Выявлен способ хищения денег через Систему быстрых платежей

Специалисты Центробанка РФ смогли выявить новую схему мошенничества с помощью системы быстрых платежей (СБП). Регулятор уже выслал в коммерческие банки бюллетень с описанием нового способа кражи денег у клиентов кредитных организаций. Об этом пишет издание «Коммерсантъ».

Эксперты ЦБ раскрыли и схему действий мошенников. Злоумышленникам удалось получить доступ к клиентским счетам одной из кредитных организаций. Сделать это им удалось с помощью установки СБП в мобильном банке самой организации. В результате была открыта уязвимость, имеющая связь с API-интерфейсом. Именно через нее мошенники и получили данные счетов клиентов.

После этого они запустили мобильное приложение банка в режиме отладки и авторизировались там как реальный клиент, отправив запрос на денежный перевод в другой банк. Однако прежде чем сделать перевод, мошенники указали номер счет другого клиента того же банка. В результате система выполнила команду без дополнительной проверки.

По словам участников финансового банковского рынка, это первый в своем роде случай хищение денег с помощью СБП. Факт инцидента подтвердили в Банке России. Тем не менее, названия кредитной организации, которую атаковали злоумышленники, не раскрывается. Однако отмечается, что сама система была надежно защищена, а выявленная хакерами уязвимость не касалась программного обеспечения.

Обнаружить такую «брешь» случайно практически невозможно. Иметь сведения о такой уязвимости мог лишь тот, кто знаком с архитектурой мобильного банка этой кредитной организации. Соответственно, напрашивается вывод, что мошенником мог оказаться разработчик ПО или же тот, кто его тестировал.

Ранее LIVE24 сообщало о сбое мобильного приложения «Сбербанка». Пользователи подали около 900 жалоб на некорректную работу программы.