专家们提出黑客可以通过创建一个虚假的接入点来欺骗用户，在Apple Pay进行钓鱼，使用户提供他们的信用卡数据。

专家们曾做过一个关于Apple iOS的安全专题报告，可能被利用来对用户进行欺骗，使用户提供他们的信用卡数据和个人信息。攻击者可以伪造一个“官方门户”，模仿合法的Apple Pay接口来进行利用，因为在Apple iOS 的默认行为中 Wi-Fi是启用的。每一个iOS的设备在Wi-Fi打开的时候会默认尝试访问一个已知SSID的无线网络，这意味着攻击者可以通过捕获对已知网络的请求信息来创建一个虚假的接入点，然后弹出一个窗口伪装成任何页面或APP。

研究人员利用这种行为来欺骗连接到恶意接入点的用户，通过弹出伪造的门户页面，使其看起来像是Apple Pay用于提交信用卡信息的页面。当攻击者附近的用户进行Apple Pay交易时，他可能遭受到攻击，因为攻击者可能尝试迫使用户连接到虚假的接入点。攻击者可能选择支持Apple Pay终端的PoS系统附近的位置进行攻击。这种攻击方式唯一的缺陷是，假的Apple Pay屏幕显示有“Log In”标题栏，可能使用户产生警觉。

专家说：“在客流量高的时候，即使是很小的成功率也将产生大量有价值的信用卡号码”。“他们都很容易。使用现成的技术，他们并不需要携带太多东西，这使得黑客可以在第一时间把精力集中在他们的受害者身上，这些受害者在结账的时候最容易受到影响”。

为了防止这种攻击，只需要在不使用网络的时候关闭wifi就足够了。另一个要考虑的是，不需要用户的信用卡数据就可以进行Apple Pay交易。

(责任编辑：安博涛)