Вклады
Кредиты
Займы
Карты
Ипотека
Страхование
Инвестиции
Бизнес
Новости
Ещё
Форум

Системное хищение денег с карт Кукуруза при помощи Apple Pay

РНКО ПЦ
#1
05.05.2019 14:54
Цитата
https://www.banki.ru/forum/?PAGE_NAME=message&FID=504&TID=218316&MID=7185627#message7185627
Вчера моя карта Кукуруза была кем-то подключена к Apple pay (судя по входящему смс) и все деньги были переведены на Tele2. Никаких кодов подтверждения также не поступало и, соответственно, не отправлялось.
Цитата
https://www.banki.ru/forum/?PAGE_NAME=message&FID=504&TID=218316&MID=7188234#message7188234
Пару часов назад карта Кукуруза (судя по комментариям выше, у них жаркий сезон) была привязана к Apple pay и, спустя пару минут, выведена существенная сумма денег без смс.

Причина - эмитент не запрашивает код активации при авторизации токена.
Таким образом, зная реквизиты карты, мошенники могут привязать карту к своему смартфону и снять с нее все деньги. Транзакции Apple Pay не требуют ОТР и не опротестовываются.
 
 
#2
05.05.2019 16:14
Цитата
slowpoke пишет:
Причина - эмитент не запрашивает код активации при авторизации токена.

Или мошенники получили код с абонентского устройства клиента
https://www.banki.ru/blog/kamo4/7400.php
Как правило, банк не обсчитывает, ему хватает профита от ошибок, допущенных клиентом. Полезные ССЫЛКИ о том, как НЕ наступить на чужие грабли.
 
 
#3
05.05.2019 16:29
Цитата
камо пишет:
Или мошенники получили код с абонентского устройства клиента
ЭплПей? Сомнительно.
 
 
#4
05.05.2019 17:33
Насколько помню, с недавних пор Кукуруза сделала информационные смс платными и этим подтолкнула всех к переходу на push-уведомления. Возможно, это как-то связано.
Ушёл на ФинФорумс и ХраниДеньги
 
 
#5
05.05.2019 18:02
Это надо очень постараться, чтобы на айфоне кто-то перехватил push сообщения.
Только если с jailbrake телефон.

Да и смысл ловить десяток "инвалидов" с jailbrake, когда можно с андроид мошенникам работать.

UPD. Хотя, зачем айфон, им ведь просто код у жертвы надо получить, видимо через Apple Pay удобно балансы обнулять, а код можно в другом месте получить.
Изменено: ivan499- 05.05.2019 18:06
 
 
#6
05.05.2019 22:01
Цитата
slowpoke пишет:
Транзакции Apple Pay не требуют ОТР и не опротестовываются.

В какомто воображаемом мире не опротестовываются видимо. В реальном мире клиент может не согласиться с любой транзакцией не подтвержденной подписью (собственноручной или цифровой)
 
 
#7
06.05.2019 08:36
Еще в ту же копилку:
Цитата
l*******@mail.ru пишет:
Доброго времени суток!
Сегодня так же, как и описывают выше, карта Кукурузы была привязана к Apple pay и через 2 минуты осуществлена операция с переводом на Теле2 - 15000 рублей. Кодов на подтверждение привязки к Apple pay не приходило!

Что интересно, то даже при подключенных только push уведомлениях на карте, когда привязываешь ее к Apple Pay приходит пароль на телефон чтобы пройти верификацию и тд. Тут ничего не приходило, а пришло сообщение о самом факте, что карта успешно добавлена! Потому что, например, когда я добавляла карту 24 апреля код подтверждения приходил. И только после этого карта была добавлена.

Общалась с сотрудниками Apple - они естественно утверждают, что такого не могло быть и списание произошло не через их систему, ведь добавить карту без подтверждения нереально. Создали заявку и просили уточнить у службы безопасности банка - каким именно образом была совершена транзакция.

Соответственно, позвонив в службу кукурузы я ничего не узнала, так как связать с кем-то они не могут, и как сказал оператор - они отправляют заявку в платежную систему и там уже разбираются. Срок рассмотрения заявки 130 дней. К сожалению, не уточнила календарных или рабочих Рисунок
Рисунок

Поняв из разговора, что "службы безопасности" в Кукурузе нет, либо она явно не хочет работать - позвонила напрямую в Мастеркард. Там мне дали почту "департамента безопасности" чтобы написать им о данной проблеме.
Интересное, на мой взгляд, наблюдение - когда блокировала карту и попросила прислать номер заявки, так как нет возможности записать, то девушка мне ответила "у нас сейчас не работает система смс рассылок!"
Начала мониторить информацию в интернете и вижу, что я не одна такая счастливая. Закрадывается мысль - а не могли ли "взломать" саму систему(или что-то подобное) Кукурузы?
 
