על פי דיווח ביום חמישי, רמאים משתמשים בפרטי כרטיסי אשראי שנאספו מנתוני רשתות קמעונאיות ידועות לאחרונה כדי ליצור חשבונות Apple Pay, בעוד שחנויות אפל עצמן אחראיות ל-80% מהעסקאות הלא מורשות.
מצטט מקורות הבקיאים בנושא,הוול סטריט ג'ורנלמדווח על עברייניםרוכשיםפריטי כרטיסים גדולים בחנויות אפל באמצעות חשבונות Apple Pay הונאה שנוצרו בחלקם עם נתוני כרטיסי אשראי שנגנבו מהום דיפו ומטרגט. עם יכולות ה-NFC של האייפון 6, ייתכן שהכרטיס הפיזי לא יידרש עבור רכישות כאלה.
Apple Pay עצמה לא נפרצה, כלומר לקוחות שהעניקו להם כרטיסים בשירות של אפל בטוחים. המערכות בצד הבנק שעליהן אבטחת Apple Pay תלויה חלקית, עם זאת, ככל הנראה משוחקות.
כאשר משתמשי Apple Pay בוחרים לראשונה להוסיף כרטיס אשראי או כרטיס חיוב, הבנק המנפיק יכול להשתמש ב"נתיב ירוק", אשר מספק מיד את הכרטיס, או "נתיב צהוב" הדורש שלבים נוספים לאימות זהות המשתמש. מחקר מצא שהנתיב הצהוב מקל במידה מסוימת, כאשר בנקים מבקשים מידע שבמקרים מסוימים קל יחסית להשיג, כמו ארבע הספרות האחרונות של מספר תעודת זהות של משתמש.
שיטות האימות משתנות מבנק לבנק, אך חלק מהמוסדות דורשים מבעלי הכרטיס לאמת את פרטי החשבון, להיכנס לחשבונות מקוונים או לדבר עם נציג שירות לקוחות. הפרסום אמר כי כמה בנקים שולחים הודעת טקסט אישור לטלפון של לקוח, טכניקה המשמשת לעתים קרובות על ידי שירותי אימות דו-שלבי מבוססי אינטרנט.
הדו"ח מהדהד טענות קודמות לפיהן שותפי הבנק של Apple Pay הם "לטרוף"כדי לבלום את הזרם של פעילות הונאה הקשורה להליכי אימות בעלי כרטיס רופפים כביכול. לא ברור אילו שינויים מתבצעים ב-backend, אך ניתן להניח שבקרוב מחזיקי הכרטיס יראו פרוטוקולי אימות מחמירים יותר.
