Az Apple Pay, Google Pay és hasonló mobilfizetési tárcák terjedésével új visszaélési forma jelent meg: a csalók megpróbálják a mi bankkártyánkat hozzáadni a saját telefonjuk Wallet alkalmazásához (gyakorlatilag egy digitális klónt készíteni róla), hogy aztán a saját készülékükkel fizethessenek. Ehhez általában ismerniük kell a kártyaadatainkat és szükség van egy megerősítő kódra, amit a bank SMS-ben küld a kártya digitális tárcába való felvételekor.
Hogyan valósul meg? Gyakran úgy, hogy előbb egy adathalász módszerrel megszerzik a kártyánk adatait (szám, lejárat, CVC), majd felhívnak egy banki alkalmazottnak kiadva magukat, és elhitetik velünk, hogy “ellenőrző SMS-kódot” fognak küldeni. Valójában a kártyánkat próbálják hozzáadni egy Apple/Google fiókhoz, az ehhez tartozó banki megerősítő kódot pedig tőlünk kérik el telefonon. Ha sikerrel járnak, a kártya egy virtuális másolatát beaktiválják a saját telefonjukon, és onnantól kezdve fizetni tudnak vele, mintha a mi kártyánk lenne – anélkül, hogy a fizikai kártyánkat birtokolnák . Volt olyan eset, ahol a károsult csak akkor vette észre, hogy baj van, mikor a kártyáját terhelő tranzakciók jelentek meg sorozatban, pedig a kártya nála volt végig. Gyanítható volt, hogy a háttérben az Apple Pay rendszerét használták ki, mert a bank anti-fraud rendszere nem szűrte ki a csalást (hiszen az Apple Pay-t megbízhatónak hitte) .
Védelem: Ha bármilyen váratlan SMS-kódot kapunk kártyaregisztrációval kapcsolatban, ne adjuk meg senkinek. Sőt, érdemes ilyenkor azonnal hívni a bankot, hogy ők küldték-e és tiltsuk le a kártyát. A bankok is fejlesztik az ilyen esetek szűrését – pl. gyanús lehet nekik, ha hirtelen egy külföldi eszközön aktiválódik a kártya –, de nem minden esetet tudnak automatikusan blokkolni. Mi is kérhetünk a banktól értesítést, ha új eszközön használják a kártyát (ha van erre szolgáltatásuk). Emellett használhatunk virtuális, egyszer használatos kártyákat online és tárcákhoz (néhány fintech ezt kínálja), így az igazi kártyánk adatai nem kompromittálódnak.