Экономика и Бизнес

ЦБ предупредил граждан России об атаках кибермошенников на приложения банков

Центробанк предупредил кредитные организации о возросшем числе хакерских атак.

ЦБ предупредил граждан России об атаках кибермошенников на приложения банков
Фото: © Pixabay.com
Москва, 15 фев 2021 - LIVE24. Мошенники теперь применяют приемы, отработанные на физических лицах, к компаниям. В Центробанке заявили, что кредитным организациям уже сообщили о новом типе атаки на счета юридических лиц через мобильное приложение. Также банкам посоветовали проверить системы дистанционного обслуживания. Если уязвимости обнаружатся в стандартном ПО, которое поставляется как «коробочное решение», под угрозой могут оказаться клиенты многих финансовых компаний, заявили опрошенные газетой «Коммерсантъ» эксперты.

В конце прошлой недели ЦБ разослал кредитным организациям предупреждение о схеме, с помощью которой злоумышленники похищали средства со счетов юридических лиц, используя для этого систему дистанционного банковского обслуживания (ДБО). Делал это авторизованный клиент банка путем подмены номера счета отправителя. В Центробанке заявили о высоком уровне подготовки атак: осведомленность атакующих в технологии ДБО на уровне разработчиков, а также в особенностях обработки платежей банком, в правилах и настройках антифрод-систем.

Мошенники заходили в мобильное приложение банка под настоящим логином, переводили его в режим отладки, а затем изучили порядок и структуру вызовов API дистанционного банковского обслуживания. Если злоумышленники будут знать все необходимые им параметры API-запросов, то смогут сформировать распоряжение на перевод денег, указывая в поле «Номер счета отправителя» счет жертвы.

ЦБ рекомендовал кредитным организациям и поставщикам ПО провести проверку сервисов ДБО на уязвимости. Если таковые будут выявлены до момента устранения производителем, нужно обеспечить добавление проверок принадлежности счетов, которые используются в банковских операциях.

Такая схема всегда использовалась для хищения средств у физлиц, а не корпоративных клиентов, и как раз в этом ее новизна. Чтобы эффективно противодействовать мошенникам, банкам придется, в частности, при каждой трансакции сверять расчетный счета клиента с его учетной записью, пояснил глава службы информационной безопасности ГК «Элекснет» Иван Шубин.

Генеральный директор SafeTech Денис Калемберг в свою очередь отметил, что атака стала возможна в результате «нарушений принципов проектирования логики приложения», что в свою очередь сделало бесполезными все остальные средства защиты.

Ранее Центробанк принял решение сохранить ключевую ставку на уровне 4,25% годовых. По словам финансистов, такое решение регулятора может повлечь за собой определенные последствия. В частности, ЦБ утверждает, что на фоне повышенной инфляции смягчать денежно-кредитную политику опасно.
Лента новостей