В ЦБ рассказали о схеме хищения денег с использованием Системы быстрых платежей

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) ЦБ РФ на минувшей неделе разослал в банки бюллетень с описанием новой схемы хищения средств клиентов с использование Системы быстрых платежей (СБП). Участники рынка утверждают, что это первый случай хищения средств с помощью СБП.

Как пишет «Коммерсант» со ссылкой на источник, знакомый с ситуацией, злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. Приложение, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Таким способом мошенники отправляли себе деньги с чужих счетов.

В сообщении FinCERT уточнялось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API (программного интерфейса приложения) дистанционного банковского обслуживания (ДБО).

«Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена», — заявил в Центробанке, не назвав конкретный банк. При этом в ЦБ подчеркнули, что уязвимость не касалась программного обеспечения СБП.

Источник издания в крупном банке назвал уязвимость настолько специфической, что обнаружить ее случайно было практически невозможно. «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — считает он. «Уязвимости могут встретиться в любом ПО, ведь программы, в том числе приложения для интернет-банкинга, пишут люди, которые могут ошибаться. Обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов», — отметил ведущий эксперт «Лаборатории Касперского» Сергей Голованов, добавив, что в антивирусной компании периодически отмечают случаи успешных атак на мобильные банки кредитных организаций. В то же время ни в одном из банков, опрошенных изданий не подтвердили случаи успешного взлома мобильных приложений.Замглавы департамента розничных клиентских решений и цифрового бизнеса «Росбанка» Павел Меньшиков рассказал, что мошеннические схемы с участием людей, сотрудничавших с разработчиками или тестировщиками ПО, хорошо известны. «Для минимизации рисков проводится тестирование на всех этапах разработки, в том числе и регресс всего функционала независимой командой», — сообщил он.

В свою очередь директор департамента Digital банка «Открытие» Александр Пятигорский отметил, что API по своей сути это только формат взаимодействия сторон (банков и СБП). «Риски в таком взаимодействии лежат на уровне надежности каждого элемента взаимодействия. У нас в банке выстроена многоуровневая система тестирования, один из которых — тестирование со стороны внешнего бета-сообщества, в котором установлены крайне высокие выплаты для обнаружившего любой риск безопасности», — рассказал Пятигорский.

Источник: newsru.com

Понравилась статья? Поделиться с друзьями:
Добавить комментарий