Введите запрос для поиска

Скрыть поиск

Хакерам захотелось «Кукурузы»

Майские праздники обернулись для сотни владельцев карт «Кукуруза» хищением денежных средств. Мошенники получили доступ к логинам и паролям от мобильного и интернет-банка, а далее, пользуясь уязвимостью приложений, подключили Apple Pay и вывели средства. Сейчас проблема устранена, хотя вопросы к уровню безопасности «Кукурузы» в целом остаются.

Начиная со 2 мая на сайте Banki.ru стали появляться жалобы владельцев карт «Кукуруза» о хищении у них средств. Жертвы атаки получили СМС, что их карта подключена к Apple Pay, сразу после этого были выведены деньги на номер Теле2. Все жертвы указывают, что СМС или пуш-уведомлений с кодом подтверждения для подключения Apple Pay они не получали.

Карта «Кукуруза» — это мультифункциональная бонусная платежная карта, которую предлагает своим клиентам объединенная компания «Связной/Евросеть». Карта работает в платежной системе Mastercard, эмитент карты РНКО «Платежный центр».

Жертвы атаки указывали, что причин хищения две — утечка их логинов и паролей, а также возможность подключения в мобильном приложении «Кукурузы» Apple Pay без подтверждения операции СМС или пуш-уведомлением.

Собеседник “Ъ”, знакомый с ходом расследования инцидента, сообщил, что при атаке применялся метод «смежного взлома» — был атакован сервис, где были данные о владельцах «Кукурузы».
«Часть паролей совпала и удалось совершить вход, часть была просто похожа и злоумышленникам взлом не удался»,— отметил он. Общая сумма ущерба, по словам знакомых с ситуацией собеседников “Ъ”, могла составить несколько миллионов рублей.

В «Евросети» и РНКО факт хищения средств у владельцев «Кукурузы» подтвердили, отметив, что среди 20 млн. выпущенных карт доля пострадавших невелика. «Это обычная активизация мошенников перед праздниками,— пояснили в РНКО "Платежный центр".— Суммарно мы получили менее 100 обращений» По словам СЕО компании «Связной/Евросеть» Александра Малиса, пострадали 80 владельцев карт. В РНКО «Платежный центр» отметили, что не были взломаны системы РНКО и его партнеров. «По имеющейся информации, был взломан один из социальных сервисов, не связанный с "Кукурузой", далее злоумышленники проверяли — не совпадает ли логин и пароль на сервисе с логином и паролем в мобильном или интернет-банке»,— отметили там. Взломанный сервис до установления всех фактов атаки не называют.

В компании «Связной/Евросеть» отметили, что аномальное количество попыток входа с неверным паролем фиксировалось с 1 мая, с 4 мая начали поступать жалобы клиентов, а 6 мая были установлены основные обстоятельства атаки и ужесточили параметры мониторинга. Именно в эти дни, отмечают в компании, начали сбрасывать пароли клиентов, которые потенциально были скомпрометированы, а также ввели обязательную двухфакторную аутентификацию на подключение Apple Pay. По словам Александра Малиса, также прошло обновление мобильного банка, которое ввело дополнительное подтверждение при смене устройства, а также защиту от подбора логина и пароля для входа. «Похищенные средства удалось остановить,— отмечает господин Малис.— Всем пострадавшим они были возвращены». В компании говорят о похищении около 2 млн. руб.

В РНКО «Платежный центр» уверяют, что нарушений положения ЦБ «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» допущено не было, так как оно относится к переводам денежных средств, а привязка карты к Apple Pay не является операцией по переводу. Подключение к Apple Pay было реализовано в соответствии с требованиями Apple и политиками риск-менеджмента. Любое усложнение бизнес-процесса отрицательно влияет на удобство использования, в компании соблюдают баланс между безопасностью и удобством, отметили там.

Банки, работающие с Apple Pay, указывают, что без подтверждения СМС привязывать карту опасно, хотя сервис этого не требует.

«Банк получает информацию об уровне риска как учетной записи Apple ID, так и об устройстве, к которому осуществляется привязка карты, но эта информация носит лишь рекомендательный характер,— отметил собеседник “Ъ” в крупном банке.— Для подтверждения факта того, что привязка инициирована держателем карты, используют СМС». Ранее эксперты Positive Technologies отмечали, что больше половины мобильных банков не защищены от подбора логина и пароля, операции повышенной важности совершаются в приложениях без второго фактора в 77% банков.

По словам директора центра мониторинга и реагирования на кибератаки Solar JSOC Владимира Дрюкова, вне зависимости от факта утечки логинов и паролей мобильное приложение при подобном способе хищения показало две серьезные уязвимости — отсутствие защиты от смены устройства при входе в мобильный банк и отсутствие защиты от подбора номера. Сама по себе схема с Apple Pay не нова, по ней атаковали американские банки несколько лет назад, и даже идентификация клиента с помощью пуш-уведомлений не защищает здесь от хищения, указывает эксперт по безопасности банковских систем Positive Technologies Тимур Юнусов.

Вероника Горячева, Ксения Дементьева, Мария Сарычева

Источник: Газета "Коммерсантъ" №81 от 15.05.2019
Тэги:

Читайте также

ВТБ начинает выпуск экокарты и запускает геймификацию по очистке водоемов
5 июня, во Всемирный день охраны окружающей среды, ВТБ начинает выпускать карты из экологичного биоматериала
К концу недели мировые рынки подходят, сохраняя умеренно-позитивный настрой
Утренний комментарий ПСБ по рынку акций от 05.06.2020
Павел Шальнов назначен заместителем директора департамента по работе с клиентами банка «Открытие»
Павел Шальнов перешел из Сбербанка в банк «Открытие» на должность заместителя директора департамента по работе с клиентами
Количество пользователей дистанционных каналов АТБ превысило 500 тысяч человек
Азиатско-Тихоокеанский Банк подвел предварительные итоги использования клиентами каналов дистанционно-банковского обслуживания – Мобильного и Интернет-Банка
Банк «Левобережный» снизил % по кредиту для бизнеса «Честная ставка»
Банк «Левобережный» снизил ставки для новых клиентов по продукту «Честная ставка» для представителей малого и среднего предпринимательства
ABH FinancialLimited закрыла книгу заявок на выпуск еврооблигаций на 350 млн евро с переподпиской
Холдинговая компания банковской группы «Альфа-Банк» ABH FinancialLimited успешно закрыла книгу заявок на выпуск трехлетних еврооблигаций номинальным объемом 350 млн евро
ВТБ в Красноярском крае и Хакасии предоставил кредитные каникулы для 4,5 тысяч заемщиков
ВТБ в Красноярском крае и Республике Хакасия одобрил кредитные каникулы для более чем 4,5 тысяч заемщиков – физических лиц на 2,9 млрд рублей
Енисейский объединённый банк подключился к программе льготного кредитования предприятий
АО АИКБ «Енисейский объединенный банк» подписал соглашение с государственной корпорацией развития ВЭБ.РФ об участии в программе кредитования малого и среднего бизнеса по ставке 2% годовых
Сбербанк разработал маркетплейс для застройщиков
Сбербанк расширил функционал сервиса «Личный кабинет застройщика» в Сбербанк Бизнес Онлайн
Банк «Восточный» оказал финансовую помощь в восстановлении сгоревшей больницы в Приморском крае
Акционеры банка «Восточный» совместно с топ-менеджментом банка оказали финансовую помощь больнице №1 города Партизанска Приморского края в проведении ремонтных работ по ее восстановлению после пожара 25 мая 2020 года