「Ghost Tap」是由歐洲資安研究機構PRODAFT於2026年3月底首度公開揭露的Apple Pay新型詐騙手法。其核心技術在於「NFC中繼攻擊」(NFC Relay Attack):攻擊者先透過釣魚網站或惡意APP誘騙受害者輸入Apple Pay驗證資訊,取得綁定卡片的令牌(Token)後,再將NFC訊號即時轉傳至另一個位於實體商店的詐騙終端設備,完成跨國無接觸消費。整個流程可在毫秒內完成,根本繞過蘋果的地理位置驗證機制。
台灣金管會銀行局表示,已接獲數起疑似Ghost Tap詐騙的案件通報,受害者多為曾在境外或可疑網站使用Apple Pay的消費者。初步調查顯示,被盜刷地點多集中在歐洲及東南亞的實體零售商店,單筆消費金額在數百至數千元美金不等。目前受害總金額仍在彙整中,金管會已要求各銀行加強NFC交易異常監控。
蘋果官方確認Ghost Tap攻擊的存在,並已於iOS 19.4.1安全更新中強化NFC交易的地理位置驗證及生物辨識二次確認機制。蘋果同步向全球Apple Pay用戶發送安全通知,建議立即採取以下措施:一、更新至最新版iOS;二、開啟「面容ID雙重確認支付」設定;三、檢視Apple Pay交易紀錄,如有異常立即聯絡發卡銀行;四、移除不常使用的綁定卡片以降低風險。
資安專家指出,Ghost Tap所利用的NFC中繼技術並非Apple Pay獨有的漏洞,Google Pay、Samsung Pay等其他NFC支付方案理論上同樣面臨類似風險。根本問題在於:NFC通訊協定本身在設計之初並未考慮中繼攻擊的情境,而支付系統對於「交易地點」的驗證通常依賴GPS或IP位址,均可被攻擊者欺騙。業界正積極研究「距離感知NFC」(Distance-bounding NFC)技術,以根本性地阻斷中繼攻擊的可行性。
資安研究者與金管會共同建議台灣消費者:避免在來路不明的網站或App上輸入Apple Pay相關資訊;定期檢查Apple Pay綁定的銀行卡交易明細;啟用銀行的即時消費簡訊通知功能;若發現異常交易,立即聯絡發卡銀行申請爭議交易退款。目前台灣各大銀行已依規定於60天爭議申請期內受理相關案件,消費者不必驚慌,但務必及早申報。
本文由台新社AI系統進行資料查找與編輯發布,相關內容或有缺漏,還請讀者知悉,務必在使用資訊前再次查證。