Последние несколько дней оказались богатыми на тревожные новости для всех, кто так или иначе связан с онлайн-платежами.
Российский разработчик автоматизации в сфере торговли «Атол» подвергся масштабной кибератаке, в результате которой произошел сбой в работе сервисов. 31 января перестали работать сайт организации и портал облачных касс для онлайн-торговли.
Помимо этого в профильных Telegram-каналах начала распространяться информация об утечке данных «Атол»: файл содержит 157,1 тыс. строк информации о клиентах и партнерах компании, включая персональные данные (электронные адреса, ФИО и телефоны) из базы организации. Общий объем предположительно похищенной информации — 9 Гб.
Судя по информации из этих файлов, данные были «слиты» 31.01.2023, а сама база актуальна на конец 2022 года.
ООО «Атол» — разработчик профильного оборудования (включая контрольно-кассовую технику) и софта для автоматизации работы сетевого и независимого ритейла, а также сферы услуг (кафе, гостиниц и т. д.) и онлайн-касс. Клиентами «Атол» являются многие крупные компании, среди которых сеть «Аптека Ригла», Burger King и другие.
Сам «Атол» признал, что произошел взлом IT-сервисов, «вследствие которого менее 5% клиентов и партнеров получили спам-сообщения, а ряд сайтов был недоступен». В пресс-службе компании заверили, что злоумышленники не получили доступ к клиентским и партнерским данным.
Чуть позже появилась информация о том, что неизвестные злоумышленники обнародовали данные 1 миллиона пользователей платежного сервиса Best2Pay. Best2Pay — это процессинговый центр, агрегирующий онлайн-платежи для компаний и мобильных приложений, работающих в сферах электронной коммерции и услуг.
Специалисты выяснили, что “утекшие” данные актуальны на 23 января 2023 года.
Более детальный анализ утечки показал, что в ней фигурируют 204 тысячи уникальных банковских карт, выпущенных банками из 102 стран мира. Причем эксперты предполагают, что, возможно, это лишь часть базы, имеющейся в распоряжении взломщиков.
По имеющимся данным, утечка затронула клиентов 185 из 331 российских банков. Хотя база данных не содержит полных номеров карт, киберпреступники могут ее использовать для проведения целенаправленных атак с применением методов социальной инженерии на клиентов банков
Согласно официальному заявлению Best2pay, в декабре 2022 года информационные системы компании подверглись спланированной атаке с использованием скомпрометированного корпоративного аккаунта одного из подрядчиков, работавшего в изолированной тестовой среде. С использованием аккаунта подрядчика была скомпрометирована Тестовая система формирования отчетов.
Представители Best2pay утверждают, что тестовая среда полностью изолирована от основных информационных систем компании, а размещенные в ней данные были подготовлены специально для работы с внешними подрядчиками. Актуальность обнародованных данных относится к периоду с начала 2019 г. по июнь 2021 г. Кроме того, в похищенном массиве отсутствуют полные данные карт (только маска) и иные платежные реквизиты.
Эксперты Kaspersky на этой неделе предупредили о новом вредоносном ПО Prilex, атакующем POS-терминалы для приёма к оплате платёжных карт.
Как правило, при совершении бесконтактных платежей (обычно с помощью NFC-технологий) номер карты при передаче заменяется токеном, в лучшем случае одноразовым. Такие данные бесполезны для злоумышленников, атакующих PoS-терминалы. Как оказалось, Prilex теперь умеет обходить это препятствие: в коде, изученном Kaspersky, реализована логика на основе правил, согласно которым зловред определяет, когда воровать информацию, а когда блокировать транзакцию. В последнем случае плательщику отображается ошибка бесконтактного платежа и предложение воспользоваться картой более традиционным способом — вставив ее в ридер. Вредонос, заточенный под PoS-терминалы, научился также определять ценность банковских карт; его особо интересуют категории вроде Black/Infinite и Corporate с большим лимитом на транзакции. Такие цели более привлекательны для мошенников, чем стандартные кредитки с невысоким балансом.
Доставка Prilex осуществляется с помощью социальной инженерии. Мошенник может установить зловредное ПО на терминал, проникнув в компанию под видом специалиста по обновлению софта, либо навязать жертве AnyDesk, позволяющий заразить устройство удаленно.
Сегодня, 2 февраля, в профильных СМИ появились сообщения о том, что крупнейший даркнет-маркет InTheBox продвигает на российских киберпреступных форумах фишинговые формы для кражи учетных данных и конфиденциальной информации из банковских приложений, криптокошельков и приложений электронной коммерции.
В продаже были обнаружены 1894 веб-инъекции для наложения фишинговых окон поверх легитимных. Накладываемые фишинговые формы, размещённые в предложении InTheBox, совместимы с рядом банковских Android-троянов. Их задача — выдавать себя за легитимный софт. Как правило, мобильные банковские трояны проверяют, какие приложения уже присутствуют на зараженном устройстве, и извлекают из С2-сервера соответствующие веб-инъекции. Когда жертва запускает целевое приложение, вредоносное ПО автоматически загружает поверх него своё окно, имитирующий интерфейс легитимного продукта.
Все эти новости сигнализируют о том, что после атак на платежные сервисы неминуемо последует рост краж средств со счетов пользователей. Всем владельцам платежных карт следует ответственно подходить к совершению транзакций через интернет и выработать у себя хотя бы минимальные навыки для обеспечения онлайн-безопасности, ставшие важными элементами современной финансовой грамотности.
С заботой о вашей безопасности, команда Origin Security
