Введите запрос для поиска

Скрыть поиск
Курсы валют

Хакерам захотелось «Кукурузы»

Майские праздники обернулись для сотни владельцев карт «Кукуруза» хищением денежных средств. Мошенники получили доступ к логинам и паролям от мобильного и интернет-банка, а далее, пользуясь уязвимостью приложений, подключили Apple Pay и вывели средства. Сейчас проблема устранена, хотя вопросы к уровню безопасности «Кукурузы» в целом остаются.

Начиная со 2 мая на сайте Banki.ru стали появляться жалобы владельцев карт «Кукуруза» о хищении у них средств. Жертвы атаки получили СМС, что их карта подключена к Apple Pay, сразу после этого были выведены деньги на номер Теле2. Все жертвы указывают, что СМС или пуш-уведомлений с кодом подтверждения для подключения Apple Pay они не получали.

Карта «Кукуруза» — это мультифункциональная бонусная платежная карта, которую предлагает своим клиентам объединенная компания «Связной/Евросеть». Карта работает в платежной системе Mastercard, эмитент карты РНКО «Платежный центр».

Жертвы атаки указывали, что причин хищения две — утечка их логинов и паролей, а также возможность подключения в мобильном приложении «Кукурузы» Apple Pay без подтверждения операции СМС или пуш-уведомлением.

Собеседник “Ъ”, знакомый с ходом расследования инцидента, сообщил, что при атаке применялся метод «смежного взлома» — был атакован сервис, где были данные о владельцах «Кукурузы».
«Часть паролей совпала и удалось совершить вход, часть была просто похожа и злоумышленникам взлом не удался»,— отметил он. Общая сумма ущерба, по словам знакомых с ситуацией собеседников “Ъ”, могла составить несколько миллионов рублей.

В «Евросети» и РНКО факт хищения средств у владельцев «Кукурузы» подтвердили, отметив, что среди 20 млн. выпущенных карт доля пострадавших невелика. «Это обычная активизация мошенников перед праздниками,— пояснили в РНКО "Платежный центр".— Суммарно мы получили менее 100 обращений» По словам СЕО компании «Связной/Евросеть» Александра Малиса, пострадали 80 владельцев карт. В РНКО «Платежный центр» отметили, что не были взломаны системы РНКО и его партнеров. «По имеющейся информации, был взломан один из социальных сервисов, не связанный с "Кукурузой", далее злоумышленники проверяли — не совпадает ли логин и пароль на сервисе с логином и паролем в мобильном или интернет-банке»,— отметили там. Взломанный сервис до установления всех фактов атаки не называют.

В компании «Связной/Евросеть» отметили, что аномальное количество попыток входа с неверным паролем фиксировалось с 1 мая, с 4 мая начали поступать жалобы клиентов, а 6 мая были установлены основные обстоятельства атаки и ужесточили параметры мониторинга. Именно в эти дни, отмечают в компании, начали сбрасывать пароли клиентов, которые потенциально были скомпрометированы, а также ввели обязательную двухфакторную аутентификацию на подключение Apple Pay. По словам Александра Малиса, также прошло обновление мобильного банка, которое ввело дополнительное подтверждение при смене устройства, а также защиту от подбора логина и пароля для входа. «Похищенные средства удалось остановить,— отмечает господин Малис.— Всем пострадавшим они были возвращены». В компании говорят о похищении около 2 млн. руб.

В РНКО «Платежный центр» уверяют, что нарушений положения ЦБ «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» допущено не было, так как оно относится к переводам денежных средств, а привязка карты к Apple Pay не является операцией по переводу. Подключение к Apple Pay было реализовано в соответствии с требованиями Apple и политиками риск-менеджмента. Любое усложнение бизнес-процесса отрицательно влияет на удобство использования, в компании соблюдают баланс между безопасностью и удобством, отметили там.

Банки, работающие с Apple Pay, указывают, что без подтверждения СМС привязывать карту опасно, хотя сервис этого не требует.

«Банк получает информацию об уровне риска как учетной записи Apple ID, так и об устройстве, к которому осуществляется привязка карты, но эта информация носит лишь рекомендательный характер,— отметил собеседник “Ъ” в крупном банке.— Для подтверждения факта того, что привязка инициирована держателем карты, используют СМС». Ранее эксперты Positive Technologies отмечали, что больше половины мобильных банков не защищены от подбора логина и пароля, операции повышенной важности совершаются в приложениях без второго фактора в 77% банков.

По словам директора центра мониторинга и реагирования на кибератаки Solar JSOC Владимира Дрюкова, вне зависимости от факта утечки логинов и паролей мобильное приложение при подобном способе хищения показало две серьезные уязвимости — отсутствие защиты от смены устройства при входе в мобильный банк и отсутствие защиты от подбора номера. Сама по себе схема с Apple Pay не нова, по ней атаковали американские банки несколько лет назад, и даже идентификация клиента с помощью пуш-уведомлений не защищает здесь от хищения, указывает эксперт по безопасности банковских систем Positive Technologies Тимур Юнусов.

Вероника Горячева, Ксения Дементьева, Мария Сарычева

Источник: Газета "Коммерсантъ" №81 от 15.05.2019
Тэги:

Читайте также

За первые четыре месяца 2019 года средняя премия по ОСАГО снизилась на 5,1%
За январь-апрель 2019 года средняя премия по ОСАГО в целом по рынку снизилась по сравнению с аналогичным периодом 2018 года на 5,1%
ЦБ: в финансовых организациях падают оклады
Главными аутсайдерами по росту заработных плат в I квартале 2019 года стали сотрудники финансовой сферы
Эксперты: «пузырь» необеспеченного потребкредитования может скоро лопнуть
Симптомы того, что «пузырь» необеспеченного потребительского кредитования может лопнуть довольно скоро, есть уже сейчас
Предприниматели с долгами по налогам до 50 тысяч рублей смогут получать льготные кредиты
Льготные кредиты для малого и среднего бизнеса в России будут доступны заемщикам, чья задолженность по налогам не превышает 50 тыс. рублей
ЦБ видит факторы для снижения ключевой ставки
Банк России видит факторы для снижения ключевой ставки, но есть риски не в пользу такого решения
Рейтинг пенсионных вкладов в рублях, май 2019
Рейтинг пенсионных вкладов в рублях, май 2019
Рейтинг банковских вкладов для пенсионеров на сумму 200 тысяч рублей, сроком на один год
Власти Казани разрабатывают новые меры поддержки самозанятых
Мэрия города разрабатывает программу поддержки для самозанятых
ВТБ в Татарстане увеличил число акционеров банка в полтора раза
Количество акционеров ВТБ в Татарстане за год выросло более чем в полтора раза и на 1 марта 2019 г. составило порядка 2,4 тысяч человек
Банк «Уралсиб» ввел вклад «Лето»
С 17 мая банк «Уралсиб» ввел вклад «Лето»
ВТБ поддержит весенний московский велофестиваль
19 мая в столице пройдет традиционный «Весенний московский велофестиваль»