Технологии оплаты по бесконтактной карте и по Apple Pay весьма схожи – в обоих случаях терминал получает платежные данные (номер карты и дату окончания срока действия) и одноразовый динамический код. Передаваемые данные могут быть скомпрометированы, например, если платежный терминал заражен специализированным троянцем, таких случаев известно немало. При этом крадется и вводимый ПИН-код, что позволяет злоумышленникам изготавливать дубликаты карт и снимать с них деньги. Наличие EMV-чипа в этом случае не спасает. Это все касается и обычной, контактной оплаты картой.
Отличие Apple Pay заключается в применении технологии токенизации. Вместо номера устройство передает терминалу специальный токен – последовательность цифр, которую процессинговый центр банка эквайрера отправляет на сервер токенизации MasterCard. Этот токен отличается от номера тем, что его применение ограничено – он действителен только для бесконтактной оплаты, плюс его можно в любой момент отозвать и поменять. Для вора токен будет бесполезен, так как бесконтактная оплата требует динамического кода, который постоянно меняется, а для снятия денег в банкомате с помощью дубликата карты токен не годится.
Но в картах ведь есть функция paypass, там не нужно вводить код