Форум

Системное хищение денег с карт Кукуруза при помощи Apple Pay

РНКО ПЦ
Поиск по теме

Цитата
https://www.banki.ru/forum/?PAGE_NAME=message&FID=504&TID=218316&MID=7185627#message7185627
Вчера моя карта Кукуруза была кем-то подключена к Apple pay (судя по входящему смс) и все деньги были переведены на Tele2. Никаких кодов подтверждения также не поступало и, соответственно, не отправлялось.
Цитата
https://www.banki.ru/forum/?PAGE_NAME=message&FID=504&TID=218316&MID=7188234#message7188234
Пару часов назад карта Кукуруза (судя по комментариям выше, у них жаркий сезон) была привязана к Apple pay и, спустя пару минут, выведена существенная сумма денег без смс.

Причина - эмитент не запрашивает код активации при авторизации токена.
Таким образом, зная реквизиты карты, мошенники могут привязать карту к своему смартфону и снять с нее все деньги. Транзакции Apple Pay не требуют ОТР и не опротестовываются.
 
Баннер показывается только незарегистрированным пользователям. Войти или Зарегистрироваться
Цитата
slowpoke пишет:
Причина - эмитент не запрашивает код активации при авторизации токена.

Или мошенники получили код с абонентского устройства клиента
https://www.banki.ru/blog/kamo4/7400.php
 
Цитата
камо пишет:
Или мошенники получили код с абонентского устройства клиента
ЭплПей? Сомнительно.
 
Насколько помню, с недавних пор Кукуруза сделала информационные смс платными и этим подтолкнула всех к переходу на push-уведомления. Возможно, это как-то связано.
 
Это надо очень постараться, чтобы на айфоне кто-то перехватил push сообщения.
Только если с jailbrake телефон.

Да и смысл ловить десяток "инвалидов" с jailbrake, когда можно с андроид мошенникам работать.

UPD. Хотя, зачем айфон, им ведь просто код у жертвы надо получить, видимо через Apple Pay удобно балансы обнулять, а код можно в другом месте получить.
Изменено: ivan499 - 05.05.2019 18:06
 
Цитата
slowpoke пишет:
Транзакции Apple Pay не требуют ОТР и не опротестовываются.

В какомто воображаемом мире не опротестовываются видимо. В реальном мире клиент может не согласиться с любой транзакцией не подтвержденной подписью (собственноручной или цифровой)
 
Еще в ту же копилку:
Цитата
l*******@mail.ru пишет:
Доброго времени суток!
Сегодня так же, как и описывают выше, карта Кукурузы была привязана к Apple pay и через 2 минуты осуществлена операция с переводом на Теле2 - 15000 рублей. Кодов на подтверждение привязки к Apple pay не приходило!

Что интересно, то даже при подключенных только push уведомлениях на карте, когда привязываешь ее к Apple Pay приходит пароль на телефон чтобы пройти верификацию и тд. Тут ничего не приходило, а пришло сообщение о самом факте, что карта успешно добавлена! Потому что, например, когда я добавляла карту 24 апреля код подтверждения приходил. И только после этого карта была добавлена.

Общалась с сотрудниками Apple - они естественно утверждают, что такого не могло быть и списание произошло не через их систему, ведь добавить карту без подтверждения нереально. Создали заявку и просили уточнить у службы безопасности банка - каким именно образом была совершена транзакция.

Соответственно, позвонив в службу кукурузы я ничего не узнала, так как связать с кем-то они не могут, и как сказал оператор - они отправляют заявку в платежную систему и там уже разбираются. Срок рассмотрения заявки 130 дней. К сожалению, не уточнила календарных или рабочих Рисунок
Рисунок

Поняв из разговора, что "службы безопасности" в Кукурузе нет, либо она явно не хочет работать - позвонила напрямую в Мастеркард. Там мне дали почту "департамента безопасности" чтобы написать им о данной проблеме.
Интересное, на мой взгляд, наблюдение - когда блокировала карту и попросила прислать номер заявки, так как нет возможности записать, то девушка мне ответила "у нас сейчас не работает система смс рассылок!"
Начала мониторить информацию в интернете и вижу, что я не одна такая счастливая. Закрадывается мысль - а не могли ли "взломать" саму систему(или что-то подобное) Кукурузы?
 
Кроилово ведет к попадалову. Нечего пользоваться всякими недобанками типа РНКО ради лишних 300 р кэшбэка. В нормальных банках ВСЕГДА приходит смс с кодом подтверждения при привязке карты в AP (проверено в Сбере, Тинькове, Альфе)
 
Цитата
пишет:
когда привязываешь ее к Apple Pay приходит пароль на телефон чтобы пройти верификацию и тд. Тут ничего не приходило, а пришло сообщение о самом факте, что карта успешно добавлена!

Сильно сомневаюсь, что такое возможно.
И поддержка Apple, судя по дальнейшему описанию, сказала тоже самое.
Скорее всего Личный кабинет у Кукурузы взломали.
А привязать без SMS к Apple Pay, насколько знаю, невозможно в принципе.
 
Добрый день.

Тоже попал на это, похоже схема такая:

1) Они слили базу паролей к интернет банку.
2) Ставится приложение Кукурузы, вход в него по логину (номер телефона или CDN карты, который светится при каждом пополнении, например). СМС подтверждения при первом входе не требуется.
3) Из приложения можно привязать карту к Apple Pay без дополнительного кода авторизации по СМС.
4) Покупка в Tele2 (мб перевод на их сайте) с подтверждением по Apple Pay.