 
#8
06.05.2019 08:54
Кроилово ведет к попадалову. Нечего пользоваться всякими недобанками типа РНКО ради лишних 300 р кэшбэка. В нормальных банках ВСЕГДА приходит смс с кодом подтверждения при привязке карты в AP (проверено в Сбере, Тинькове, Альфе)
 
 
#9
06.05.2019 08:59
Цитата
пишет:
когда привязываешь ее к Apple Pay приходит пароль на телефон чтобы пройти верификацию и тд. Тут ничего не приходило, а пришло сообщение о самом факте, что карта успешно добавлена!

Сильно сомневаюсь, что такое возможно.
И поддержка Apple, судя по дальнейшему описанию, сказала тоже самое.
Скорее всего Личный кабинет у Кукурузы взломали.
А привязать без SMS к Apple Pay, насколько знаю, невозможно в принципе.
 
 
#10
06.05.2019 09:45
Добрый день.

Тоже попал на это, похоже схема такая:

1) Они слили базу паролей к интернет банку.
2) Ставится приложение Кукурузы, вход в него по логину (номер телефона или CDN карты, который светится при каждом пополнении, например). СМС подтверждения при первом входе не требуется.
3) Из приложения можно привязать карту к Apple Pay без дополнительного кода авторизации по СМС.
4) Покупка в Tele2 (мб перевод на их сайте) с подтверждением по Apple Pay.

Опротестовал операцию + написал претензию в Евросеть.

Скажите, пожалуйста, есть ли ещё какие-то шаги, которые можно сделать, чтобы максимально на них надавить? Т.к. проблема массовая, я исключаю, что все пользователи в один день слили свой пароль в ИБ, это точно проблемы внутри Банка, не хотелось бы от них получить отписку, что т.к. был введён пароль в ИБ, вы его компрометировали, соответственно твой косяк.
Изменено: V.Bukina- 06.05.2019 12:30 (Отмодерировано.)
 
 
#11
06.05.2019 09:55
Цитата
vvtimofeyev пишет:
Из приложения можно привязать карту к Apple Pay без дополнительного кода авторизации

Вот теперь всё встало на свои места.
Apple Pay дополнительную авторизацию не требует, так как авторизация проходит при входе в приложение.
Получается Кукуруза просахатила где-то пароли или кто-то из приближенных слил.
Но Кукуруза никогда в этом не признается, да и доказательную базу для суда у них трудно выбить будет ...
 
 
#12
06.05.2019 10:07
Вопрос к пострадавшим: какая система установлена на вашем смартфоне?
 
 
#13
06.05.2019 10:16
Цитата
Александр Щ пишет:
какая система установлена на вашем смартфоне?

Да, это может быть определяющим фактором в плане того, что андроидный вирус мог слить пароли к Кукурузе.
 
 
#14
06.05.2019 10:24
Цитата
gammavit пишет:
Да, это может быть определяющим фактором в плане того, что андроидный вирус мог слить пароли к Кукурузе.
Как минимум, в одном сообщении упоминалось о собственной привязке Кукурузы к ЭплПей в конце апреля (с смс и проч.). Надо полагать, что там айфон, а не андроид.
 
 
#15
06.05.2019 10:24
Цитата
vvtimofeyev пишет:
1) Они слили базу паролей к интернет банку.
Интересно что произошло это в момент окончательного поглощения Связным Евросети. Вместе ( можно не сомневаться) с соответствующим сокращением штатов сотрудников, включая IT...
АСВ просвистела у виска...
 
 
#16
06.05.2019 10:39
Цитата
Александр Щ пишет:
не? X


IOs 12.2, jailbreak нет и никогда не было.

Судя по теме, история у всех с ApplePay, то есть ОС у всех будет iOS.
 
 
#17
06.05.2019 10:45
vvtimofeyev, это мошенники привязывают к ApplePay, но коды/пароли при этом могут быть украдены у пользователя на Андроид.
Ушёл на ФинФорумс и ХраниДеньги
 
 
#18
06.05.2019 10:53
tempur, Поскольку есть несколько пользователей с айфоном, а не с андроидом, то разумно подозревать проблемы с доступом именно в самой Кукурузе. Не похоже, что здесь вирус при делах.
 
 
#19
06.05.2019 10:56
Цитата
vvtimofeyev пишет:
Судя по теме, история у всех с ApplePay, то есть ОС у всех будет iOS

А судя по последним постам (версиям) у всех будет наоборот андроид!!
Т.е. увели базу их паролей к приложению, а потом уже привязывали карту к апплпей..

