Украли деньги с айфона

Техника подбора. Как хакеры обчищали банковские карты через Apple Pay

За майские праздники почти сто пользователей карт «Кукуруза» остались без своих средств. Хакеры выводили деньги со счетов, используя популярное приложение оплаты Apple Pay. Они привязывали карты жертв к «яблочному» сервису и переводили рубли на сторонние счета. «360» побеседовал с экспертами по кибербезопасности и узнал, как оплачивать покупки через систему мобильных платежей без угрозы для своего кошелька.

В начале мая держатели карт «Кукуруза» начали массово жаловаться на то, что с их счетов стали списываться средства без их согласия. К примеру, на профильном форуме banki.ru подобных гневных сообщений сейчас насчитывается порядка 50. Все пострадавшие утверждают, что сначала мошенники самостоятельно подключали их карты к системе Apple Pay. Затем им приходило уведомление о выводе средств на номер мобильного оператора. При этом никаких SMS или push-уведомлений, которые необходимы для установки и работы с Apple Pay, жертвы не получали.

«Сегодня так же, как и описывают выше, карта „Кукурузы“ была привязана к Apple pay и через две минуты осуществлена операция с переводом на [мобильного оператора] 15 000 рублей. Кодов на подтверждение привязки к Apple pay не приходило!» — пишет одна из обманутых пользовательниц. По словам женщины, когда она привязывала карту к смартфону, ей приходил пароль для верификации. В этот раз сообщение пришло уже о списании денег.

Напомним, что «Кукуруза» выступает бонусным платежным инструментом объединенной компании «Связной — Евросеть». Она привязана к платежной системе Mastercard, а ее эмитентом выступает РНКО «Платежный центр». Согласно информации на сайте компании, картой пользуются больше 20 миллионов россиян.

«Кукурузное» хищение

Сами жертвы склоняются к версии, что их данные были украдены из системы, которую хакеры попросту взломали. Другие уверены, что их деньги украли из-за уязвимостей приложения на смартфоне. Ведь мошенники смогли подключить карты без подтверждения операции.

В самой «Евросети» придерживаются аналогичного мнения. «Они (мошенники — прим. ред.) исходили из возможности, что люди пользуются одинаковым паролем на разных сервисах. Они получили пароли клиентов на абсолютно сторонних сервисах и попробовали их применить в личном кабинете „Кукурузы“», — рассказали «360» в пресс-службе компании.

Кредит через экран смартфона. Зачем российские банки собирают голоса и фотографии клиентов

По данным компании, всего хакерам удалось получить доступ к картам 83 пользователей. При этом ни один клиент не пострадал, а все средства были возвращены, утверждают в компании.

«Система защиты увидела такие действия и заблокировала возможность подбора. Кроме того, когда стало понятно, что это атака хакеров, было оперативно выпущено обновление приложения, исключающее возможность подбора. Проблема решена», — добавили в «Евросети».

В РНКО «Платежный центр» также подчеркивают, что хакеры получили личную информацию о клиентах «Кукурузы» из социальных сервисов.

«По имеющейся информации, был взломан один из социальных сервисов, никак не связанный с „Кукурузой“ и РНКО „Платежный центр“. А далее злоумышленники проверяли, совпадает ли пароль в указанном социальном сервисе с паролем для интернет-банка. В случае успеха злоумышленник мог войти в интернет или мобильный банк клиента», — рассказали «360» в пресс-службе РНКО.

Чтобы избежать повторных атак, «Платежный центр» уже ввел для пострадавших клиентов обязательную смену пароля.

Коварный Apple Pay

Между тем пользователи не зря сетуют на несовершенность технологии работы Apple Pay, говорят опрошенные «360» эксперты по кибербезопасности. Сейчас правила подключения к ApplePay регулируются компанией Apple и платежными системами. В них говорится об экономической обоснованности, ведь чтобы идентифицировать клиента, нужно в том числе потратиться на отправку SMS. Если банк отказывается от такой верификации, то приложение работает без SMS-сообщений, открывая хакерам возможности для краж.

Хакеры вне зоны доступа сети. Как Центробанк защитит счета россиян от телефонных мошенников

В среднем 90% хищений происходит с использованием методов социальной инженерии, поэтому этот случай не укладывается в стандартные схемы, отмечает в разговоре с «360» сотрудник департамента защиты информации коммерческого банка Николай Пятиизбянцев.

«Обычно банки отправляют SMS-уведомление о совершенных операциях с помощью Apple Pay, но эта услуга носит рекомендательный характер. Фактически тут хакеры совершили смежный взлом: сначала воспользовались уязвимостью социальных сервисов и белыми пятнами платежного приложения», — объяснил собеседник «360».

