Rambler's Top100
Реклама
 
Все новости Новости отрасли

Мошенники вывели средства с карт «Кукуруза» при помощи Apple Pay

15 мая 2019

Майские праздники обернулись для сотни владельцев карт «Кукуруза» хищением денежных средств. Мошенники получили доступ к логинам и паролям от мобильного и интернет-банка, а далее, пользуясь уязвимостью приложений, подключили Apple Pay и вывели средства.

Начиная со 2 мая на сайте Banki.ru стали появляться жалобы владельцев карт «Кукуруза» о хищении у них средств, пишет "КоммерсантЪ". Жертвы атаки получили СМС, что их карта подключена к Apple Pay, сразу после этого были выведены деньги на номер Теле2. Все жертвы указывают, что СМС или пуш-уведомлений с кодом подтверждения для подключения Apple Pay они не получали.

Карта «Кукуруза» — это мультифункциональная бонусная платежная карта, которую предлагает своим клиентам объединенная компания «Связной/Евросеть». Карта работает в платежной системе Mastercard, эмитент карты РНКО «Платежный центр».

Жертвы атаки указывали, что причин хищения две — утечка их логинов и паролей, а также возможность подключения в мобильном приложении «Кукурузы» Apple Pay без подтверждения операции СМС или пуш-уведомлением.

Собеседник “Ъ”, знакомый с ходом расследования инцидента, сообщил, что при атаке применялся метод «смежного взлома» — был атакован сервис, где были данные о владельцах «Кукурузы».

«Часть паролей совпала и удалось совершить вход, часть была просто похожа и злоумышленникам взлом не удался»,— отметил он. Общая сумма ущерба, по словам знакомых с ситуацией собеседников “Ъ”, могла составить несколько миллионов рублей.

В «Евросети» и РНКО факт хищения средств у владельцев «Кукурузы» подтвердили, отметив, что среди 20 млн выпущенных карт доля пострадавших невелика. «Это обычная активизация мошенников перед праздниками,— пояснили в РНКО "Платежный центр".— Суммарно мы получили менее 100 обращений» По словам СЕО компании «Связной/Евросеть» Александра Малиса, пострадали 80 владельцев карт. В РНКО «Платежный центр» отметили, что не были взломаны системы РНКО и его партнеров. «По имеющейся информации, был взломан один из социальных сервисов, не связанный с "Кукурузой", далее злоумышленники проверяли — не совпадает ли логин и пароль на сервисе с логином и паролем в мобильном или интернет-банке»,— отметили там. Взломанный сервис до установления всех фактов атаки не называют.

В компании «Связной/Евросеть» отметили, что аномальное количество попыток входа с неверным паролем фиксировалось с 1 мая, с 4 мая начали поступать жалобы клиентов, а 6 мая были установлены основные обстоятельства атаки и ужесточили параметры мониторинга. Именно в эти дни, отмечают в компании, начали сбрасывать пароли клиентов, которые потенциально были скомпрометированы, а также ввели обязательную двухфакторную аутентификацию на подключение Apple Pay. По словам Александра Малиса, также прошло обновление мобильного банка, которое ввело дополнительное подтверждение при смене устройства, а также защиту от подбора логина и пароля для входа. «Похищенные средства удалось остановить,— отмечает господин Малис.— Всем пострадавшим они были возвращены». В компании говорят о похищении около 2 млн руб.

В РНКО «Платежный центр» уверяют, что нарушений положения ЦБ «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» допущено не было, так как оно относится к переводам денежных средств, а привязка карты к Apple Pay не является операцией по переводу. Подключение к Apple Pay было реализовано в соответствии с требованиями Apple и политиками риск-менеджмента. Любое усложнение бизнес-процесса отрицательно влияет на удобство использования, в компании соблюдают баланс между безопасностью и удобством, отметили там.

По словам директора центра мониторинга и реагирования на кибератаки Solar JSOC Владимира Дрюкова, вне зависимости от факта утечки логинов и паролей мобильное приложение при подобном способе хищения показало две серьезные уязвимости — отсутствие защиты от смены устройства при входе в мобильный банк и отсутствие защиты от подбора номера. Сама по себе схема с Apple Pay не нова, по ней атаковали американские банки несколько лет назад, и даже идентификация клиента с помощью пуш-уведомлений не защищает здесь от хищения, указывает эксперт по безопасности банковских систем Positive Technologies Тимур Юнусов.

Источник: КоммерсантЪ

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Читайте также:

В 2023 году более 40% публикаций об инвестициях в криптовалюты были мошенническими

«Лаборатория Касперского» и билайн объединяют усилия в борьбе с мошенничеством

Банки предотвратили мошеннические операции почти на 1,7 трлн рублей

После введения блокирующих санкций против СПб Биржи выросло число фишинговых площадок для инвесторов

Мошенники стали звонить через приложения для объявлений

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.