Кардинг — темное ремесло похищения, продажи и прокачки ворованных платежных карт — годами был вотчиной русских хакеров. Массовый переход США на чипованные карты подрубил этот бизнес под корень. Но китайские киберпреступники не дремлют: их свежие схемы дают индустрии второе дыхание. Теперь украденные данные карт превращаются в мобильные кошельки, с которыми можно шопиться не только онлайн, но и в обычных магазинах.

Задача платежной системы — списать нужную сумму в пользу продавца со счета верное число раз. Но атакующий может перехватить платежные данные пользователя во время покупки и позже «повторить» их еще раз, списывая сумму снова, без ведома пользователя. Apple Pay использует ряд методов противодействия таким атакам, но некоторые недостатки ее реализации потенциально оставляют лазейки для злоупотреблений и мошенничества.