泥潭日报 uscardforum · 内容汇总

Apple Card - Apple Pay 被盗刷,百思不得其解

内容摘要

Apple Card 盗刷争议持续,Shiti 卡 Apple Pay 风控频发,社区建议停用。

1. 关键信息

  • 事件概述:用户 #1 报告 Apple Card 发生一笔 $100 的待处理(pending)扣款,商户显示为 "macys santa anita",但实际交易描述为 "Cellaris Santa Anita",且带有 2% 返现标识。
  • 交易特征:交易尾号 5XXX 与用户 iPhone 上的 Apple Pay 设备卡号一致,但用户从未去过该地点,且设备一直随身携带。
  • 处理进度
    • 用户联系高盛客服提交 Dispute,客服在交易 pending 状态下即提交。
    • 高盛给予 $100 temporary credit(临时信用额度)#1
    • 8.29 更新:Dispute Approved,争议款项将于 7.7 移除(注:原文时间线存在矛盾,按原文记录),$2 Daily Cash 返现已到账 #1
    • 高盛已关闭原尾号 5XXX 的卡号,用户重新添加 Apple Card 获取新卡号 #1, #31
  • 新增讨论
    • 用户 #134 指出盗刷者仅刷了 $8 试水。
    • 用户 #135 提及报警并寻找 Costco 等需要线下真人查 ID 的商户进行核查。
    • 用户 #136 指出盗刷者通常先进行小额刷测,确认卡有效后再进行大额刷。
    • 用户 #137 质疑 Apple Pay 号称 Numberless 为何会被撞号。
    • 用户 #138 提到盗刷者支付了 $130 会员费,并对比自身在 Shiti 和 Boa 均未被盗刷。
    • 用户 #139 建议检查 Apple ID 是否被他人登录,认为此问题可能更大。
    • 用户 #140 提到 Shiti 认为 Apple Card/Apple Pay 是最不安全的,绑定后必触发风控且只能等寄信解决。
    • 用户 #141 评论盗刷者大可以选择不支持 Apple Pay。
    • 用户 #142 表示支持停用 Apple Pay,称其 Shiti 卡加了三次全被封控,现在干脆 Shiti 卡全都不用 Apple Pay;但因其持有 Costco Anywhere Visa 实体卡,在 Costco 加油进店时可一卡两用,仍很方便。

2. 羊毛/优惠信息

  • Apple Card:$2 Daily Cash 返现(针对该笔交易已到账)#1
  • Apple Card:Apple Pay 交易通常显示 2% 返现,部分 Card Number 交易显示 1% 返现 #8, #10
  • Chase:用户 #11 提到因多次撸 offer 背景,虽 Dispute 失败仍保留卡片。
  • Bilt:用户 #43 提到 Bilt 被盗刷。
  • HSBC Premier Debit:用户 #40, #45 提到被盗刷。
  • IHG:用户 #22, #44, #45, #79, #85 提到 Chase IHG 被盗刷。
  • CFF:用户 #85, #94 提到 Chase CFF 被盗刷。
  • Freedom Flex:用户 #40 提到被盗刷。
  • Amex:用户 #47 提到 Amex 不显示交易记录。
  • Pixel 手机:用户 #133 提到已换用 Pixel 手机。
  • Costco:用户 #135 提及 Costco 需要线下真人查 ID 的商户;用户 #142 提及 Costco Anywhere Visa 实体卡可在 Costco 加油进店一卡两用。
  • Shiti:用户 #138 提到未被盗刷;用户 #140 提到 Shiti 认为 Apple Pay 绑定必触发风控;用户 #142 表示因多次被封控已停用 Shiti 卡 Apple Pay。
  • Boa:用户 #138 提到未被盗刷。

