תשלום באמצעות הסמארטפון כרוך בסיכונים שיש להכיר אותם ולהיערך למניעתם - כך אומרים בחברת צ'ק פוינט בעקבות ההכרזה של ישראכרט על השקת שירות ANYPAY שמאפשר תשלום בקופות חנויות באמצעות אפליקציית ישראכרט ללא צורך בכרטיס האשראי. גם החברות MAX וכאל על הודיעו על תוכנית להציע שירות דומה ללקוחות. מדובר בשירות הפועל בדרך דומה לתשלומים באמצעות גוגל פיי או אפל פיי, הנפוצים בעולם וטרם הופעלו בישראל.
כל החברות מתבססות על טכנולוגיית EMV המותקנת כבר בכ-15,000 חנויות ובתי עסק כשכל שאר החנויות נדרשות לעבור אליה גם הן על ידי בנק ישראל עד נובמבר 2020. בעידן הקורונה מקבלת הטכנולוגיה היבט חדש ואקטואלי: היא מאפשרת תשלום ללא מגע והעברת כרטיס אשראי בין ידיים.
איציק דביר, מנהל תחום אבטחת מידע במובייל בחברת צ'ק פוינט, אומר שלקוחות העוברים לשימוש בתשלום באמצעות הטלפון צריכים להביא בחשבון מספר סיכונים, שעלולים להביא לחשיפת נתוני כרטיס האשראי שלהם וקניית מוצרים על חשבונם. הסיכון הראשון הוא האפשרות שהרכיבים של אפליקציית התשלום אינם בטוחים לשימוש ונלקחו ממאגר קוד פתוח שחלקו מכיל חולשות שניתנות לניצול. הסיכון השני הוא קיומן שחל אפליקציות נוזקה בטלפון, שמסוגלות לעקוב אחר אפליקציית התשלום ולהוציא ממנה את נתוני כרטיסי האשראי. לדבריו ההאקרים מגלים כיום תחכום רב מהעבר, והם יודעים להערים על גוגל, להעלות אפליקציה תמימה למראה לחנות האפליקציות ורק לאחר מכן לעדכן אותה ולהוסיף לה מרכיב נוזקה.
תחום סיכונים שלישי שראוי לתשומת לב שלנו הוא המקום הפיזי שבו אנחנו מעלים פרטי כרטיס האשראי לאפליקציה. לדבריו, יש רשתות WiFi ציבוריות מתחזות שעוקבות אחר נתונים שמעלים הגולשים, ולכן יש להעדיף העלאת פרטים רק בעת גלישה סלולרית או מוטב – ברשת הביתית או במקום העבודה. ואחרי כל זה צריך לזכור שהטלפון, שיקר כל כך לליבנו, הופך יקר הרבה יותר כשפרטי כרטיסי השראי שלנו מצויים בתוכו. חוסר תשומת לב לרגע, וגנב זריז שנטל את הטלפון לא רק חשוף לתמונות שצילמנו, אלא יכול גם להשתמש בטלפון שלנו לחגיגת קניות. שימו לב!
"אפליקציות תשלום יכולות להיות בטוחות יותר משימוש בכרטיסים פיזיים", אומר דביר, "אך אינן חפות מבעיות אבטחת מידע שעלולות לצוץ ואלו קשורות גם לתהליך פיתוח האפליקציה וגם בצורת השימוש של לקוח האפליקציה. אנחנו בודקים את כל הטכנולוגיות הללו כל הזמן, בנושאים האלה כשמדובר בחברות הגדולות ואכן אם אין תהליך של הונאה וגניבת מידע, חברות גדולות אכן מפתחות את זה גם איתנו וגם בצורות מאובטחות. הבעיה מתחילה ונגמרת בכל מיני אפליקציות איזוטריות שאנשים מורידים ונותנים הרשאות בצורה מיידית ומכאן הדרך לגניבת המידע קצרה".