintén lopott kártyához kapcsolódott, így az eladó egyszerre veszítheti el a terméket, az eredeti vételárat és a visszautalt összeget is.

A kéretlen utalás és a hamis bizonylat is gyakori trükk

Az ESET szerint szintén visszatérő módszer a kéretlen fizetéses átverés. Ebben az esetben az áldozat váratlanul kap egy összeget, majd a küldő arra kéri, hogy más módon utalja vissza, például egy másik alkalmazáson keresztül vagy ajándékkártya formájában. A gond az, hogy az eredeti tranzakciót a bank később visszavonhatja, így a visszaküldött pénz végül az áldozat vesztesége lesz.

Hasonlóan megtévesztő a hamis fizetési bizonylat is. Ilyenkor a csaló egy képernyőfotót mutat arról, hogy állítólag Apple Pay-jel már fizetett, és azzal magyarázza a késlekedést, hogy az összeg még „függőben van”, vagy csak a csomag feladása után jelenik meg. A szakértők hangsúlyozzák, hogy az Apple Pay nem ilyen letéti rendszerben működik, így az ilyen magyarázat tipikus figyelmeztető jel lehet.

A nyilvános Wi-Fi is kockázatot jelenthet

A csalások egy része nem közvetlenül a fizetéshez kapcsolódik, hanem a felhasználó belépési adatainak megszerzésére irányul. Ilyen lehet az úgynevezett „evil twin” támadás, amikor egy támadó hamis, megtévesztően valódi nyilvános Wi-Fi-hálózatot hoz létre például repülőtéren vagy kávézóban.

Ha a felhasználó ehhez csatlakozik, a támadó megfigyelheti a forgalmat, vagy akár hamis Apple-bejelentkezési oldalra is átirányíthatja. Így nem közvetlenül az Apple Pay technológiáját töri fel, hanem az Apple ID-fiókhoz próbál hozzáférni, ami később további visszaélésekhez vezethet.

Ezek a jelek utalhatnak csalásra

A szakértők szerint több olyan tipikus figyelmeztető jel van, amelyet érdemes komolyan venni. Gyanús lehet minden olyan üzenet, amely sürget, gyors döntést követel, vagy arra próbál rávenni, hogy azonnal adjunk meg egyszer használatos hitelesítési kódot.

Szintén intő jel lehet, ha valaki arra kér, hogy egy frissen kapott összeg egy részét vagy egészét más módon utaljuk vissza, vagy ha azt szeretné, hogy a terméket még a fizetés valódi jóváírása előtt adjuk fel. Ugyancsak óvatosságot indokol, ha ismeretlen személy Apple- vagy banki alkalmazottnak adja ki magát.

Néhány alaplépés sokat segíthet a védekezésben

Az ESET szerint néhány egyszerű óvintézkedéssel jelentősen csökkenthető a kockázat. Érdemes bekapcsolni az iPhone-on az Ellopott eszköz védelme funkciót, engedélyezni a fizetési értesítéseket a bankkártyákhoz, valamint online vásárlásnál olyan kártyát használni, amely támogatja a chargeback lehetőséget.

Nyilvános Wi-Fi használatakor különösen fontos lehet a VPN alkalmazása, emellett hasznos lehet valamilyen megbízható kiberbiztonsági megoldás használata is. Ezek önmagukban nem teszik lehetetlenné a csalást, de sok esetben plusz védelmet nyújthatnak a megtévesztési kísérletekkel szemben.

Gyors reagálásra van szükség, ha már megtörtént a baj

Ha valaki gyanús tranzakciót észlel, az első lépés az, hogy haladéktalanul felvegye a kapcsolatot a bankjával. Egyes tranzakciók még időben visszafordíthatók vagy vitathatók, de ehhez gyors intézkedés szükséges. Ha a felhasználó belépési adatokat vagy bankkártya-információkat adott meg, fontos a jelszavak azonnali módosítása, valamint a bankkártya letiltásának vagy cseréjének kezdeményezése is.

A csalás bejelentése a hatóságok felé szintén fontos lehet, mert nemcsak az ügy kivizsgálását segítheti, hanem más felhasználók védelmét is. A mobilfizetés kényelmes és gyors megoldás, de csak akkor marad igazán biztonságos, ha a felhasználók a technológia mellett a csalók módszereit is ismerik.

Forrás: Eset sajtóközlemény Borítókép: Apple