Преступники украли логины и пароли от интернет-банка, чтобы подключить Apple Pay и перевести деньги на номер Tele 2.
Около 80 человек пострадали от атаки киберпреступников на пользователей сервиса «Кукуруза» — владельцев бонусной платежной карты, выпущенной РНКО «Платежный центр» для компаний «Связной» и «Евросеть» (сейчас это объединенная компания «Связной/Евросеть»). Как сообщили ИБ-специалисты, злоумышленники использовали скомпрометированные логины и пароли стороннего сервиса, чтобы проникнуть в личный кабинет жертвы и вывести средства через службу Apple Pay. Ущерб от действий мошенников составил около 2 млн рублей. Эмитент утверждает, что все деньги удалось вернуть потерпевшим.
Атака началась 1 мая 2019 года. По словам пользователей «Кукурузы», они стали получать сообщения о подключении их карты к Apple Pay, после чего со счета совершалась расходная операция по переводу денег на мобильный номер Tele 2. Специалисты эмитента зафиксировали массовые попытки ввода неправильных паролей, а после поступления жалоб от клиентов стали сбрасывать секретные ключи для потенциально скомпрометированных аккаунтов.
Как выяснили позже в РНКО «Платежный центр», киберпреступники использовали пароли, полученные в ходе атаки на один из социальных сервисов, не связанный с «Кукурузой». Если учетные данные совпадали, злоумышленники входили в личный кабинет владельца карты и активировали Apple Pay. Эта операция не требовала двухфакторной аутентификации и, как и последующий вывод средств, могла быть проведена без участия пользователя.
В данный момент атака остановлена, а украденные деньги возвращены пострадавшим. «Платежный центр» уже обновил мобильное приложение «Кукуруза», добавив в него защиту от подбора пароля и дополнительное уведомление о смене устройства. Кроме того, эмитент подключил двухфакторную аутентификацию для подтверждения привязки карты к аккаунту Apple Pay.
Как отмечают ИБ-специалисты, схема хищения денег через несанкционированное подключение Apple Pay не нова и применялась американскими киберпреступниками еще в 2015 году. В случае с «Кукурузой» на руку злоумышленникам сыграло отсутствие проверки при входе с незнакомого устройства и возможность активировать сервис без прохождения двухфакторной аутентификации. Спецификации Apple не требуют обязательного подтверждения при привязке банковской карты, что упрощает жизнь пользователям, но негативно влияет на безопасность.