Чтобы защитить свои средства от краж, эксперты советуют привязывать к Apple Pay только те карты, которые необходимы для мелких покупок, то есть не стоит включать в приложение свою зарплатную карту.

«Также необходимо использовать разные учетные данные для доступа к своим веб-сервисам. Тогда мошенникам будет в разы сложнее подобрать пароль к вашим картам и вывести средства», — заметил в разговоре с «360» генеральный директор Technologies Group Сергей Шерстобитов.

При этом объем хищений с банковских карт россиян с каждым годом растет, добавил эксперт. Так, в прошлом году хакерам удалось украсть с банковских счетов доверчивых россиян порядка 1,4 миллиарда рублей. По сравнению с 2017-м уровень подобных краж вырос почти в 1,5 раза.

Источник

Как воруют деньги с помощью Apple Pay

Вы пользуетесь Apple Pay ? Ну, конечно, пользуетесь, ведь это так удобно и современно — расплачиваться за покупки телефоном. Можно даже не носить с собой карту. Достаточно просто достать из кармана свой аппарат, отсканировать лицо или отпечаток и приложить его к терминалу оплаты. Для этого даже не понадобится подключение к интернету. В общем, всё устроено максимально удобно и безопасно. Однако недавно стало известно, что против пользователей Apple Pay развернули масштабную мошенническую атаку, которая позволяет воровать деньги с их банковских счетов.

Как ни странно, воровство денег происходит не на этапе оплаты, как можно было подумать. Тут как раз у Apple Pay проблем нет. Сервис очень хорошо защищён, и просто так взять и перехватить деньги в момент транзакции или принудительно активировать функцию проведения платежа невозможно. Биометрия надёжно защищает Apple Pay и ваши сбережения.

Можно ли украсть деньги с iPhone

Всё происходит в момент, когда пользователь не задействует Apple Pay. Ему поступает звонок якобы от службы безопасности банка с сообщением о том, что его банковская карта взломана. Несмотря на это, уточняют мошенники, средства с неё ещё не списаны. Поэтому очень важно успеть переложить их на «безопасную карту банка». А, чтобы было удобнее, предлагают привязать её к Apple Pay.

После того, как жертва привяжет чужую карту к себе в приложение Wallet и обналичит свои средства, ей предлагают воспользоваться Apple Pay с «безопасной картой банка» и положить деньги на неё. Поскольку большинство современных банкоматов в России поддерживают NFC, жертв убеждают активировать Apple Pay и авторизоваться в личном кабинете банка с картой мошенников и зачислить средства на неё.

Сразу после этого мошенник, который обладает физической версией карточки, получает деньги себе на счёт и может спокойно их обналичить в ближайшем банкомате. Для этого даже необязательно находиться в том же городе или в той же стране. Деньги поступят на карту в любом случае. Разумеется, при условии, что банк внесения средств и банк-эмитент карты (хотя и это не всегда является обязательным критерием) совпадают.

Да, сценарий обмана не самый простой. Ведь от человека, которого хотят обмануть мошенники, требуется, чтобы он был не только доверчивым, но и достаточно подкованным в вопросах использования Wallet и Apple Pay. Это сильно сужает потенциальный охват тех, кого можно обдурить. Однако с точки зрения возврата украденных средств этот способ, бесспорно, намного «выигрышнее» для мошенников.

Кража денег через Apple Pay

Ну, смотрите сами. Одно дело, когда кто-то вытягивает у вас данные вашей банковской карты. С этим можно пойти в полицию или обратиться в банк. Там знают о подобных случаях и примерно представляют, как себя нужно вести. Однако, если вы добровольно кладёте деньги на чью-то карту, тем более посредством Apple Pay, который шифрует все транзакции, то разобраться в ситуации и вернуть деньги вам будет уже намного-намного сложнее.

Важно понимать, что провернуть такой трюк можно не только с Apple Pay, но и с Google Pay, и другими бесконтактными сервисами оплаты. Главное, чтобы пользователь умел привязывать карты и мог пользоваться банкоматом. А дальше — дело техники. Остаётся только убедить человека снять деньги со своей карты, а затем переложить её на карту злоумышленников, чем они успешно и занимаются.

Стоит ли говорить, что маломальские нормы безопасности никто не отменял. Но, если раньше приходилось объяснять людям, что не нужно передавать свои банковские данные посторонним лицам, то теперь необходимо донести до них, что брать у них их платёжную информацию и тем более что-то с ней делать — нельзя вдвойне. Особенно привязывать её к себе или класть на неё деньги.

