Apple pay что это такое мошенничество

Техника подбора. Как хакеры обчищали банковские карты через Apple Pay

За майские праздники почти сто пользователей карт «Кукуруза» остались без своих средств. Хакеры выводили деньги со счетов, используя популярное приложение оплаты Apple Pay. Они привязывали карты жертв к «яблочному» сервису и переводили рубли на сторонние счета. «360» побеседовал с экспертами по кибербезопасности и узнал, как оплачивать покупки через систему мобильных платежей без угрозы для своего кошелька.

В начале мая держатели карт «Кукуруза» начали массово жаловаться на то, что с их счетов стали списываться средства без их согласия. К примеру, на профильном форуме banki.ru подобных гневных сообщений сейчас насчитывается порядка 50. Все пострадавшие утверждают, что сначала мошенники самостоятельно подключали их карты к системе Apple Pay. Затем им приходило уведомление о выводе средств на номер мобильного оператора. При этом никаких SMS или push-уведомлений, которые необходимы для установки и работы с Apple Pay, жертвы не получали.

«Сегодня так же, как и описывают выше, карта „Кукурузы“ была привязана к Apple pay и через две минуты осуществлена операция с переводом на [мобильного оператора] 15 000 рублей. Кодов на подтверждение привязки к Apple pay не приходило!» — пишет одна из обманутых пользовательниц. По словам женщины, когда она привязывала карту к смартфону, ей приходил пароль для верификации. В этот раз сообщение пришло уже о списании денег.

Напомним, что «Кукуруза» выступает бонусным платежным инструментом объединенной компании «Связной — Евросеть». Она привязана к платежной системе Mastercard, а ее эмитентом выступает РНКО «Платежный центр». Согласно информации на сайте компании, картой пользуются больше 20 миллионов россиян.

«Кукурузное» хищение

Сами жертвы склоняются к версии, что их данные были украдены из системы, которую хакеры попросту взломали. Другие уверены, что их деньги украли из-за уязвимостей приложения на смартфоне. Ведь мошенники смогли подключить карты без подтверждения операции.

В самой «Евросети» придерживаются аналогичного мнения. «Они (мошенники — прим. ред.) исходили из возможности, что люди пользуются одинаковым паролем на разных сервисах. Они получили пароли клиентов на абсолютно сторонних сервисах и попробовали их применить в личном кабинете „Кукурузы“», — рассказали «360» в пресс-службе компании.

Кредит через экран смартфона. Зачем российские банки собирают голоса и фотографии клиентов

По данным компании, всего хакерам удалось получить доступ к картам 83 пользователей. При этом ни один клиент не пострадал, а все средства были возвращены, утверждают в компании.

«Система защиты увидела такие действия и заблокировала возможность подбора. Кроме того, когда стало понятно, что это атака хакеров, было оперативно выпущено обновление приложения, исключающее возможность подбора. Проблема решена», — добавили в «Евросети».

В РНКО «Платежный центр» также подчеркивают, что хакеры получили личную информацию о клиентах «Кукурузы» из социальных сервисов.

«По имеющейся информации, был взломан один из социальных сервисов, никак не связанный с „Кукурузой“ и РНКО „Платежный центр“. А далее злоумышленники проверяли, совпадает ли пароль в указанном социальном сервисе с паролем для интернет-банка. В случае успеха злоумышленник мог войти в интернет или мобильный банк клиента», — рассказали «360» в пресс-службе РНКО.

Чтобы избежать повторных атак, «Платежный центр» уже ввел для пострадавших клиентов обязательную смену пароля.

Коварный Apple Pay

Между тем пользователи не зря сетуют на несовершенность технологии работы Apple Pay, говорят опрошенные «360» эксперты по кибербезопасности. Сейчас правила подключения к ApplePay регулируются компанией Apple и платежными системами. В них говорится об экономической обоснованности, ведь чтобы идентифицировать клиента, нужно в том числе потратиться на отправку SMS. Если банк отказывается от такой верификации, то приложение работает без SMS-сообщений, открывая хакерам возможности для краж.

Хакеры вне зоны доступа сети. Как Центробанк защитит счета россиян от телефонных мошенников

В среднем 90% хищений происходит с использованием методов социальной инженерии, поэтому этот случай не укладывается в стандартные схемы, отмечает в разговоре с «360» сотрудник департамента защиты информации коммерческого банка Николай Пятиизбянцев.

«Обычно банки отправляют SMS-уведомление о совершенных операциях с помощью Apple Pay, но эта услуга носит рекомендательный характер. Фактически тут хакеры совершили смежный взлом: сначала воспользовались уязвимостью социальных сервисов и белыми пятнами платежного приложения», — объяснил собеседник «360».

