Apple Pay es utilizado por los hackers para robar a las tarjetas de los usuarios
Los hackers obtuvieron acceso a Apple Pay para llevar a cabo actividades fraudulentas utilizando los nombres de usuario y las contraseñas de la banca móvil e Internet de los usuarios de este servicio.
Usaron tarjetas Kykyryza (corn) para robar dinero de las cuentas bancarias de los usuarios. Las tarjetas corn son tarjetas Mastercards prepago, emitidas por Svyaznoy/Euroset.
Son utilizadas por muchos usuarios en Rusia para hacer pagos y transferir dinero. Fabricado por NovaCard, esta tarjeta proporciona a los clientes puntos de bonificación cuando se utilizan para realizar compras. Como resultado, atrae la actividad en línea.
Las víctimas del fraude notaron que poco después de conectar su tarjeta a Apple Pay, recibieron un mensaje de texto confirmando la conexión. Mientras tanto, los hackers retiraron fondos a un número de Tele2.
Los hackers intentaron iniciar sesión en Apple Pay con las credenciales obtenidas de un servicio social. Los usuarios que usaron las mismas credenciales para sus cuentas bancarias en línea descubrieron que faltaba dinero en sus cuentas poco después.
El ataque afectó a 83 tarjetahabientes con un total de 2 millones de rublos (alrededor de $ 30,000 dólares) robados. Si existieran controles de autenticación como la autenticación del dispositivo (también conocida como autenticación de punto final), se minimizaría el riesgo de que esto suceda.
La autenticación de dispositivos se está volviendo más popular como un mecanismo de seguridad por parte de las organizaciones que autentican a sus usuarios.
Los usuarios alertaron a Bank.ru del fraude enviando quejas el 2 de mayo. Euroset señaló además que el nivel de intentos fallidos de contraseña en las cuentas de Corn aumentó dramáticamente a partir del 1 de mayo, esto indica cuándo comenzaron los ataques.
La respuesta de Euroset a los ataques
Desde entonces, Euroset ha resuelto el problema y los titulares de tarjetas afectados han recibido su dinero de vuelta. Señaló además que desde entonces se implementaron nuevos controles para evitar que se produzcan nuevos incidentes.
Las acciones tomadas incluyen la aceleración de los procedimientos de monitoreo, el restablecimiento de las contraseñas de los clientes y la adición de autenticación de dos factores para las conexiones de Apple Pay.
Esto ocurre en un momento en que hay un aumento en el uso de Apple Pay para actividades fraudulentas. La asistente de la abogada de Estados Unidos Marie Dalton mencionó a Forbes en marzo que las razones de esto incluyen la posibilidad de usar Apple Pay y comprar productos debido a los débiles procedimientos de autorización.
Los bancos deben hacer más para garantizar que exista seguridad para conectar las tarjetas bancarias con Apple Pay.