Мошенники украли 2 млн рублей с карт «Кукуруза» с помощью Apple Pay

Но Apple тут не виновата.

Майские праздники были долгими и продолжительными. Кто-то недосчитался денег из-за слишком глубокого погружения в отдых, а кто-то из-за того, что пользуется бонусными платёжными картами «Кукуруза».

Как сообщает «КоммерсантЪ», пострадавших не очень много: примерно 80 человек среди 20 млн выпущенных карт «Кукуруза». Преступники имели доступ к картам с 1 по 4 мая.

Как взламывали?

Не очень понятно. «КоммерсантЪ» пишет, что мошенники получили доступ к неназванному сервису, где хранились данные некоторых держателей карт «Кукуруза». Методом подбора преступники вошли в мобильное приложение, обслуживающее эти карты, и подключили их к Apple Pay.

При этом клиенты вообще не имели представления, что кто-то зашёл в их профиль в мобильном банке и привязал карту к Apple Pay — никаких SMS или пушей не было.

Не секьюрно

Самое странное в этой истории — отсутствие двухфакторной аутентификации для подключении карт к платёжной системе. Да, Apple Pay её не требует, но само приложение Wallet рассчитано не только на платёжные карты. И картам всяких магазинов двухфакторная аутентификация не нужна.

При этом представители банка заявляют, что выбирали между удобством использования и безопасностью. Не знаю, о какой сложности идёт речь, когда ввести код из пришедшей SMS — дело пяти секунд. Зато средства оказываются под защитой.

По данным Positive Technologies, у 77 % банков мобильное приложение не защищено двухфакторной аутентификацией.

Реакция

Общая сумма хищения составляет порядка 2 млн рублей. По словам СЕО компании «Связной/Евросеть» Александра Малиса, все похищенные средства уже возвращены клиентам.

Объединённая компания «Связной/Евросеть» обновила приложение мобильного банка и добавила двухфакторную аутентификацию. Также приложение теперь защищено от подбора логина и пароля, а при смене устройства клиенту приходит уведомление.