Хакеры надкусили «Кукурузу»

Хакеры надкусили «Кукурузу»

Во время долгих майских праздников у сотен владельцев карт «Кукуруза» были похищены денежные средства. Мошенникам удалось заполучить доступ к логинам/паролям мобильных и интернет-банков, а далее, используя уязвимости приложений, они подключили Apple Pay для последующего вывода средств. В настоящее время проблему устранили, но нет ответов на вопросы, касающиеся уровня безопасности карт «Кукуруза».

Еще со 2 мая в интернете стали отмечать появление жалоб, поступавших от владельцев карт «Кукуруза» о том, что у них похищены средства. Жертвам атаки пришли СМС-сообщения о подключении их карт к Apple Pay, сразу после чего был осуществлен вывод их денег деньги на один из номеров Теле2. По словам всех жертв, им не приходили ни СМС, ни пуш-уведомления, в которых был бы код подтверждения для подключения Apple Pay.

Карта «Кукуруза» представляет собой мультифункциональную бонусную платежную карту, предлагаемую своим клиентам объединенной компанией «Связной/Евросеть». Работа карты осуществляется в платежной системе Mastercard, а эмитирует ее РНКО «Платежный центр».

По словам жертв атаки, можно предположить две причины хищения — первая связана с утечкой информации о логинах и паролей их карт, а вторая - с возможностью подключиться к Apple Pay в мобильном приложении «Кукурузы», при этом не подтверждая операцию с помощью СМС или пуш-уведомления.

По словам источника, знакомого с тем, как продвигается расследование инцидента, при атаке мошенники воспользовались «смежным взломом» — методом, при котором атакуется сервис с данными о владельцах карт «Кукуруза». Некоторые пароли совпали, и мошенники получили доступ, некоторые были просто похожи, и злоумышленники их не взломали. Суммарный ущерб, как оценили знакомые с ситуацией источники, мог составить до нескольких миллионов рублей.

«Евросеть» и РНКО подтвердили факт хищения средств у владельцев карт «Кукуруза». При этом они отметили, что из 20 млн выпущенных карт на долю пострадавших приходится небольшой процент. По словам представителя РНКО "Платежный центр", обычно именно так мошенники активизируются накануне праздников. В целом нам пришло до ста обращений. Как сказал СЕО компании «Связной/Евросеть» Александр Малис, жертвами злоумышленников стали 80 владельцев карт, но системы РНКО и его партнеров не пострадали. Есть информация о взломе одного социального сервиса, не связанного с "Кукурузой", а злоумышленники проверяли совпадение логинов и паролей на сервисе с логинами и паролями в мобильном/интернет-банках. Информация о взломанном сервисе будет закрыта до тех пор, пока не установят все факты атаки.

По словам представителя компании «Связной/Евросеть», аномально много попыток входа с неверными паролями мы фиксировали с 1 мая, а уже с 4 мая клиенты стали жаловаться на кражи их денег, 6-го числа мы установили ключевые обстоятельства атаки, наряду с ужесточением параметров мониторинга. И как раз в эти дни началось сбрасывание паролей потенциально скомпрометированных клиентов. Также была введена обязательная двухфакторная аутентификация на подключение Apple Pay. Как сказал Александр Малис, мобильный банк был обновлен введением дополнительного подтверждения при смене устройства, а также защитой от подбора логина/пароля для входа. Мы остановили похищенные средства и вернули их пострадавшим клиентам.

По словам представителя РНКО «Платежный центр», нарушения положения ЦБ «О требованиях к обеспечению информзащиты при проведении переводов денежных средств…» не было, так как это переводы денежных средств, в свою очередь привязка карты к Apple Pay не есть операция перевода. Если бизнес-процесс хоть на немного усложняется, это отрицательно отражается на удобстве использования, в компании ориентированы на соблюдение баланса между комфортом и безопасностью.

По словам представителей банков, работающих с Apple Pay, если привязать карту, не подтверждая действие СМС, это сопряжено с риском, даже несмотря на то, что соответствующего требования об этом со стороны сервиса нет.

Чтобы подтвердить тот факт, что привязку инициировал держатель карты, используется СМС-оповещение. Как сообщали раньше эксперты Positive Technologies, свыше 50% мобильных банков не имеют защиты от подбора логина/пароля, а совершение операций повышенной важности в 77% банков осуществляется в приложениях с отсутствующим вторым фактором.

Как сказал директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков, независимо от факта утечки логинов/паролей мобильное приложение при этом варианте хищения выявило две серьезные проблемы. Во-первых, отсутствует защита от смены устройства, когда клиент входит в мобильный банк и во-вторых, отсутствует защита от подбора номера. Но, по мнению эксперта по безопасности банковских систем Positive Technologies Тимура Юнусова, схему с Apple Pay новой не назовешь - именно по ней несколько лет назад были нанесены атаки на ряд банков США, и даже защита в виде идентификации клиента через пуш-уведомления не помогла.

Популярные темы
Все темы Автокредиты 37 АИЖК 4 акция 293 Аналитика 1923 Антикризисный план 5 Аудиторы 8 Банкноты 17 Банковская гарантия 5 Банковские прогнозы 414 банковский кризис 437 Банкоматы 31 Банкротство 104 Бизнес-кредиты 50 Биометрия 18 биткойн 16 БКИ 6 Благотворительность 32 Валюта 112 Вклады 281 Выставки 13 Дебетовая карта 9 Денежные переводы 94 Долг 93 Доллар 136 Евро 31 Зарплата 5 Знаменательная дата 8 Золото 4 Инвестиции 28 Интернет-Банк 45 Инфляция 4 Ипотека 248 Карта "Мир" 21 Кибербезопасность 12 кипр 11 Ключевая ставка 12 Коллекторы 32 Конкурс 22 Конференция 15 Кредитные карты 161 Кризис 35 Криптовалюта 91 Круглый стол 5 Крым 7 Курс валют 159 Кэшбэк 4 Лизинг 5 Ломбард 6 Льготы 6 Материнский капитал 8 Минфин 18 Мобильный банк 35 Монеты 10 Мошенничество 439 МФО 47 Налоги 62 Нефть 57 Новый закон 13 НПФ 13 Облигации 9 Обмен валюты 6 Обыск 4 ограбление 4 Опрос 11 Отзыв лицензии 52 Открытие нового офиса 15 Открытие офиса/филиала 8 Оффшорные банки 5 Ошибка банка 4 Пенсия 64 Потребительские кредиты 44 Почта России 4 Пресс-релиз 2406 преступления 32 Призы/Награды/Премии 53 Приставы 6 Происшествия 27 Рейтинг 316 Реклама 4 Роботы 6 Рубль 332 Санация 10 Санкции 69 Семинары 5 Сотрудничество 256 Соцсети 8 Спонсорство 5 Страхование 42 Суд с банком 45 ФАС 6 Фестиваль 6 ФНС 7 Форум 39 Хакеры 76 ЦБ 225 Центральный Банк 20 Черный список 5 Штраф 13 Экономика 12 Юрлицам 8
Москва