У большинства людей создаётся впечатление, что если кто-то даёт им данные своей карты, то в этом нет никакой опасности. Ведь списать с неё уже ничего нельзя. Но, как показывает практика, это самое опасное. А поскольку вернуть украденные таким образом деньги будет ещё сложнее, чем обычным способом, то постарайтесь хорошенько запомнить написанное здесь не только сами, но и объяснить это своим близким.

Источник

У вас в смартфоне дыра

Как крадут деньги через смартфоны и что с этим делать

У четырех из пяти россиян в возрасте 16—45 лет есть смартфон. Скорее всего, у вас тоже. Но вряд ли хотя бы один из пяти осознает, что смартфон — короткий путь к секретной информации. Через мобильные устройства злоумышленники добираются до личной переписки, банковских данных, паролей и денег.

Мобильный фишинг — новый тренд в мошенничестве. Разобраться в этой теме нам помог эксперт «Лаборатории Касперского» Виктор Чебышев, который знает о мобильных угрозах всё.

Кто в зоне риска

Жертвой мошенников может стать каждый пользователь смартфона на Андроиде. Основная проблема Андроида в том, что на него можно поставить программу из любого источника, в том числе пиратского. С июля по сентябрь 2015 эксперты из «Лаборатории Касперского» обнаружили 320 тысяч новых мобильных вредоносных программ для этой платформы.

В зоне риска любители бесплатных игр, программ и порно. Если вы набрали в Гугле «Angry Birds скачать бесплатно» или зашли на порносайт, где вам предложили «бесплатный доступ через приложение», — вы на пороге заражения.

Немного спокойнее могут себя чувствовать владельцы Айфонов. На эту платформу приходится только 0,2% вирусов и троянов. Однако это не значит, что Айфоны защищены: именно ложное ощущение безопасности делает их владельцев уязвимыми. Украсть деньги можно и через Айфон.

Главный фактор риска — это сам человек. Если он невнимателен, не понимает основ информационной безопасности и любит халяву, то он — идеальная жертва мошенников.

Больше всех рискуют любители халявы

Как цепляют вирусы

Открывают ссылки из смс. Вирусы умеют отправлять сообщения от имени реальных контактов. Вы думаете, что получили смс от родственника, и переходите по ссылке, скачиваете программу, а в ней вирус.

Не ходите по ссылкам, если не уверены в их надежности. Если ссылка пришла от знакомого, переспросите, действительно ли он отправил сообщение.

Переходят по ненадежной ссылке в интернете. Пользователи ищут интересный контент: бесплатную музыку, фильмы, игры, порно. Щелкают по ссылке, что-то скачивают, открывают, получают вирус.

Не ищите халяву или хотя бы делайте это с компьютера. На маленьком экране смартфона сложнее распознать подозрительный сайт и выше риск нажать не туда.

Открывают файлы и зловредные ссылки в социальных сетях. Здесь люди тоже попадают в западню в поисках контента. Например, посещают сообщества с играми и переходят по ссылкам в поисках бесплатных развлечений.

Устанавливайте приложения только из официального магазина: для Андроида это Гугл-плей

Попадают на страницы злоумышленников со взломанного сайта. Например, заходишь читать отраслевые новости на знакомый сайт, как вдруг автоматически скачивается какая-то вроде полезная программа.

Не запускайте непонятные файлы, даже если они скачались со знакомого сайта. Если что-то скачалось само, скорее всего, это вирус

Совет от «Лаборатории Касперского»

Чтобы заразиться, достаточно открыть файл, полученный из ненадежного источника. После этого программа устанавливается и невидимо, в фоновом режиме выполняет всё, что в нее заложил автор.

Необходимость открыть файл — слабая защита для пользователя. Люди запускают и подтверждают всё что угодно — особенно когда ищут действительно интересный для них контент, например порно. Поэтому лучше не допускать, чтобы файл с вирусом попал на смартфон.

Лучше всего использовать комплексное решение для борьбы с вредоносными программами, например Kaspersky Internet Security для Android. Такой инструмент защищает сразу по всем фронтам: не только выявляет вирусы, но и проверяет смс, инспектирует ссылки в браузере и загружаемые файлы, а также периодически сканирует телефон на предмет угроз.

Антивирус — это еще и единственный способ обнаружить, что телефон уже заражен, и вылечить его.

Программы, которые отправляют платные смс

Вирус, который рассылает смс на платные номера, — самый простой сценарий. Злоумышленнику не нужны даже банковские данные жертвы. Программа незаметно отправляет сообщения на короткий номер, и деньги со счёта уходят мошеннику.

В описание некоторых смс-вирусов авторы даже включали мелкий текст, по которому пользователь соглашался на платную подписку. Конечно, этого никто не читал, но формально получается, что жертва давала согласие на списание денег.

