Sự phát triển của công nghệ Giao tiếp gần (NFC) và hệ thống thanh toán di động, đặc biệt là Apple Pay, đã thay đổi cơ bản bối cảnh tài chính tiêu dùng bằng cách ưu tiên các giao dịch không ma sát. Trong khi kiến trúc cơ bản của Apple Pay - sử dụng mã hóa và xác thực sinh trắc học thông qua Secure Enclave - về lý thuyết vượt trội hơn so với bảo mật thẻ vật lý truyền thống, việc áp dụng rộng rãi của nó đã khuyến khích một sự thay đổi trong phương pháp của tội phạm mạng. Thay vì cố gắng xâm nhập vào mã hóa cứng của nền tảng, các tác nhân đe dọa hiện đại ngày càng sử dụng kỹ thuật xã hội để vượt qua các biện pháp bảo vệ kỹ thuật. Sự thay đổi này phản ánh một xu hướng rộng hơn trong an ninh mạng, nơi người dùng vẫn là điểm yếu nhất, thường bị khai thác thông qua sự thao túng tâm lý hơn là các khai thác mã hóa.
Lừa đảo qua email và tin nhắn vẫn là các kênh chính để xâm nhập vào hệ sinh thái này. Những cuộc tấn công này thường liên quan đến việc giả mạo những kẻ bất hợp pháp thành các thực thể tổ chức hợp pháp, chẳng hạn như Hỗ trợ Apple hoặc các nhà cung cấp dịch vụ tài chính, để tạo ra một trạng thái "tải nhận thức do sự khẩn cấp" trong nạn nhân. Bằng cách trình bày một cuộc khủng hoảng được cảm nhận—như một giao dịch trái phép hoặc một sự đình chỉ tài khoản—các kẻ lừa đảo thao túng người dùng nhấp vào các liên kết độc hại hoặc giao nộp mã Xác thực Hai yếu tố (2FA). Việc lấy được mã 2FA là đặc biệt quan trọng, vì nó cho phép một kẻ tấn công vượt qua lớp bảo mật "cái gì đó bạn có", cho phép việc đăng ký bất hợp pháp thông tin tín dụng của nạn nhân lên một thiết bị thứ cấp, do kẻ tấn công kiểm soát.
Hơn nữa, trò lừa đảo "thanh toán vô tình" khai thác các chuẩn mực xã hội về sự tương hỗ và trung thực để tạo điều kiện cho việc rửa tiền và gian lận. Trong kịch bản này, một kẻ tấn công sử dụng một thẻ tín dụng bị xâm phạm để gửi tiền cho một người dùng ngẫu nhiên qua Apple Cash. Kẻ tấn công sau đó yêu cầu "hoàn tiền" dưới hình thức một lỗi hành chính. Bởi vì Apple Cash hoạt động như một dạng tương đương kỹ thuật số của tiền tệ vật lý, việc chuyển tiền tiếp theo của nạn nhân là ngay lập tức và thường không thể đảo ngược. Khi giao dịch gian lận ban đầu cuối cùng bị đánh dấu và bị ngân hàng thu hồi, nạn nhân sẽ phải chịu trách nhiệm cho khoản thiếu hụt, thực sự trở thành một kẻ chuyển tiền không biết gì cho tài sản lỏng của kẻ tấn công.
Để giảm thiểu những rủi ro này, một chiến lược phòng thủ đa lớp là cần thiết, vượt ra ngoài việc chỉ dựa vào mã hóa của nền tảng. Việc triển khai "Bảo vệ Thiết bị Bị đánh cắp" trong hệ sinh thái iOS đại diện cho một bước tiến quan trọng, khi nó giới thiệu một "Độ trễ Bảo mật" cho các hoạt động nhạy cảm được thực hiện bên ngoài các địa điểm địa lý quen thuộc. Tuy nhiên, biện pháp răn đe hiệu quả nhất vẫn là mức độ hiểu biết số cao và sự hoài nghi. Người dùng phải đối xử với các nền tảng thanh toán di động với cùng mức độ cân nhắc như tài sản lỏng vật lý, nhận thức rằng sự thuận tiện của các giao dịch ngay lập tức liên quan đến việc giảm thiểu các biện pháp bảo vệ đảo ngược giao dịch truyền thống. Giữ một tư thế "không tin tưởng" đối với các cuộc giao tiếp không được yêu cầu là rất quan trọng để bảo vệ tính toàn vẹn của ví kỹ thuật số.