"Такой уязвимый Apple Pay": Мошенники смогли "обчистить" платежные карты через популярный "яблочный" сервис
Почти сто пользователей платежных карт "Кукуруза" заметили, что за время майских праздников на их счетах не осталось средств. Как выяснилось, это была не какая-то ошибка системы, а дело рук хакеров, которые вывели чужие деньги, используя популярное приложение оплаты Apple Pay. "Такой вот уязвимый Apple Pay", - говорят эксперты.
Привязав карты своих жертв к "яблочному сервису", злоумышленники переводили находившиеся там рубли на посторонние счета. При этом никаких sms или push-уведомлений, которые необходимы для установки и работы с Apple Pay, владельцы карт не получали, только уведомление о списании средств на номер мобильного оператора.
Как известно, карточка "Кукуруза" – это бонусный платежный инструмент объединенной компании "Связной — Евросеть". Она привязана к платежной системе Mastercard, а ее эмитентом выступает РНКО "Платежный центр". Подобными картами, согласно имеющимся данным, пользуются больше 20 миллионов жителей страны.
Пользователи высказывали самые разные версии произошедшего. Одни предположили, что хакеры просто взломали систему, украв данные пользователей, другие склоняются к мысли, что деньги украли из-за неких уязвимостей приложения на смартфоне, использовав которые мошенники и смогли подключить карты без подтверждения. Эту же версию озвучили и в "Евросети".
В пресс-службе компании в беседе с телеканалом "360" рассказали, что действия хакеров оказались успешными и из-за наивности владельцев карт: очень часто люди на разных сервисах используют один и тот же пароль. Именно на это и рассчитывали мошенники.
"Хакеры получили пароли клиентов на абсолютно сторонних сервисах и попробовали их применить в личном кабинете "Кукурузы", — говорят представители "Евросети".
В общей сложности атакованы были карты 83 пользователей. В компании утверждают, что все средства удалось благополучно вернуть владельцам благодаря тому, что хакерскую атаку зафиксировала система защиты, заблокировав после этого возможность подбора.
В то же время в "Платежном центре" отметили, что мошенники получили личную информацию держателей карт из социальных сервисов, никак не связанных с "Кукурузой", затем злоумышленники проверили полученные пароли на совпадение с интернет-банком. После этой атаки "Платежный центр" ввел обязательную смену пароля клиентами.
Между тем эксперты по кибербезопасности утверждают, что все дело в несовершенстве работы и правил подключения к Apple Pay, которые регулируются компанией Apple и платежными системами. Если банк, не желая тратиться на отправку sms-сообщений, не верифицирует клиента, то это открывает хакерам дорогу для совершения краж.
"Обычно банки отправляют sms-уведомление о совершенных операциях с помощью Apple Pay, но эта услуга носит рекомендательный характер. Фактически тут хакеры совершили смежный взлом — сначала воспользовались уязвимостью социальных сервисов и белыми пятнами платежного приложения, — объяснил в разговоре с "360" сотрудник департамента защиты информации коммерческого банка, эксперт по информационной безопасности Николай Пятиизбянцев.
По мнению специалистов в области кибербезопасности, привязывать к Apple Pay можно только те карты, при помощи которых совершаются мелкие покупки, зарплатную карту в приложение подключать нельзя. И обязательно для доступа к веб-сервисам использовать разные пароли, чтобы усложнить задачу для хакеров и не позволить им украсть деньги.
В этих рекомендациях нет ничего нового, их специалисты озвучивают не в первый раз, вот только следуют им далеко не все пользователи, поэтому и растет год от года объем похищенных средств с карт. К примеру, в 2018 году мошенники украли с банковских счетов доверчивых россиян порядка 1,4 миллиарда рублей. По сравнению с 2017-м уровень подобных краж вырос почти в 1,5 раза.