Мошенники во время майских праздников получили доступ к логинам и паролям от мобильного и интернет-банка владельцев карт рассрочки «Кукуруза». Пользуясь уязвимостью приложений, они подключили Apple Pay и вывели средства. Об этом в среду сообщил «Коммерсант».

Карта «Кукуруза» — это мультифункциональная бонусная платежная карта, которую предлагает своим клиентам объединенная компания «Связной/Евросеть». Карта работает в платежной системе Mastercard, эмитент карты РНКО «Платежный центр».

По данным издания, владельцы «Кукурузы» сообщили о хищении средств с карт — они получили СМС, что их карта подключена к Apple Pay, сразу после этого были выведены деньги на номер Теlе2, а СМС или push-уведомлений с кодом подтверждения для подключения Apple Pay они не получали.

Собеседник «Коммерсанта» сообщил, что при атаке применялся метод «смежного взлома» — был атакован сервис, где были данные о владельцах этих карт. При этом часть паролей совпала и удалось совершить вход, часть была просто похожа, злоумышленникам взлом не удался, уточнил он. Общая сумма ущерба, по словам знакомых с ситуацией собеседников, могла составить несколько миллионов рублей.

«Это обычная активизация мошенников перед праздниками. Суммарно мы получили менее 100 обращений», — пояснили представители эмитента карты РНКО «Платежный Центр» и добавили, что не были взломаны системы РНКО и его партнеров.

По словам СЕО компании «Связной/Евросеть» Александра Малиса, пострадали 80 владельцев карт. Там отметили, что аномальное количество попыток входа с неверным паролем фиксировалось с 1 мая, с 4 мая начали поступать жалобы клиентов, а 6 мая были установлены основные обстоятельства атаки и ужесточили параметры мониторинга. Именно тогда, отмечают в компании, начали сбрасывать пароли клиентов, которые потенциально были скомпрометированы, а также ввели обязательную двухфакторную аутентификацию на подключение Apple Pay. По словам Александра Малиса, похищенные средства удалось остановить, всем пострадавшим они были возвращены. В компании говорят о похищении около 2 млн рублей.

В РНКО «Платежный Центр» уверяют, что нарушений положения ЦБ «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» допущено не было, так как оно относится к переводам денежных средств, а привязка карты к Apple Pay не является операцией по переводу.

Банки, работающие с Apple Pay, указывают, что без подтверждения СМС привязывать карту опасно, хотя сервис этого не требует.

Как утверждает глава объединенной компании «Евросети» и «Связного» Александр Малис, «хищения не удались, поскольку сработала система защиты от перебора паролей». Бизнесмен считает, что в условиях массовой атаки карта «Кукуруза» «показала высокий уровень безопасности, ни один клиент не пострадал». В то же время, уточнил он, для повышения безопасности уже выпущено дополнительное обновление, которое «не позволит несанкционированному пользователю менять мобильное устройство».