Опротестовал операцию + написал претензию в Евросеть.

Скажите, пожалуйста, есть ли ещё какие-то шаги, которые можно сделать, чтобы максимально на них надавить? Т.к. проблема массовая, я исключаю, что все пользователи в один день слили свой пароль в ИБ, это точно проблемы внутри Банка, не хотелось бы от них получить отписку, что т.к. был введён пароль в ИБ, вы его компрометировали, соответственно твой косяк.
Изменено: V.Bukina - 06.05.2019 12:30 (Отмодерировано.)
 
Цитата
vvtimofeyev пишет:
Из приложения можно привязать карту к Apple Pay без дополнительного кода авторизации

Вот теперь всё встало на свои места.
Apple Pay дополнительную авторизацию не требует, так как авторизация проходит при входе в приложение.
Получается Кукуруза просахатила где-то пароли или кто-то из приближенных слил.
Но Кукуруза никогда в этом не признается, да и доказательную базу для суда у них трудно выбить будет ...
 
Вопрос к пострадавшим: какая система установлена на вашем смартфоне?
 
Цитата
Александр Щ пишет:
какая система установлена на вашем смартфоне?

Да, это может быть определяющим фактором в плане того, что андроидный вирус мог слить пароли к Кукурузе.
 
Цитата
gammavit пишет:
Да, это может быть определяющим фактором в плане того, что андроидный вирус мог слить пароли к Кукурузе.
Как минимум, в одном сообщении упоминалось о собственной привязке Кукурузы к ЭплПей в конце апреля (с смс и проч.). Надо полагать, что там айфон, а не андроид.
 
Цитата
vvtimofeyev пишет:
1) Они слили базу паролей к интернет банку.
Интересно что произошло это в момент окончательного поглощения Связным Евросети. Вместе ( можно не сомневаться) с соответствующим сокращением штатов сотрудников, включая IT...
АСВ просвистела у виска...
 
Цитата
Александр Щ пишет:
не? X


IOs 12.2, jailbreak нет и никогда не было.

Судя по теме, история у всех с ApplePay, то есть ОС у всех будет iOS.
 
vvtimofeyev, это мошенники привязывают к ApplePay, но коды/пароли при этом могут быть украдены у пользователя на Андроид.
 
tempur, Поскольку есть несколько пользователей с айфоном, а не с андроидом, то разумно подозревать проблемы с доступом именно в самой Кукурузе. Не похоже, что здесь вирус при делах.
 
Цитата
vvtimofeyev пишет:
Судя по теме, история у всех с ApplePay, то есть ОС у всех будет iOS

А судя по последним постам (версиям) у всех будет наоборот андроид!!
Т.е. увели базу их паролей к приложению, а потом уже привязывали карту к апплпей..

П.с. хотя хранить пароли в явном виде в базе - это феерически тупой косяк ит-разработчиков и СБ...
 
Цитата
Struzhkin пишет:
П.с. хотя хранить пароли в явном виде в базе - это феерически тупой косяк ит-разработчиков и СБ X
Для подтверждения этого должен быть хотя бы один пострадавший с кнопочным телефоном...
 
Цитата
tempur пишет:
vvtimofeyev, это мошенники привязывают к ApplePay, но коды/пароли при этом могут быть украдены у пользователя на Андроид.


У меня никогда не стояло приложение Кукурузы на Андроиде, пользовались картой я и жена, у обоих iOS, прошлые телефоны так же были с iOS.

Возможно, вирус на ПК, но я в интернет-банк Кукурузы, до вчерашний событий, не заходил пару месяцев точно.

У меня 05.05.2019 в 15:57 пришло сообщение, что карта привязана к Apple Pay (как у остальных, без предварительных сообщений с кодом).
05.05.2019 в 15:58 сообщение о операции на 14000 рублей в Теле 2.

По выписке логинов есть вход в интернет-банк 05.05.2019 в 2:47 по-моему с Linux машины (не мой) и по-моему прям перед операцией с MacOS (они iOS тоже MacOSом обозначают).

Точнее сейчас уже не могу посмотреть, заблокировали доступ после блокировки карты (правда вчера работал, мб начали претензию обрабатывать).
 
Цитата
vvtimofeyev пишет:
есть вход в интернет-банк 05.05.2019 в 2:47 по-моему с Linux машины (не мой)

Эт как? smile:o
логин/пароль утекли....
Изменено: камо - 06.05.2019 11:42
 
vvtimofeyev, это меняет дело. В их ЛК есть лог входов? Позже проверю свой.
 
Цитата
tempur пишет:
vvtimofeyev, это меняет дело. В их ЛК есть лог входов? Позже проверю свой X


Да, в интернет-банке есть вкладка "Безопасность", там есть лог.
 
Цитата
vvtimofeyev пишет:
3) Из приложения можно привязать карту к Apple Pay без дополнительного кода авторизации по СМС.

Косяк! Огромный косяк! Даже в альфе, несмотря на то, что можно получить виртуалку за 3 секунды в приложении и тут же привязать ее к apple pay, все равно 100% приходит смс код для подтверждения привязки!
 
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)