За майские праздники почти сто пользователей карт «Кукуруза» остались без своих средств. Хакеры выводили деньги со счетов, используя популярное приложение оплаты Apple Pay. Они привязывали карты жертв к «яблочному» сервису и переводили рубли на сторонние счета. «360» побеседовал с экспертами по кибербезопасности и узнал, как оплачивать покупки через систему мобильных платежей без угрозы для своего кошелька.

В начале мая держатели карт «Кукуруза» начали массово жаловаться на то, что с их счетов стали списываться средства без их согласия. К примеру, на профильном форуме banki.ru подобных гневных сообщений сейчас насчитывается порядка 50. Все пострадавшие утверждают, что сначала мошенники самостоятельно подключали их карты к системе Apple Pay. Затем им приходило уведомление о выводе средств на номер мобильного оператора. При этом никаких SMS или push-уведомлений, которые необходимы для установки и работы с Apple Pay, жертвы не получали.

«Сегодня так же, как и описывают выше, карта „Кукурузы“ была привязана к Apple pay и через две минуты осуществлена операция с переводом на [мобильного оператора] 15 000 рублей. Кодов на подтверждение привязки к Apple pay не приходило!» — пишет одна из обманутых пользовательниц. По словам женщины, когда она привязывала карту к смартфону, ей приходил пароль для верификации. В этот раз сообщение пришло уже о списании денег.

Напомним, что «Кукуруза» выступает бонусным платежным инструментом объединенной компании «Связной — Евросеть». Она привязана к платежной системе Mastercard, а ее эмитентом выступает РНКО «Платежный центр». Согласно информации на сайте компании, картой пользуются больше 20 миллионов россиян.

«Кукурузное» хищение

Сами жертвы склоняются к версии, что их данные были украдены из системы, которую хакеры попросту взломали. Другие уверены, что их деньги украли из-за уязвимостей приложения на смартфоне. Ведь мошенники смогли подключить карты без подтверждения операции.

В самой «Евросети» придерживаются аналогичного мнения. «Они (мошенники — прим. ред.) исходили из возможности, что люди пользуются одинаковым паролем на разных сервисах. Они получили пароли клиентов на абсолютно сторонних сервисах и попробовали их применить в личном кабинете „Кукурузы“», — рассказали «360» в пресс-службе компании.

По данным компании, всего хакерам удалось получить доступ к картам 83 пользователей. При этом ни один клиент не пострадал, а все средства были возвращены, утверждают в компании.

«Система защиты увидела такие действия и заблокировала возможность подбора. Кроме того, когда стало понятно, что это атака хакеров, было оперативно выпущено обновление приложения, исключающее возможность подбора. Проблема решена», — добавили в «Евросети».

В РНКО «Платежный центр» также подчеркивают, что хакеры получили личную информацию о клиентах «Кукурузы» из социальных сервисов.

«По имеющейся информации, был взломан один из социальных сервисов, никак не связанный с „Кукурузой“ и РНКО „Платежный центр“. А далее злоумышленники проверяли, совпадает ли пароль в указанном социальном сервисе с паролем для интернет-банка. В случае успеха злоумышленник мог войти в интернет или мобильный банк клиента», — рассказали «360» в пресс-службе РНКО.

Чтобы избежать повторных атак, «Платежный центр» уже ввел для пострадавших клиентов обязательную смену пароля.

Коварный Apple Pay

Между тем пользователи не зря сетуют на несовершенность технологии работы Apple Pay, говорят опрошенные «360» эксперты по кибербезопасности. Сейчас правила подключения к ApplePay регулируются компанией Apple и платежными системами. В них говорится об экономической обоснованности, ведь чтобы идентифицировать клиента, нужно в том числе потратиться на отправку SMS. Если банк отказывается от такой верификации, то приложение работает без SMS-сообщений, открывая хакерам возможности для краж.

В среднем 90% хищений происходит с использованием методов социальной инженерии, поэтому этот случай не укладывается в стандартные схемы, отмечает в разговоре с «360» сотрудник департамента защиты информации коммерческого банка Николай Пятиизбянцев.

«Обычно банки отправляют SMS-уведомление о совершенных операциях с помощью Apple Pay, но эта услуга носит рекомендательный характер. Фактически тут хакеры совершили смежный взлом: сначала воспользовались уязвимостью социальных сервисов и белыми пятнами платежного приложения», — объяснил собеседник «360».

Чтобы защитить свои средства от краж, эксперты советуют привязывать к Apple Pay только те карты, которые необходимы для мелких покупок, то есть не стоит включать в приложение свою зарплатную карту.

«Также необходимо использовать разные учетные данные для доступа к своим веб-сервисам. Тогда мошенникам будет в разы сложнее подобрать пароль к вашим картам и вывести средства», — заметил в разговоре с «360» генеральный директор Technologies Group Сергей Шерстобитов.

При этом объем хищений с банковских карт россиян с каждым годом растет, добавил эксперт. Так, в прошлом году хакерам удалось украсть с банковских счетов доверчивых россиян порядка 1,4 миллиарда рублей. По сравнению с 2017-м уровень подобных краж вырос почти в 1,5 раза.

Ссылка на источник