Чтобы защитить свои средства от краж, эксперты советуют привязывать к Apple Pay только те карты, которые необходимы для мелких покупок, то есть не стоит включать в приложение свою зарплатную карту.

«Также необходимо использовать разные учетные данные для доступа к своим веб-сервисам. Тогда мошенникам будет в разы сложнее подобрать пароль к вашим картам и вывести средства», — заметил в разговоре с «360» генеральный директор Technologies Group Сергей Шерстобитов.

При этом объем хищений с банковских карт россиян с каждым годом растет, добавил эксперт. Так, в прошлом году хакерам удалось украсть с банковских счетов доверчивых россиян порядка 1,4 миллиарда рублей. По сравнению с 2017-м уровень подобных краж вырос почти в 1,5 раза.

Источник

Уязвимость Apple Pay допускает оплату с карт Visa с заблокированного смартфона

Исследователи безопасности нашли способ совершать мошеннические платежи с помощью Apple Pay с заблокированного iPhone с привязанной картой Visa в цифровом кошельке с включенным экспресс-режимом.

GSMArena

Метод работает, даже если iPhone находится в сумке или в чьем-то кармане, и на нем нет лимита транзакций.

Изучая ретрансляционные атаки на бесконтактные платежи, исследователи из Университета Бирмингема и Университета Суррея в Великобритании обнаружили, что устройства iPhone подтверждают транзакции при определенных условиях.

Чтобы платеж прошел, пользователям iPhone необходимо авторизовать его, разблокировав телефон с помощью Face ID, Touch ID или пароля. Однако в некоторых случаях, например при оплате проезда в общественном транспорте, разблокировка устройства делает процесс оплаты обременительным для пользователя. Apple Pay решила эту проблему с помощью Express Transit, функции, которая позволяет проводить транзакции без разблокировки устройства. Express Transit работает для определенных служб, таких как турникеты, со считывателями карт, которые отправляют нестандартную последовательность байтов.

В случае с картой Visa «эту функцию можно использовать для обхода экрана блокировки Apple Pay и незаконной транзакции с заблокированного iPhone с помощью карты Visa любому устройству чтения EMV на любую сумму без авторизации пользователя».

Исследователи смогли сымитировать транзакцию, используя устройство Proxmark, выступающее в качестве кардридера, который взаимодействует с целевым iPhone и телефоном Android с чипом NFC. Данная атака представляет собой атаку воспроизведения и ретрансляции «злоумышленник посередине», когда Proxmark отправляет байты на iPhone, чтобы убедить систему в отсутствии необходимости аутентификации: «Атака работает, сначала воспроизводя Magic Bytes на iPhone, так что он считает, что транзакция происходит с транспортным считывателем EMV. При ретрансляции сообщений EMV квалификаторы терминальных транзакций (TTQ), отправляемые терминалом EMV, должны быть изменены таким образом, чтобы были установлены биты (флаги) для автономной аутентификации данных (ODA) для поддерживаемых онлайн-авторизаций и поддерживаемого режима EMV».

Углубившись в проблему, исследователи обнаружили, что они могут изменить квалификаторы карточных транзакций (CTQ), отвечающие за установку лимитов бесконтактных транзакций.

Эта модификация предназначена для того, чтобы обмануть кардридер. В ходе эксперимента исследователи смогли совершить транзакцию на сумму 1000 фунтов стерлингов с заблокированного iPhone. Они протестировали атаку на iPhone 7 и iPhone 12. Тесты прошли успешно только с картами iPhone и Visa.

В случае с Mastercard выполняется проверка, чтобы убедиться, что заблокированный iPhone принимает транзакции только от считывателей карт с кодом транзитного продавца.

Опробовав метод с Samsung Pay, исследователи обнаружили, что транзакции возможны с заблокированными устройствами. Однако поставщики транспортных услуг взимают плату за билеты на основе данных, связанных с этими транзакциями.

Результаты исследования были отправлены в Apple и Visa в октябре 2020 года и мае 2021 года соответственно, но проблему не устранили.

Ранее специалист в области кибербезопасности Бобби Раух обнаружил уязвимость в работе метки Apple AirTag, позволяющую похищать данные пользователей с iCloud путем межсайтового скриптинга. Суть эксплойта состоит в том, что во время перевода AirTag в режим потери злоумышленник может перехватить запрос и подменить данные в поле ввода контактного номера телефона на скрипт, который перенаправляет жертву на фишинговый сайт.

Кроме того, Apple все еще рассматривает три уязвимости нулевого дня в iOS (14.7, 14.8 и 15.0), подробную информацию о которых опубликовал пользователь Хабра Денис Токарев после того, как компания не реагировала на его находки более полугода. Apple также ничего не выплатила Токареву за его работу по программе вознаграждений Apple Security Bounty.

