Как работает схема
На прошлой неделе ФинЦЕРТ разослал в банковские учреждения бюллетень, в котором описана новая схема мошенничества. Оказалось, что злоумышленники, используя уязвимость в одной из систем банка, получили доступ к данным клиентских счетов. После этого было запущено мобильное банковское приложение, произведена авторизация в качестве реального клиента и направлен запрос на совершение денежного перевода в другое финучреждение.
Перед отправкой денег вместо своего счета отправителя злоумышленник указал номер счета другого клиента данного банка. Система дистанционного банковского обслуживания не проверила, принадлежит ли подмененный счет отправителю, направила в СБП команду на подтверждение перевода средств и осуществила его. Таким способом мошенники могли отправлять себе деньги со счетов других людей.
Номера банковских счетов жертв злоумышленники получили методом перебора, используя уязвимость, связанную с открытым API-интерфейсом системы ДБО.
Банки-участники системы быстрых платежей →
Мнение экспертов
В ЦБ подчеркивают, что проблема была обнаружена в программном обеспечении только одного российского банка (в его дистанционных сервисах) и носила краткосрочный характер. После выявления ее быстро устранили. Название финучреждения регулятор не раскрывает, но подчеркивает, что СБП надежно защищена, и данная уязвимость не затрагивала программное обеспечение Системы.
Участники рынка уточняют, что это – первый случай хищения денег с помощью СБП. В одном из крупных банков сообщают, что сама уязвимость является очень специфической, случайно обнаружить ее практически невозможно. О такой проблеме мог знать человек, который хорошо знаком с архитектурой мобильного приложения данного финучреждения. Это может быть лицо внутри банка, а также разработчик или тестировщик программного обеспечения.
По словам экспертов «Лаборатории Касперского», случайное обнаружение такой уязвимости является вполне вероятным. Так, ошибки могут встречаться в любом ПО, ведь эти программы создают люди. Обычно такие недочеты обнаруживаются после жалоб пользователей и расследования инцидента. Сотрудниками «Лаборатории Касперского» время от времени выявляются случаи успешных атак на банковские приложения для мобильных устройств.
К СБП подключаются страховщики и авиаперевозчики →
Комментарии: 0