Майские праздники обернулись для 83 владельцев карт "Кукуруза" хищением денежных средств. Мошенники получили доступ к логинам и паролям от мобильного и интернет-банка, а далее, пользуясь уязвимостью приложений, подключили Apple Pay и вывели средства. Сейчас проблема устранена, деньги возвращены, хотя вопросы к уровню безопасности "Кукурузы" в целом остаются. Начиная со 2 мая на сайте Banki.ru стали появляться жалобы владельцев карт "Кукуруза" о хищении у них средств. Жертвы атаки получили СМС, что их карта подключена к Apple Pay, сразу после этого были выведены деньги на номер Tele2. Все жертвы указывают, что СМС или пуш-уведомлений с кодом подтверждения для подключения Apple Pay они не получали. Карта "Кукуруза" - это мультифункциональная бонусная платежная карта, которую предлагает своим клиентам объединенная компания "Связной/Евросеть". Карта работает в платежной системе Mastercard, эмитент карты РНКО "Платежный центр". Специалист с ходом расследования инцидента, сообщил, что при атаке применялся метод "смежного взлома" - был атакован сервис, где были данные о владельцах "Кукурузы". Часть паролей совпала и удалось совершить вход, часть была просто похожа и злоумышленникам взлом не удался" ,- отметил он. Общая сумма ущерба, по словам знакомых с ситуацией, могла составить несколько миллионов рублей. В компании "Связной/Евросеть" отметили, что аномальное количество попыток входа с неверным паролем фиксировалось с 1 мая, с 4 мая начали поступать жалобы клиентов, а 6 мая были установлены основные обстоятельства атаки и ужесточили параметры мониторинга. Именно в эти дни, отмечают в компании, начали сбрасывать пароли клиентов, которые потенциально были скомпрометированы, а также ввели обязательную двухфакторную аутентификацию на подключение Apple Pay. По словам Александра Малиса, также прошло обновление мобильного банка, которое ввело дополнительное подтверждение при смене устройства, а также защиту от подбора логина и пароля для входа. "Похищенные средства удалось остановить, - отмечает господин Малис. - Всем пострадавшим они были возвращены". В компании говорят о похищении около 2 млн руб. Банки, работающие с Apple Pay, указывают, что без подтверждения СМС привязывать карту опасно, хотя сервис этого не требует. Банк получает информацию об уровне риска как учетной записи Apple ID, так и об устройстве, к которому осуществляется привязка карты, но эта информация носит лишь рекомендательный характер, - отметил специалист в крупном банке. - Для подтверждения факта того, что привязка инициирована держателем карты, используют СМС. Ранее эксперты Positive Technologies отмечали, что больше половины мобильных банков не защищены от подбора логина и пароля, операции повышенной важности совершаются в приложениях без второго фактора в 77% банков. По словам директора центра мониторинга и реагирования на кибератаки Solar JSOC Владимира Дрюкова, вне зависимости от факта утечки логинов и паролей мобильное приложение при подобном способе хищения показало две серьезные уязвимости - отсутствие защиты от смены устройства при входе в мобильный банк и отсутствие защиты от подбора номера. Сама по себе схема с Apple Pay не нова, по ней атаковали американские банки несколько лет назад, и даже идентификация клиента с помощью пуш-уведомлений не защищает здесь от хищения, указывает эксперт по безопасности банковских систем Positive Technologies Тимур Юнусов. Мое личное мнение: Если честно, это можно было провернуть ещё 2 года назад, очень долго думали или не знали  Во-первых, со стороны интернет-банка нет банальной защиты от брута и не установлена двухфакторная аутентификация. Во-вторых, держатели карты "Кукуруза" полнейшие лошенцы, ходить по фишинговым сайтам в 2k19 и потом обвинять во всех бедах "Импотентный Интернет-банк" нууу сверх маразма!  Кстати, что такое фишинг а так же тактика при фишинге и инструменты мошенников вы можете почитать в моей статье: ok.ru/itbezopasnik/topic/67049959697219 Подпишись на страницу ok.ru/itbezopasnik (ИТ-безопасник) и ты не пропустишь полезную информацию о мошенниках, а так же узнаешь новые схемы афер. Предупрежден - значит, вооружен!