Система быстрых платежей (СБП) заработала не так давно, но проблемы безопасности данных при переводах уже дали о себе знать. Мошенники воспользовались уязвимостью мобильного банка одного из участников СБП и вывели деньги со счета клиента. О какой именно кредитной организации идет речь, регулятор не сообщает. ФинЦЕРТ разослал в банки онлайн информацию о новой схеме хищения.
Суть мошеннической схемы с СБП
Уязвимость, которая позволила злоумышленникам похитить денежные средства, связана с открытым API-интерфейсом. С его помощью они узнали данные счетов пользователей. Реквизиты искали перебором, используя не отраженные в документации возможности атакованного программного интерфейса приложения ДБО.
Далее мошенники запускали мобильный банк в режиме отладки и проходили стандартную процедуру авторизации. После в приложении они формировали запрос на перечисление денег в другой банк онлайн. На последнем этапе, используя похищенные данные счетов, они заменяли свои реквизиты на чужие. Сервис дистанционного банковского обслуживания без дополнительной проверки сведений направлял команду на перевод в Систему быстрых платежей. Таким образом, средства списывались не с баланса изначально авторизованного пользователя, а со счета другого клиента кредитной организации. И уходили они на счета аферистов.
Комментарии экспертов
Центробанк не стал отрицать факт мошенничества, но уверил потребителей, что поводов для беспокойства уже нет. По словам регулятора проблема носила краткосрочный характер и была быстро устранена. Какое финучреждение оказалось причиной шумихи, он не сообщил.
Также в ЦБ РФ подчеркнули, что непосредственно Система быстрых платежей снабжена хорошей защитой, и уязвимость никак не касалась ее программного обеспечения. То есть по версии финансистов ошибка была спрятана в ПО конкретного банка.
Представитель крупной финорганизации на российском рынке отметил, что случайно найти эту уязвимость было практически невозможно. Настолько она была специфичной. Доступ к ней мог получить только тот, кто очень хорошо знает архитектуру мобильного приложения конкретной организации. В список подозреваемых попадают сотрудники финучреждения, разработчики и тестировщики ПО.
Но есть в экспертной среде и другое мнение. Представитель «Лаборатории Касперского» отметил, что обнаружить подобную проблему можно и случайно. Программы создают люди, а они могут допускать ошибки. Часто недочеты в работе приложения обнаруживаются после жалоб пользователей и расследования происшествий. И мобильные банки — не исключение. Но ни одна из крупных финансовых организаций не подтвердила случаи состоявшегося взлома их приложений.
Еще новости по теме:
Комиссия за переводы через СБП в Альфа-Банке.
Подключение Сбербанка к Системе быстрых платежей.
moneyzz.ruВчера с моего счета в банке ВТБ при помощи СПБ мошенники перевели деньги. При обращении в банк сотрудники только развели руками, сказав, что "к сожалению такое бывает" . Какую либо информацию об операции предоставить отказались, никакой помощи!!!
Комментарии