Мошенники научились выводить деньги через Систему быстрых платежей

Мошенники научились выводить деньги через Систему быстрых платежей

Центробанк выявил новый способ кражи денежных средств с банковских счетов россиян с использованием СБП.

Как работает схема

На прошлой неделе ФинЦЕРТ разослал в банковские учреждения бюллетень, в котором описана новая схема мошенничества. Оказалось, что злоумышленники, используя уязвимость в одной из систем банка, получили доступ к данным клиентских счетов. После этого было запущено мобильное банковское приложение, произведена авторизация в качестве реального клиента и направлен запрос на совершение денежного перевода в другое финучреждение.

Перед отправкой денег вместо своего счета отправителя злоумышленник указал номер счета другого клиента данного банка. Система дистанционного банковского обслуживания не проверила, принадлежит ли подмененный счет отправителю, направила в СБП команду на подтверждение перевода средств и осуществила его. Таким способом мошенники могли отправлять себе деньги со счетов других людей.

Номера банковских счетов жертв злоумышленники получили методом перебора, используя уязвимость, связанную с открытым API-интерфейсом системы ДБО.

Банки-участники системы быстрых платежей

Мнение экспертов

В ЦБ подчеркивают, что проблема была обнаружена в программном обеспечении только одного российского банка (в его дистанционных сервисах) и носила краткосрочный характер. После выявления ее быстро устранили. Название финучреждения регулятор не раскрывает, но подчеркивает, что СБП надежно защищена, и данная уязвимость не затрагивала программное обеспечение Системы.

Участники рынка уточняют, что это – первый случай хищения денег с помощью СБП. В одном из крупных банков сообщают, что сама уязвимость является очень специфической, случайно обнаружить ее практически невозможно. О такой проблеме мог знать человек, который хорошо знаком с архитектурой мобильного приложения данного финучреждения. Это может быть лицо внутри банка, а также разработчик или тестировщик программного обеспечения.

По словам экспертов «Лаборатории Касперского», случайное обнаружение такой уязвимости является вполне вероятным. Так, ошибки могут встречаться в любом ПО, ведь эти программы создают люди. Обычно такие недочеты обнаруживаются после жалоб пользователей и расследования инцидента. Сотрудниками «Лаборатории Касперского» время от времени выявляются случаи успешных атак на банковские приложения для мобильных устройств.

К СБП подключаются страховщики и авиаперевозчики

Комментарии: 0

Ваш комментарий (вопрос)

Если у вас есть вопросы по этой статье, вы можете сообщить нам. В нашей команде только опытные эксперты и специалисты с профильным образованием. В данной теме вам постараются помочь:

Пихоцкая Ольга Владимировна
Автор статьи Ольга Пихоцкая
Попович Анна Александровна
Консультант, автор Попович Анна

Ваш комментарий (вопрос):

Ваш адрес email не будет опубликован. Обязательные поля помечены *