Новости

2 млн рублей  вывели со счетов владельцев карт «Кукуруза»

17.05.2019

2 млн рублей вывели со счетов владельцев карт «Кукуруза»

От атаки мошенников пострадали около 80 человек - пользователей сервиса «Кукуруза». Они являлись владельцами бонусной платежной карты, выпущенной РНКО «Платежный центр» для компаний «Связной» и «Евросеть» (сейчас это объединенная компания «Связной/Евросеть»). По словам ИБ-специалистов были использованы скомпрометированные логины и пароли стороннего сервиса, с целью проникновения в личный кабинет жертвы и вывода средств через службу Apple Pay. Ущерб от действий мошенников составил около 2 млн рублей. Эмитент утверждает, что все деньги удалось вернуть потерпевшим.

1 мая 2019 года хакеры устроили праздник. В этот день пользователи «Кукурузы» стали получать сообщения о подключении их карты к Apple Pay, затем со счета совершалась расходная операция по переводу денег на мобильный номер Tele2. Специалисты эмитента зафиксировали массовые попытки ввода неправильных паролей. После поступления жалоб от клиентов стали сбрасывать секретные ключи для потенциально скомпрометированных аккаунтов.

Специалисты в РНКО «Платежный центр» выяснили, что киберпреступники использовали пароли, полученные в ходе атаки на один из социальных сервисов, не связанный с «Кукурузой».При совпадении учетных данных, мошенники входили в личный кабинет владельца карты и активировали Apple Pay. 

Эта операция не требовала двухфакторной аутентификации и, как и последующий вывод средств, могла быть проведена без участия пользователя.

В данный момент атака остановлена, а украденные деньги возвращены пострадавшим. 

По мнению главы объединенной компании «Евросети» и «Связного» Александра Малиса, «хищения не удались, поскольку сработала система защиты от перебора паролей». Бизнесмен считает, что в условиях массовой атаки карта «Кукуруза» «показала высокий уровень безопасности, ни один клиент не пострадал». Для повышения безопасности уже выпущено дополнительное обновление мобильного приложения «Кукуруза», которое «не позволит несанкционированному пользователю менять мобильное устройство». Кроме того, эмитент подключил двухфакторную аутентификацию для подтверждения привязки карты к аккаунту Apple Pay.

Сводка

По данным ИБ-специалисты, схема хищения денег через несанкционированное подключение Apple Pay не новость. Американские мошенники применили ее еще в 2015 году. В случае с «Кукурузой» на руку злоумышленникам сыграло отсутствие проверки при входе с незнакомого устройства и возможность активировать сервис без прохождения двухфакторной аутентификации. Также Apple не требуют обязательного подтверждения при привязке банковской карты, что упрощает жизнь пользователям, но негативно влияет на безопасность. Будьте бдительны!

Источник: kommersant.ru


Возникли вопросы?

Заполните форму обратной связи, наши менеджеры свяжутся с вами!
Получить бесплатную консультацию специалиста  стрелка