Источник

Обнаружен новый способ кражи денег с помощью Apple Pay и Google Pay

Представители крупных российских банков рассказали о новой схеме обмана пользователей с применением популярных платёжных сервисов. В отличие от ранних способов мошенничества, она предлагает жертве переводить деньги на «собственную» пластиковую карту, под которую маскируется счёт злоумышленника.

По данным «Известий», схема с переводом денег на сторонние счета через мобильное приложение банка теряет эффективность, поэтому мошенники запустили новый метод обмана пользователей. Теперь жертве якобы «выдают» виртуальную карту, убеждая привязать её к своей платёжной системе — например, Apple Pay или Google Pay. Затем деньги с основного счёта предлагается перевести на новый, который уже зарегистрирован в смартфоне.

Если владелец гаджета соглашается на эту операцию и осуществляет перевод через банкомат с NFC-считывателем, приложив к нему устройство, то он фактически пополняет карту злоумышленника который может спокойно снять с неё деньги. Существование нового вида мошенничества подтвердили журналистам в «Газпромбанке», «МКБ», «Открытии», «ВТБ» и «ПСБ».

По мнению экспертов, новый способ сложен в плане реализации из-за значительного количества этапов, и скорее всего не получит широкого распространения. Главным «оружием» против мошеннических схем специалисты называют скептическое отношение ко всем телефонным звонкам и электронным письмам с финансовыми отметками и «рекомендациями».

Источник

Как крадут деньги через Apple Pay на примере топ-менеджера Chanel

Рунет сегодня обсуждает, как обокрали не последнего человека в Chanel. Сделали это необычно: украли iPhone, затем накупили с него всякой всячины на 2 миллиона рублей.

Как такое возможно и что сделать, чтобы это не повторилось с вами?

Ответ простой, но потребует с вас хорошей памяти.

Суть ситуации

Глава российского подразделения Chanel Жак Мари Даниэль Шенен лишился iPhone Xs за 104 тыс. рублей. Смартфон вытащили возле факультета архитектуры Российской академии живописи, ваяния и зодчества Ильи Глазунова.

Воры затем прошлись по магазинам, расплачиваясь этим iPhone через Apple Pay.

Пропажа обнаружилась только на следующий день, полиция ищет виновных.

Почему смогли украсть деньги с защищенного айфона

Apple Pay не позволит просто так списать деньги с подключенных банковских карт, даже прикоснувшись к терминалу.

Перед этим всегда происходит авторизация одним из трёх способов:

▪ либо через отпечаток пальца, Touch ID
▪ либо по сканеру лица Face ID
▪ либо по коду-паролю, которым блокируется iPhone

Если Touch ID или Face ID по какой-то причине не сработают, то iPhone запрашивает код-пароль.

Соответственно, зная код-пароль от айфона, можно расплачиваться через Apple Pay, игнорируя Touch ID или Face ID.

У воров получилось снять деньги с айфона, несмотря на отсутствие отпечатка или возможности отсканировать лицо владельца. Значит, они просто подсмотрели код-пароль, стоя за спиной. Скорее всего, заранее «вели» (следили за) жертву и выжидали подходящий момент.

Как защититься от такого самому

В iPhone нельзя отключить оплату по коду-паролю через Apple Pay. Также нельзя задать другой код-пароль, исключительно для бесконтактной оплаты.

Любой, кто знает ваш код-пароль, может не только разблокировать iPhone, но платить за покупки любыми картами, подключенными к Apple Pay на устройстве.

Единственный способ не стать как Жак Мари Даниэль Шенен – использовать сложные коды-пароли. По умолчанию iOS предлагает ставить шестизначные коды, они чуть сложнее для запоминания, чем старые четырёхзначные.

Но ещё лучше использовать сложный код-пароль с буквами и цифрами. Да, это усложнит разблокировку смартфона в случае ошибки срабатывания Touch ID или Face ID. Зато запомнить такой, просто подсмотрев за вами, будет намного проблематичнее.

Как установить сложный код-пароль:

1. Откройте Настройки -> Face ID и код-пароль (Touch ID и код-пароль на старых iPhone)

2. Выберите Сменить код-пароль, введите текущий

3. На следующем экране нажмите на Параметры код-пароля

4. Выберите вариант Произвольный код (буквы + цифры)

5. Введите такую комбинацию букв и цифр, чтобы её знали только вы. Не используйте свой пароль от Apple ID или почты.

Очень важно запомнить только что введённый код-пароль, каким бы сложным он ни был. Его невозможно сбросить без полной потери всех данных на iPhone.

