За майские праздники почти сотня пользователей карт «Кукуруза» осталась без своих средств. Хакеры выводили деньги со счетов, используя популярное приложение оплаты Apple Pay. Они привязывали карты жертв к «яблочному» сервису и переводили рубли на сторонние счета. «360» побеседовал с экспертами по кибербезопасности и узнал, как оплачивать покупки через систему мобильных платежей без угрозы для своего кошелька. В начале мая держатели карт «Кукуруза» начали массово жаловаться на то, что с их счетов стали списываться средства без их согласия. К примеру, на профильном форуме banki.ru подобных гневных сообщений сейчас насчитывается порядка 50. Все они утверждают, что сначала мошенники самостоятельно подключали их карты к системе Apple Pay. Затем им приходило уведомление о выводе средств на номер мобильного оператора. При этом никаких SMS или push-уведомлений, которые необходимы для установки и работы с Apple Pay, жертвы не получали. «Сегодня так же, как и описывают выше, карта „Кукурузы“ была привязана к Apple pay и через две минуты осуществлена операция с переводом на [мобильного оператора] — 15 000 рублей. Кодов на подтверждение привязки к Apple pay не приходило!» — пишет один из обманутых пользователей. По словам женщины, когда она привязывала карту к смартфону, ей приходил пароль для верификации пользователя. В этот раз сообщение пришло уже о списании денег. Напомним, что «Кукуруза» выступает бонусным платежным инструментом объединенной компании «Связной — Евросеть». Она привязана к платежной системе Mastercard, а ее эмитентом выступает РНКО «Платежный центр». Согласно информации на сайте компании, картой пользуются больше 20 миллионов россиян. «Кукурузное» хищение Источник фото: РИА «Новости» Сами жертвы склоняются к версии, что их данные были украдены из системы, которую хакеры попросту взломали. Другие уверены, что их деньги украли из-за уязвимостей приложения на смартфоне. Ведь мошенники смогли подключить карты без подтверждения операции. В самой «Евросети» придерживаются аналогичного мнения. Как рассказали «360» в пресс-службе компании, атака оказалась успешной во многом из-за наивности самих пользователей. «Они (мошенники — прим. ред.) исходили из возможности, что люди пользуются одинаковым паролем на разных сервисах. Они получили пароли клиентов на абсолютно сторонних сервисах и попробовали их применить в личном кабинете „Кукурузы“», — говорят представители «Евросети». По данным компании, всего хакерам удалось получить доступ к картам 83 пользователей. При этом ни один клиент не пострадал, а все средства были возвращены, утверждают в компании. «Система защиты увидела такие действия и заблокировала возможность подбора. Кроме того, когда стало понятно, что это атака хакеров, было оперативно выпущено обновление приложения, исключающее возможность подбора. Проблема решена», — добавили в «Евросети». В РНКО «Платежный центр» также подчеркивают, что хакеры получили личную информацию о клиентах «Кукурузы» из социальных сервисов. «По имеющейся информации был взломан один из социальных сервисов, никак не связанных с „Кукурузой“ и РНКО „Платежный центр“, а далее злоумышленники проверяли, совпадает ли пароль в указанном социальном сервисе с паролем для интернет-банка. В случае успеха, злоумышленник мог войти в интернет или мобильный банк клиента», — рассказали «360» в пресс-службе РНКО. Чтобы избежать повторных атак, «Платежный центр» уже ввел для пострадавших клиентов обязательную смену пароля. Коварный Apple Pay Источник фото: РИА «Новости» Между тем пользователи не зря сетуют на несовершенность технологии работы Apple Pay, говорят опрошенные «360» эксперты по кибербезопасности. Сейчас правила подключения к ApplePay регулируются компанией Apple и платежными системами. В них говорится об экономической обоснованности, ведь чтобы идентифицировать клиента нужно, в том числе потратиться на отправку SMS. Если банк отказывается от такой верификации, то приложение работает без SMS-сообщений, открывая хакерам возможности для краж. В среднем 90% хищений происходит с использованием методов социальной инженерии, поэтому этот случай не укладывается в стандартные схемы, отмечает в разговоре с «360» сотрудник департамента защиты информации коммерческого банка Николай Пятиизбянцев. «Обычно банки отправляют SMS-уведомление о совершенных операциях с помощью Apple Pay, но эта услуга носит рекомендательный характер. Фактически, тут хакеры совершили смежный взлом — сначала воспользовались уязвимостью социальных сервисов и белыми пятнами платежного приложения», — объяснил собеседник «360». Чтобы защитить свои средства от краж эксперты советуют привязывать к Apple Pay только те карты, которые необходимы для мелких покупок, то есть не стоит включать в приложение свою зарплатную карту. «Также необходимо использовать разные учетные данные для доступа к своим веб-сервисам. Тогда мошенникам будет в разы сложней подобрать пароль к вашим картам и вывести средства», — заметил в разговоре с «360» генеральный директор Technologies Group Сергей Шерстобитов. При этом объем хищений с банковских карт россиян с каждым годом растет, добавил эксперт. Так, в прошлом году хакерам удалось украсть с банковских счетов доверчивых россиян порядка 1,4 миллиарда рублей. По сравнению с 2017-м уровень подобных краж вырос почти в 1,5 раза.