Чтобы защитить абонентов, операторы ввели двойное подтверждение платных смс: это когда после отправки сообщения вам приходит запрос и вы должны подтвердить его еще одним смс. Второе сообщение уже никак нельзя замаскировать, его должен отправить лично пользователь. Воровать деньги через платные смс стало сложнее, и популярность этих вирусов пошла на спад.

Если пришел запрос на подтверждение платного смс, а вы ничего не отправляли, проверьте телефон антивирусом, он может быть заражен. Если у вас стали быстро кончаться деньги на счете, посмотрите на историю списаний в личном кабинете мобильного оператора.

Не подтверждайте платные услуги, которые вы не заказывали

Программы, которые перехватывают смс от банка

Когда вы покупаете что-то по карточке в интернете, банк присылает смс с кодом подтверждения. Хакеры заражают телефоны вирусами, которые перехватывают такие коды.

К счастью, одного кода из смс мошеннику недостаточно, чтобы украсть деньги со счёта. Нужны данные карты, чтобы провести по ним платеж и подтвердить его кодом из перехваченного смс.

Поэтому обычно сначала мошенники добывают данные карты, а потом уже заражают смартфон. Например, размещают QR -код со ссылкой на вредоносную программу и пишут, что там лежит приложение для скидок.

Как не попасться на удочку хакеров

Вирусописатели ведут целые базы зараженных смартфонов — ботнеты. Вредоносные программы на этих устройствах дремлют на случай, если когда-то понадобятся злоумышленникам. Например, когда у мошенника есть данные карты жертвы, но нет доступа к ее телефону, он идет в ботнет. Если найдет там нужное устройство, то активирует и использует вирус.

Берегите данные карты. Когда что-то покупаете в интернете, риск нарваться на вирус выше обычного

Программы, которые маскируются под мобильный банк

Когда вы запускаете мобильный банк, зловредная программа замечает это, перехватывает управление и уводит вас к себе. После этого программа выбирает подходящее оформление и маскируется под банковское приложение. Вы не замечаете подвоха, вводите в приложении данные карты, и они утекают к мошеннику.

Помимо банков такие программы маскируются под магазины приложений, например Гугл-плей. В них пользователи тоже охотно вводят данные карточки.

Число поддельных мобильных банков растет быстрее всего: в 3 квартале 2015 в «Лаборатории Касперского» нашли в 4 раза больше таких программ, чем за предыдущие три месяца. Сейчас эксперты знают 23 тысячи программ, маскирующихся под приложения банков.

Будьте внимательны, когда открываете мобильный банк. Если видите что-то необычное при запуске или во внешнем виде приложения, это симптом. Если приложение требует лишнюю информацию, например номер карты, бейте тревогу.

Аккуратнее с приложениями банков. Помните: банк никогда не спросит у вас данные карты или пароль

Программы, которые используют смс-банк

У некоторых банков есть функция, когда командой в смс-сообщении клиенты переводят деньги, оплачивают услуги и совершают прочие операции. Это удобно, но, если телефон заражен, зловредная программа такой командой переведет деньги на интернет-кошелек или счет мобильного телефона злоумышленника.

Оцените, готовы ли держать такую брешь. Возможно, проще отключить эту услугу. Если смс-банк вам необходим, ставьте антивирус.

Пользуетесь смс-банком? Ставьте антивирус

Программы, которые получают права суперпользователя

Обычно права суперпользователя — так называемый рутинг телефона — получают продвинутые пользователи, чтобы снять ограничения производителя и свободно манипулировать функциями смартфона.

К сожалению, хакеры постоянно находят уязвимости в мобильных операционных системах. В том числе такие, которые позволяют безобидным с виду приложениям сделать рутинг смартфона без ведома пользователя.

Например, вы скачиваете из магазина приложение «Фонарик». Оно не просит доступ ни к каким системным возможностям, ему даже смс неинтересны. Но если у вас несвежая операционная система, если в ней уязвимость, то «Фонарик» сделает рутинг смартфона, а вы даже не заметите.

После этого злоумышленник получит полный доступ к устройству и всем приложениям. Он зайдет в мобильный банк и украдет оттуда номера карт и пароли.

Борьбу с такими вирусами осложняет то, что многие производители годами не обновляют программное обеспечение на своих телефонах, поэтому уязвимости, которые находят хакеры, никто не устраняет. Особенно это касается дешевых устройств.

Опасные программы встречаются даже в официальных магазинах. Чтобы снизить риск, обращайте внимание на рейтинг приложения, отзывы и количество скачиваний. И не забывайте обновлять антивирус.

Обновляйте антивирус и операционную систему на смартфоне. Не ставьте странные приложения без рейтинга и отзывов

Источник