Ну а если заметили, что iPhone пропал, его надо оперативно заблокировать через Найти iPhone. Сделать это можно по инструкции в соответствующей статье про включение Режима пропажи на iOS.

В Режиме пропажи Apple Pay полностью отключается, а все карты становятся недоступными, пока вы не введёте пароль от Apple ID, привязанного к устройству.

Жаку Мари Даниэлю Шенену это бы помогло, если бы он вовремя заметил потерю смартфона. Теперь осталась надежда только на полицию. Не будьте как Жак.

Никита Горяинов

Главный редактор iPhones.ru. Спасибо, что читаете нас. Есть вопрос, предложение или что-то интересное? Пишите на [email protected]

Первое фото на смартфон с 64-мегапиксельной камерой. Такой еще не было

Производитель чехлов показал дизайн iPhone 11 Max

👀 Читайте также . Всё по теме

• 

25 джейлбрейк твиков из Cydia, которые стоит перенести в iOS

Появился первый в мире геймпад с платной ежемесячной подпиской. Это Backbone

Что означают индикаторы в верхней части экрана iPhone. Стрелочка, самолёт, кружочек и другие

Приложение Shiftscreen 4X превращает iPhone или iPad в компьютер. Есть рабочий стол и оконный режим

7 лучших игр в Apple Arcade. Можно ставить, скучно не будет

• 

Кикшеринг в Санкт-Петербурге всё? Полиция остановила работу сервисов Whoosh, Bolt и Red Wheels

Правда ли, что Apple специально замедляет старые iPhone. Все факты

Apple уволила нанятого сотрудника Facebook после скандала с сексистской книгой

🙈 Комментарии 34

Не представляю ситуации, чтобы я заметил пропажу своего телефона лишь на следующий день. Даже если пользуешься им мало, то уж хотябы вечером на зарядку поставить то нужно.

@Silmaril , когда ты в командировке и постоянно висишь на корпоративном телефоне, про личный забыть можно на раз-два.

@iVenom_1993 , какая командировка, это глава российского представительства с офисом в переулок Последний, дом 23, корпус 3.

Как в кино – код пароль не только можно подсмотреть но и записать используя различную технику записи, систему зеркал, имея доступ к видеокамерам…
Самый надежный способ не попасть в такую ситуацию – не прикреплять карты на которых крупные суммы а использовать виртуальные карты оплаты или специально для этого изготовить реальные карты и сбрасывать себе денег туда. Ну и установить лимит на списание – тоже не плохо я думаю.

Для блокировки Найти iPhone нужен интернет, а для оплаты Apple Pay интернет не нужен. Украв телефон можно выдвинув шнурку на заблокированном экране отключить сотовую связь и платить Apple Pay сколько угодно, тк найти IPhone без интернета не заблокируется.
Поправьте меня, если я не прав.

@slipa ,apple pay работает, если не ошибаюсь, только 1 час без интернета.

@slipa , параноики шнурку давно отключают на экране блокировки

@slipa , Apple Pay привязывается к виртуальной карточке от Apple, это не копия вашей реальной карты. Соответсвенно при включении режима пропажи такая виртуальная карта просто блокируется.

Там скорее всего стоял пароль 1111. Иначе, как объяснить то, что Жак разблокировал его код-паролем, вместо использования фейсайди или тачайди?

хм, по мне так вариант “не держать крупные суммы на кратах” – самый лучший. И от таких проблем убережет, и деньги работать заставит. Вон, на вклад кинул и процент капает – а 2 миллиона на карте дохода не приносят. КОнечно есть шанс, что он эти 2 ляма только снял что бы пойти, к примеру, машину купить или что похожее… Но вообще что то больше на вброс похожа эта новость. Если apple pay – значит телефон используется для оплаты, а значит помимо обычного “время глянуть-почту проверить-на зарядку поставить – интернет посёрфить” добавляется ещё и оплата, поводов начать искать телефон – больше. 2 – вопрос в самих тратах. просто так потратить 2 ляма на не типичные операции банк не дал бы, наверняка был бы звонок с идентификацией. Я когда куда то захожу в первый раз и 3-5 тысяч трачу в 50% случаях оплата не проходит, через 5 секунд звонок и СБ банка, они уточняют всю информацию и если нет подозрений что я – это я, то говорят “повторите операцию, сейчас всё будет норм”. Но тут вопрос к банку. Да вообще всё это странно. А самое странное – если пропажу обнаружили только на следующий день – откуда инфа, где конкретно украли? За весь день, я не думаю, что он пробыл в одном и том же месте стоя как истукан, а потом такой “ой, мобилу спёрли”.

@HellReid , что это за невротический банк такой? У меня и около 100к без звонков проходили.

Источник