ЗАКАЗАТЬ ЗВОНОК
+7 (3955) 586-066
trust@catrust.ru
СМИ: мошенники выводили средства с «Кукурузы» через Apple Pay
Мошенники во время майских праздников получили доступ к логинам и паролям от мобильного и интернет-банка владельцев карт рассрочки «Кукуруза». Пользуясь уязвимостью приложений, они подключили Apple Pay и вывели средства, сообщает «Коммерсант».
По данным издания, владельцы «Кукурузы» пожаловались о хищении средств с карт — они получили СМС, что их карта подключена к Apple Pay, сразу после этого были выведены деньги на номер Теле2, а СМС или пуш-уведомлений с кодом подтверждения для подключения Apple Pay они не получали.
Собеседник «Коммерсанта» сообщил, что при атаке применялся метод «смежного взлома» — был атакован сервис, где были данные о владельцах этих карт. При этом часть паролей совпала и удалось совершить вход, часть была просто похожа и злоумышленникам взлом не удался, уточнил он. Общая сумма ущерба, по словам знакомых с ситуацией собеседников, могла составить несколько миллионов рублей.
«Это обычная активизация мошенников перед праздниками. Суммарно мы получили менее 100 обращений», — пояснили представители эмитента карты РНКО «Платежный центр» и добавили, что не были взломаны системы РНКО и его партнеров.
По словам СЕО компании «Связной/Евросеть» Александра Малиса, пострадали 80 владельцев карт. Там отметили, что аномальное количество попыток входа с неверным паролем фиксировалось с 1 мая, с 4 мая начали поступать жалобы клиентов, а 6 мая были установлены основные обстоятельства атаки и ужесточили параметры мониторинга. Именно тогда, отмечают в компании, начали сбрасывать пароли клиентов, которые потенциально были скомпрометированы, а также ввели обязательную двухфакторную аутентификацию на подключение Apple Pay. По словам Александра Малиса, похищенные средства удалось остановить и всем пострадавшим они были возвращены. В компании говорят о похищении около 2 млн рублей.
В РНКО «Платежный центр» уверяют, что нарушений положения ЦБ «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» допущено не было, так как оно относится к переводам денежных средств, а привязка карты к Apple Pay не является операцией по переводу.
Банки, работающие с Apple Pay, указывают, что без подтверждения СМС привязывать карту опасно, хотя сервис этого не требует.