Во время долгих майских праздников у сотен владельцев карт «Кукуруза» были похищены денежные средства. Мошенникам удалось заполучить доступ к логинам/паролям мобильных и интернет-банков, а далее, используя уязвимости приложений, они подключили Apple Pay для последующего вывода средств. В настоящее время проблему устранили, но нет ответов на вопросы, касающиеся уровня безопасности карт «Кукуруза».
Еще со 2 мая в интернете стали отмечать появление жалоб, поступавших от владельцев карт «Кукуруза» о том, что у них похищены средства. Жертвам атаки пришли СМС-сообщения о подключении их карт к Apple Pay, сразу после чего был осуществлен вывод их денег деньги на один из номеров Теле2. По словам всех жертв, им не приходили ни СМС, ни пуш-уведомления, в которых был бы код подтверждения для подключения Apple Pay.
Карта «Кукуруза» представляет собой мультифункциональную бонусную платежную карту, предлагаемую своим клиентам объединенной компанией «Связной/Евросеть». Работа карты осуществляется в платежной системе Mastercard, а эмитирует ее РНКО «Платежный центр».
По словам жертв атаки, можно предположить две причины хищения — первая связана с утечкой информации о логинах и паролей их карт, а вторая - с возможностью подключиться к Apple Pay в мобильном приложении «Кукурузы», при этом не подтверждая операцию с помощью СМС или пуш-уведомления.
По словам источника, знакомого с тем, как продвигается расследование инцидента, при атаке мошенники воспользовались «смежным взломом» — методом, при котором атакуется сервис с данными о владельцах карт «Кукуруза». Некоторые пароли совпали, и мошенники получили доступ, некоторые были просто похожи, и злоумышленники их не взломали. Суммарный ущерб, как оценили знакомые с ситуацией источники, мог составить до нескольких миллионов рублей.
«Евросеть» и РНКО подтвердили факт хищения средств у владельцев карт «Кукуруза». При этом они отметили, что из 20 млн выпущенных карт на долю пострадавших приходится небольшой процент. По словам представителя РНКО "Платежный центр", обычно именно так мошенники активизируются накануне праздников. В целом нам пришло до ста обращений. Как сказал СЕО компании «Связной/Евросеть» Александр Малис, жертвами злоумышленников стали 80 владельцев карт, но системы РНКО и его партнеров не пострадали. Есть информация о взломе одного социального сервиса, не связанного с "Кукурузой", а злоумышленники проверяли совпадение логинов и паролей на сервисе с логинами и паролями в мобильном/интернет-банках. Информация о взломанном сервисе будет закрыта до тех пор, пока не установят все факты атаки.
По словам представителя компании «Связной/Евросеть», аномально много попыток входа с неверными паролями мы фиксировали с 1 мая, а уже с 4 мая клиенты стали жаловаться на кражи их денег, 6-го числа мы установили ключевые обстоятельства атаки, наряду с ужесточением параметров мониторинга. И как раз в эти дни началось сбрасывание паролей потенциально скомпрометированных клиентов. Также была введена обязательная двухфакторная аутентификация на подключение Apple Pay. Как сказал Александр Малис, мобильный банк был обновлен введением дополнительного подтверждения при смене устройства, а также защитой от подбора логина/пароля для входа. Мы остановили похищенные средства и вернули их пострадавшим клиентам.
По словам представителя РНКО «Платежный центр», нарушения положения ЦБ «О требованиях к обеспечению информзащиты при проведении переводов денежных средств…» не было, так как это переводы денежных средств, в свою очередь привязка карты к Apple Pay не есть операция перевода. Если бизнес-процесс хоть на немного усложняется, это отрицательно отражается на удобстве использования, в компании ориентированы на соблюдение баланса между комфортом и безопасностью.
По словам представителей банков, работающих с Apple Pay, если привязать карту, не подтверждая действие СМС, это сопряжено с риском, даже несмотря на то, что соответствующего требования об этом со стороны сервиса нет.
Чтобы подтвердить тот факт, что привязку инициировал держатель карты, используется СМС-оповещение. Как сообщали раньше эксперты Positive Technologies, свыше 50% мобильных банков не имеют защиты от подбора логина/пароля, а совершение операций повышенной важности в 77% банков осуществляется в приложениях с отсутствующим вторым фактором.
Как сказал директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков, независимо от факта утечки логинов/паролей мобильное приложение при этом варианте хищения выявило две серьезные проблемы. Во-первых, отсутствует защита от смены устройства, когда клиент входит в мобильный банк и во-вторых, отсутствует защита от подбора номера. Но, по мнению эксперта по безопасности банковских систем Positive Technologies Тимура Юнусова, схему с Apple Pay новой не назовешь - именно по ней несколько лет назад были нанесены атаки на ряд банков США, и даже защита в виде идентификации клиента через пуш-уведомления не помогла.