П.с. хотя хранить пароли в явном виде в базе - это феерически тупой косяк ит-разработчиков и СБ...
Может ли банкомат порвать купюры при внесении?
Проверяйте сумму до прикладывания карты!
 
 
#20
06.05.2019 10:58
Цитата
Struzhkin пишет:
П.с. хотя хранить пароли в явном виде в базе - это феерически тупой косяк ит-разработчиков и СБ X
Для подтверждения этого должен быть хотя бы один пострадавший с кнопочным телефоном...
 
 
#21
06.05.2019 11:33
Цитата
tempur пишет:
vvtimofeyev, это мошенники привязывают к ApplePay, но коды/пароли при этом могут быть украдены у пользователя на Андроид.


У меня никогда не стояло приложение Кукурузы на Андроиде, пользовались картой я и жена, у обоих iOS, прошлые телефоны так же были с iOS.

Возможно, вирус на ПК, но я в интернет-банк Кукурузы, до вчерашний событий, не заходил пару месяцев точно.

У меня 05.05.2019 в 15:57 пришло сообщение, что карта привязана к Apple Pay (как у остальных, без предварительных сообщений с кодом).
05.05.2019 в 15:58 сообщение о операции на 14000 рублей в Теле 2.

По выписке логинов есть вход в интернет-банк 05.05.2019 в 2:47 по-моему с Linux машины (не мой) и по-моему прям перед операцией с MacOS (они iOS тоже MacOSом обозначают).

Точнее сейчас уже не могу посмотреть, заблокировали доступ после блокировки карты (правда вчера работал, мб начали претензию обрабатывать).
 
Сказали «Спасибо»: 2
 
#22
06.05.2019 11:41
Цитата
vvtimofeyev пишет:
есть вход в интернет-банк 05.05.2019 в 2:47 по-моему с Linux машины (не мой)

Эт как? smile:o
логин/пароль утекли....
Изменено: камо- 06.05.2019 11:42
Как правило, банк не обсчитывает, ему хватает профита от ошибок, допущенных клиентом. Полезные ССЫЛКИ о том, как НЕ наступить на чужие грабли.
 
 
#23
06.05.2019 11:43
vvtimofeyev, это меняет дело. В их ЛК есть лог входов? Позже проверю свой.
Ушёл на ФинФорумс и ХраниДеньги
 
 
#24
06.05.2019 11:48
Цитата
tempur пишет:
vvtimofeyev, это меняет дело. В их ЛК есть лог входов? Позже проверю свой X


Да, в интернет-банке есть вкладка "Безопасность", там есть лог.
 
Сказали «Спасибо»: 1
 
#25
06.05.2019 12:36
Цитата
vvtimofeyev пишет:
3) Из приложения можно привязать карту к Apple Pay без дополнительного кода авторизации по СМС.

Косяк! Огромный косяк! Даже в альфе, несмотря на то, что можно получить виртуалку за 3 секунды в приложении и тут же привязать ее к apple pay, все равно 100% приходит смс код для подтверждения привязки!
 
 
Форумы » Банки » Конфликтные ситуации

Все продукты Банки.ру

Калькуляторы

Калькулятор туристической страховкиКалькулятор ипотечного страхованияКалькулятор вкладовКалькулятор кредитовКалькулятор ипотекиКалькулятор автокредитовКалькулятор КаскоКалькулятор ДМСКалькулятор медицинской страховкиКалькулятор ОСАГОКалькулятор займа

Вклады и инвестиции

Вклады в СбербанкеВ Почта банкеВ рубляхС высоким процентомВклады с онлайн заявкойКупить ПИФыВклады в МосквеКупить облигацииАкции российских компанийАкции ГазпромАкции Голубые фишки

Кредиты и займы

Кредит онлайнКредит для пенсионеровСрочный займ на картуЗайм без отказаБеспроцентный займРефинансирование кредитовКредит под залогКредиты в МосквеЗайм на картуЗайм онлайнАвтокредитыКредитная история онлайн бесплатноВзять кредитЛучшие кредитыКредит на ноутбукКредит без посещения банкаКредит с подтверждением дохода

Ещё

1 доллар в рублях1 евро в рубляхКурсы ЦББанки РоссииКнига памятиБанки на картеОтзывы о банкахОтзывы о страховых компанияхЛичный кабинет агентаНародный рейтинг МФОТема дняНовостиФинансовый словарь
Показать ещеСкрыть

Страхование

Ипотечное страхованиее-ОСАГООСАГО в МосквеПродлить ОСАГОПродлить ОСАГО в МосквеСтраховка автомобиля ОСАГОРасчёт стоимости каскоКаско в МосквеОСАГО без ограниченнийОСАГО для начинающихРасширенный полис ОСАГООСАГО в Санкт-ПетербургеКаско от угонаКаско на годКаско на второй годКаско в Санкт-Петербурге