3. 最新动态

  • 8.29 更新:高盛回复 Dispute Approved,争议款项移除,$2 Daily Cash 到账 #1
  • 近期趋势:Reddit 及小红书出现多起 Apple Card Apple Pay 盗刷案例 #9, #39, #69, #88, #99
  • 系统状态:Chase 部分用户反映 Apple Pay 交易记录不再实时显示,疑似紧急打补丁 #72, #73, #74, #75
  • 行业背景:Mastercard 网络近期频发盗刷(IHG, Bilt, HSBC),引发对 MDES 或支付网络安全的担忧 #40, #69, #85, #90, #91
  • 盗刷模式:社区指出盗刷者倾向于先小额试水(如 $8),确认有效后再大额刷 #134, #136
  • 社区观点:用户 #139 指出需检查 Apple ID 登录状态;用户 #140 认为 Shiti 卡绑 Apple Pay 必触发风控;用户 #141 质疑为何盗刷者不直接选择不支持 Apple Pay 的支付方式;用户 #142 分享 Shiti 卡 Apple Pay 多次被封控经历,建议直接停用。

4. 争议或不同意见

  • 安全机制争议
    • 用户 #1, #25, #26 认为 Apple Pay 的 DAN + Cryptogram 机制理论上无法被盗刷,除非 Secure Element 密钥泄露或高盛系统有 Bug。
    • 用户 #49, #53, #78 认为可能是“草台班子”理论,即服务器端密钥管理不当或被攻破。
    • 用户 #65, #69, #78 指出 TSP (Token Service Provider) 是 Mastercard (MDES) 而非高盛,问题可能出在 Token 验证环节。
    • 用户 #140 认为 Apple Card/Apple Pay 是最不安全的,绑定后必触发风控。
  • 责任归属争议
    • 高盛系统 Bug 导致错误显示交易 #34, #65, #80
    • Mastercard 网络或 MDES 被攻破 #40, #69, #85, #91
    • 商家端 Token 泄漏或 POS 机侧攻击 #59, #61, #93
    • Apple Pay 后端显示错误,实际交易未发生 #34
    • 用户 #139 认为问题可能在于 Apple ID 被他人登录。
  • Dispute 难度
    • 用户 #11, #13 指出 Chase 的 Apple Pay Dispute 失败且导致无法添加 Apple Pay。
    • 用户 #1 提到 Apple Card Dispute 容易输,尤其是 Apple Pay 交易被认为不可能盗刷。
    • 用户 #140 提到 Shiti 卡绑 Apple Pay 只能等寄信解决。
  • 技术细节争议
    • 商家是否能看到完整卡号:用户 #92, #98, #104 确认商家可见 Device Account Number 的 Last 4 位,但需配合一次性 Token。
    • 删卡后卡号是否变化:用户 #25 认为不变,用户 #84 确认同一设备同一 Apple ID 删卡再绑卡尾号不变。
    • Numberless 安全性:用户 #137 质疑为何号称 Numberless 仍会被撞号。

5. 行动建议

  • 立即停卡/换卡:建议立即停卡并更换新卡号,防止 recurring payment 或后续盗刷 #61, #132
  • 检查设备:检查所有 Apple ID 登录设备,修改密码,确保 YubiKey 安全 #1;用户 #139 特别建议检查 Apple ID 是否被他人登录。
  • 监控交易:常看 Statement,留意是否有其他异常交易 #24
  • Dispute 策略:若 Dispute 被拒,可尝试转为商户欺诈调查(如商户 ID 可疑) #59
  • 系统更新:确保所有设备系统为最新版 Stable,关闭不必要的快捷公交卡功能 #98
  • 社区参考:关注 Reddit r/AppleCard 及向前论坛获取最新盗刷案例和应对经验 #9, #115, #128
  • 商户核查:报警并寻找 Costco 等需要线下真人查 ID 的商户进行核查 #135
  • 风控应对:参考用户 #140 经验,若绑定 Apple Pay 触发风控,可能需要等待银行寄信解决;参考用户 #142 经验,若多次被封控,建议直接停用 Apple Pay。