Мошенники научились выводить деньги через Систему быстрых платежей

Наша команда стремится помочь вам принимать более взвешенные финансовые решения. Мы придерживаемся строгой редакционной политики. Данная статья может содержать ссылки на финансовые продукты наших партнеров. Мы открыто говорим о том, как мы зарабатываем деньги.

Центробанк выявил новый способ кражи денежных средств с банковских счетов россиян с использованием СБП.

Как работает схема

На прошлой неделе ФинЦЕРТ разослал в банковские учреждения бюллетень, в котором описана новая схема мошенничества. Оказалось, что злоумышленники, используя уязвимость в одной из систем банка, получили доступ к данным клиентских счетов. После этого было запущено мобильное банковское приложение, произведена авторизация в качестве реального клиента и направлен запрос на совершение денежного перевода в другое финучреждение.

Перед отправкой денег вместо своего счета отправителя злоумышленник указал номер счета другого клиента данного банка. Система дистанционного банковского обслуживания не проверила, принадлежит ли подмененный счет отправителю, направила в СБП команду на подтверждение перевода средств и осуществила его. Таким способом мошенники могли отправлять себе деньги со счетов других людей.

Номера банковских счетов жертв злоумышленники получили методом перебора, используя уязвимость, связанную с открытым API-интерфейсом системы ДБО.

Банки-участники системы быстрых платежей

Мнение экспертов

В ЦБ подчеркивают, что проблема была обнаружена в программном обеспечении только одного российского банка (в его дистанционных сервисах) и носила краткосрочный характер. После выявления ее быстро устранили. Название финучреждения регулятор не раскрывает, но подчеркивает, что СБП надежно защищена, и данная уязвимость не затрагивала программное обеспечение Системы.

Участники рынка уточняют, что это – первый случай хищения денег с помощью СБП. В одном из крупных банков сообщают, что сама уязвимость является очень специфической, случайно обнаружить ее практически невозможно. О такой проблеме мог знать человек, который хорошо знаком с архитектурой мобильного приложения данного финучреждения. Это может быть лицо внутри банка, а также разработчик или тестировщик программного обеспечения.

По словам экспертов «Лаборатории Касперского», случайное обнаружение такой уязвимости является вполне вероятным. Так, ошибки могут встречаться в любом ПО, ведь эти программы создают люди. Обычно такие недочеты обнаруживаются после жалоб пользователей и расследования инцидента. Сотрудниками «Лаборатории Касперского» время от времени выявляются случаи успешных атак на банковские приложения для мобильных устройств.

К СБП подключаются страховщики и авиаперевозчики

Комментарии: 0

Ваш комментарий (вопрос)

Если у вас есть вопросы по этой статье, вы можете сообщить нам. В нашей команде только опытные эксперты и специалисты с профильным образованием. В данной теме вам постараются помочь:

Пихоцкая Ольга Владимировна
Автор статьи Ольга Пихоцкая
Попович Анна Александровна
Консультант, автор Попович Анна

Ваш комментарий (вопрос):

Ваш адрес email не будет опубликован.

Я принимаю условия обработки персональных данных, указанных в Политике конфиденциальности