Карты

Онлайн заявка на кредитную картуКредитная карта Тинькофф ПлатинумОнлайн заявка на дебетовую картуКарты с кэшбэком 2024Карты с бесплатным обслуживаниемКредитки без справки о доходахКредитные карты PlatinumМолодежные кредитные картыКредитные карты на 50 000 рублейКредитная карта за 5 минутКредитные карты на 500 000 рублейДебетовые карты Мир UnionPayДебетовые карты UnionPayКредитные карты UnionPayКредитные карты МИР UnionPayКредитные карты без подтверждения доходаКредитные карты срочноДоступные кредитные картыКредитные карты по паспорту с моментальным решениемКредитные карты 100% одобрениеКредитные карты в Москве

Ипотека

Ипотека в Альфа-БанкеИпотека в ВТБИпотека в СбербанкеРефинансирование ипотекиЛьготная ипотекаИпотека на вторичное жильеИпотека в МосквеИпотека для IT-специалистовИпотечное менюИпотека от застройщиковДальневосточная ипотекаРефинансирование семейной ипотекиИпотека под залог недвижимостиИпотека для врачей

РКО

Расчётно-кассовое обслуживание в МосквеРКО СбербанкРКО в Тинькофф банкеРКО в ВТБРКО в Райффайзен банке

Дебетовые карты

Дебетовые карты ТинькоффДебетовая карта «Мир»Дебетовые карты «Mir Supreme»Карты UnionPayВиртуальные дебетовые картыКарты с бесплатным обслуживаниемДетские картыСоциальные карты москвичаТоп дебетовых картМоментальные картыКарты с высоким процентом на остатокЗарплатные картыДебетовые карты СбербанкаДебетовые карты Альфа БанкаДебетовые карты ВТБДебетовые карты Газпромбанка

Потребительские кредиты

Мастер подбора кредитаПотребительские кредитыКредит наличнымиКредит на картуКредиты для самозанятыхКредиты для безработныхРефинансирование кредитаКредит под залог автоКредит под залог недвижимостиОнлайн заявка на кредитЧерез Госуслуги

Микрозаймы

Займ на карту без процентов за первый займОнлайн займы на банковскую карту срочноСрочные экспресс займы онлайнОформить и получить простой микрозайм наличнымиСрочный онлайн микрозайм на киви кошелек без отказаСрочно получить деньги на карту круглосуточноОнлайн займ без отказа пенсионерамЗайм студентам с 18 лет без работыВзять быстрый займ денег в долгЗаймы на длительный срок с ежемесячной оплатой

Кредитные карты

Взять кредитную картуКредитные карты банка Русский СтандартКредитные карты ТинькоффКалькулятор кредитной картыКредитные карты без отказаВиртуальные кредитные картыКредитные карты без посещения банкаМоментальные кредиткиКарта рассрочки «Халва» от СовкомбанкаКредитные карты Альфа БанкаКредитные карты СбербанкаКредитные карты ВТБКредитные карты ГазпромбанкаКредитные карты Почта БанкаКредитные карты МТСКредитные карты банка Открытие

Расчетно-кассовое обслуживание

Открытие счета в СберБанк онлайнСчет для ИП в СберБанке условияОткрыть счет для ИП онлайнРКО для ООО открытьРасчетный счет в ТочкеБизнес банк ТинькоффОткрыть расчетный счет

Ипотечные кредиты

Взять ипотеку на строительство дома с нуляСоциально ипотечное кредитованиеПрограммы льготной ипотеки для молодой семьиИпотека на приобретение дома в сельской местностиИпотека на строящиеся квартирыПолучить ипотеку без подтвержденного доходаПрограмма господдержки ипотечного кредитованияИпотека для многодетных семей с минимальным процентомИпотека на загородный дом в СНТСоциальная ипотека для работников школы

Депозиты

Облигации федерального займа доходностьКупить дивидендные акцииСберБанк вклады депозитыСберБанк управление активами ПИФы доходностьДепозит онлайнАкции ГазпромETF на московской биржеРоснефть акции ценаАкции Лукойл ценаПенсионные вклады

ОСАГО и Каско

Рассчитать стоимость каскоОСАГО от ИнгосстрахПролонгация ОСАГОРассчитать стоимость ОСАГОКаско в МосквеКаско в рассрочкуКаско на старый автомобильКаско от бесполисныхКаско на KIAКаско на LadaКаско на CheryЭлектронный полис е-ОСАГООСАГО от АльфаСтрахованиеОСАГО от Тинькофф СтрахованиеОСАГО от РосгосстрахОСАГО от Сбер Страхование