Posted on: 25.08.2020 Posted by: admin Comments: 0

Злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов, а затем перевел с них деньги.

ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП) и уже разослал в кредитные организации бюллетень с описанием схемы, сообщает «Коммерсант».

В этом сюжете

    ЦБ отменил комиссии для банков в Системе быстрых платежей
    1 апреля, 8:58

    ЦБ оштрафовал Сбербанк за неподключение к системе быстрых платежей
    6 ноября, 11:55

    ЦБ отменил комиссию в системе быстрых платежей
    25 февраля, 15:03

По данным издания, при установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенник смог получить доступ к счетам клиентов. «Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка», — пишет газета.

В итоге, система не проверила, принадлежит ли указанный счет отправителю, и направила в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов.

В бюллетене отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API (программного интерфейса приложения) дистанционного банковского обслуживания (ДБО).

В ЦБ изданию подтвердили факт инцидента, но назвать банк отказались, уточнив, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения системы.

По словам источника «Коммерсанта» в крупном банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — пояснил собеседник.

Источник: Право.Ru

Прокомментировать