Эксперты: запуск функции платежей в Telegram вызовет рост мошенничества

Эксперты: запуск функции платежей в Telegram вызовет рост мошенничества

В Telegram теперь можно принимать оплату товаров и услуг банковской картой в любом чате, включая каналы и группы. Специалисты по ИБ, как выяснил «Ъ», обеспокоены тем, что нововведение откроет дополнительные возможности для мошенничества на веб-сервисе.

Платформа для платежей в популярном мессенджере была введена в строй два дня назад. В нее встроены восемь платежных систем, которыми может бесплатно воспользоваться любой пользователь Telegram. Операторы сервиса заверили, что комиссию они брать не будут и хранить платежную информацию не собираются. Ранее оплата в Telegram была возможна только с помощью специальных ботов.

Опрошенные журналистами ИБ-эксперты сошлись во мнении, что запуск новой платформы в Telegram спровоцирует рост мошенничества. В частности, специалисты ожидают массовое создание поддельных торговых площадок в мессенджере, а также учащение случаев захвата существующих точек продаж с целью подмены платежных реквизитов.

Насколько новая платформа защищена от таких угроз, «Ъ» узнать пока не удалось. Проблему усугубляет отсутствие верификации каналов и аккаунтов в Telegram. Мошенники не раз этим пользовались, проводя рассылки от имени известных персон и каналов, — предлагали принять участие в неких бонусных акциях, собирали деньги за размещение рекламы и даже распространяли зловредов под этим предлогом.

При использовании новой формы оплаты в мессенджере эксперты советуют поступать точно так же, как в интернет-магазине: перед совершением сделки нужно обязательно удостовериться в надежности продавца. Следует также учитывать, что встроенные в Telegram платежные API, как и на любом сайте, привязаны к сторонним сервисам, в которых бывают уязвимости. Риски повышаются, если передача данных при этом осуществляется ненадежным способом.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Эксперт обвинил Apple в принижении уязвимости брутфорса пароля iCloud

Исследователь в области кибербезопасности Лаксман Матья обвинил Apple в непорядочном поведении, касающемся уязвимости в функции сброса пароля. Именно Матья выявил брешь, позволяющую получить контроль над аккаунтами iCloud.

По словам самого специалиста, обнаруженная дыра позволяла обойти меры безопасности, которые Apple внедрила для защиты учётных записей пользователей от брутфорса функции «забыл свой пароль».

Когда вы пытаетесь сбросить пароль для iCloud-аккаунта, вас просят подтвердить телефонный номер или адрес электронной почты. Для этого Apple отправит вам шестизначный код, который нужно будет ввести в специальное поле.

Таким образом, злоумышленник, задумавший взломать учётную запись жертвы, должен сначала выведать её телефонный номер или имейл. Потом потребуется как-то угадать отправленный шестизначный код или же подобрать его, на что может уйти около миллиона различных комбинаций.

Чтобы защитить аккаунты пользователей от брутфорса, Apple ограничила число попыток ввода кода. В итоге у владельца учётной записи (или преступника) есть всего пять попыток. Дополнительно купертиновцы ввели лимит на POST-запросы к одному серверу с одного IP-адреса — таких запросов допускается всего шесть.

Тем не менее Лаксман Матья обнаружил, что потенциальный атакующий может отправлять запросы при помощи облачных сервисов. Такой подход уже открывал возможность для брутфорса шестизначного кода.

Исследователь сообщил о проблеме представителям Apple ещё в июле 2020 года, а патч при этом вышел аж в апреле 2021-го. Apple поступила странно, даже не уведомив Матья о выпуске заплатки. Более того, техногигант отметил:

«В зоне риска лишь очень ограниченное число аккаунтов пользователей, поскольку атака сработает лишь в том случае, если пользователь никогда не входил в аккаунт с устройств iPhone, iPad или Mac, защищённых паролем».

Это не убедило Матья, который остался при своём мнении: корпорация просто попыталась скрыть факт наличия критической уязвимости. Также эксперт отказался от передоложенного вознаграждения в размере 18 тысяч долларов, поскольку считает, что ему должны выплатить $100 000 или даже $350 000.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru