Начиная со 2 мая на сайте Banki.ru стали появляться жалобы владельцев карт «Кукуруза» о хищении у них средств. Жертвы атаки получили СМС, что их карта подключена к Apple Pay, сразу после этого были выведены деньги на номер Теле2. Все жертвы указывают, что СМС или пуш-уведомлений с кодом подтверждения для подключения Apple Pay они не получали.
Карта «Кукуруза» — это мультифункциональная бонусная платежная карта, которую предлагает своим клиентам объединенная компания «Связной/Евросеть». Карта работает в платежной системе Mastercard, эмитент карты РНКО «Платежный центр».
Жертвы атаки указывали, что причин хищения две — утечка их логинов и паролей, а также возможность подключения в мобильном приложении «Кукурузы» Apple Pay без подтверждения операции СМС или пуш-уведомлением.
Собеседник “Ъ”, знакомый с ходом расследования инцидента, сообщил, что при атаке применялся метод «смежного взлома» — был атакован сервис, где были данные о владельцах «Кукурузы».
«Часть паролей совпала и удалось совершить вход, часть была просто похожа и злоумышленникам взлом не удался»,— отметил он. Общая сумма ущерба, по словам знакомых с ситуацией собеседников “Ъ”, могла составить несколько миллионов рублей.
В «Евросети» и РНКО факт хищения средств у владельцев «Кукурузы» подтвердили, отметив, что среди 20 млн выпущенных карт доля пострадавших невелика.
В компании «Связной/Евросеть» отметили, что аномальное количество попыток входа с неверным паролем фиксировалось с 1 мая, с 4 мая начали поступать жалобы клиентов, а 6 мая были установлены основные обстоятельства атаки и ужесточили параметры мониторинга. Именно в эти дни, отмечают в компании, начали сбрасывать пароли клиентов, которые потенциально были скомпрометированы, а также ввели обязательную двухфакторную аутентификацию на подключение Apple Pay.
По словам директора центра мониторинга и реагирования на кибератаки Solar JSOC Владимира Дрюкова, вне зависимости от факта утечки логинов и паролей мобильное приложение при подобном способе хищения показало две серьезные уязвимости — отсутствие защиты от смены устройства при входе в мобильный банк и отсутствие защиты от подбора номера. Сама по себе схема с Apple Pay не нова, по ней атаковали американские банки несколько лет назад, и даже идентификация клиента с помощью пуш-уведомлений не защищает здесь от хищения, указывает эксперт по безопасности банковских систем Positive Technologies Тимур Юнусов.
Вероника Горячева, Ксения Дементьева, Мария Сарычева
SIA.RU: Главное
