Мошенники в России усовершенствовали схему с NFC-клонами карт

Мошенники в России усовершенствовали схему с NFC-клонами карт

Мошенники в России усовершенствовали схему с NFC-клонами карт

В марте специалисты ВТБ выявили новую мошенническую схему, которая активно распространяется среди клиентов банков. Эта схема сочетает в себе элементы социальной инженерии и использование шпионского софта.

Мошенники, представляясь сотрудниками банков, операторов мобильной связи или крупных организаций, звонят потенциальным жертвам и под различными предлогами, чаще всего связанными с обновлением приложений, просят установить на смартфон специальную программу.

На самом деле это шпионское приложение, являющееся модифицированной версией известной программы NFCGate, позволяющей злоумышленникам удаленно управлять устройством и создавать виртуальные копии банковских карт.

Раньше основной программный модуль находился у мошенников, и с его помощью создавался виртуальный клон карты жертвы. Теперь схема изменилась — основной модуль программы устанавливается непосредственно на телефон жертвы.

Далее преступники убеждают человека перевести средства на якобы безопасный счёт. Фактически, когда клиент подносит телефон к банкомату для внесения денег, средства зачисляются не на указанный безопасный счёт, а на NFC-клон карты мошенника. Затем похищенные деньги быстро выводятся через серию переводов на различные счета в других банках.

Опасность новой схемы заключается в сложности её выявления антифрод-системами, так как технически она выглядит как обычная операция по пополнению счёта.

Если ранее банки рекомендовали клиентам никому не передавать коды безопасности, то теперь ключевыми рекомендациями являются отказ от перехода по ссылкам, полученным через СМС, мессенджеры и электронную почту, а также установка приложений исключительно из проверенных источников, таких как официальные сайты компаний или магазины приложений. Важно каждый раз тщательно проверять корректность ссылок, чтобы минимизировать риск стать жертвой фишинга.

Telegram MCP-сервер fast-mcp-telegram пустил атакующих к телеграм-сессии

В fast-mcp-telegram нашли критическую уязвимость под идентификатором CVE-2026-52830: хотели защититься токенами bearer, а в итоге превратили токен в путь к файлу. В результате атакующий может получить доступ к MCP-сессии Telegram по HTTP без валидного закрытого токена.

Fast-mcp-telegram — это MCP-сервер, который подключает телеграм-аккаунты к ИИ-ассистентам и HTTP-клиентам через сессионную модель аутентификации.

В версиях до 0.19.0 включительно проверка токена устроена так: сервер берёт строку из Authorization: Bearer, добавляет к ней .session, склеивает с директорией сессий и проверяет, существует ли такой файл.

Проблема в том, что токен не нормализуется как безопасный идентификатор. Код запрещает некоторые зарезервированные имена, например telegram, но не блокирует слеши, «..», абсолютные пути и другие конструкции.

Вместо закрытого ключа сервер фактически принимает относительный путь в файловой системе. Отличный подарок для атакующего, плохая новость для владельца телеграм-аккаунта.

В типичной конфигурации дефолтная сессия лежит в файле ~/.config/fast-mcp-telegram/telegram.session. Прямой токен telegram отклоняется, но обходной вариант вроде ../fast-mcp-telegram/telegram может схлопнуться файловой системой в тот же самый файл. Если файл существует, сервер принимает такой токен и аутентифицирует атакующего как дефолтный телеграм-аккаунт.

После этого злоумышленник может читать и отправлять сообщения, вызывать MTProto API и использовать доступные инструменты, привязанные к этой сессии. Защита на уровне префиксов инструментов тут уже не спасает: она срабатывает после аутентификации, а дверь к аккаунту к тому моменту уже открыта.

Уязвимость затрагивает fast-mcp-telegram до версии 0.19.0 включительно. В версии 0.19.1 разработчики ужесточили проверку и начали обращаться с bearer-токенами как с непрозрачными идентификаторами, а не как с кусками пути.

Администраторам рекомендуют срочно обновиться, ротировать дефолтные и старые session-файлы, а также проверить логи на подозрительные bearer-значения со слешами и «…».

RSS: Новости на портале Anti-Malware.ru