Банк России выявил новый способ хищения денег со счетов граждан в банках

Банк России выявил новый способ хищения средств со счетов клиентов в банках с использованием Системы быстрых платежей (СБП). Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.

При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники могли подменять счета отправителя и отправлять себе деньги с чужих счетов, пишет Коммерсант.

«По имеющимся данным, злоумышленник получил данные учетной записи клиента через уязвимость в банковской системе, а затем запустил мобильное приложение банка в режиме отладки. Далее он вошел в систему как настоящий клиент, отправил запрос на перевод денег в другой банк. Однако перед переводом преступник ввел другой номер счета. Система дистанционного банковского обслуживания, не проверяя принадлежность указанного аккаунта отправителю, отправила команду Системе быстрых платежей на перевод средств, которая и осуществила перевод», — рассказал глава представительства Avast в России и СНГ Алексей Федоров.

По словам экспертов, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно.

Впрочем, в «Лаборатории Касперского» заявили, что случайное обнаружение даже такой уязвимости было вполне вероятным. В компании периодически отмечают случаи успешных атак на мобильные банки кредитных организаций.

Само по себе использование Системы быстрых платежей (СБП) безопасно, однако проблемы могут оказаться в приложениях отдельных банков, рассказал «Известиям» руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин.

Хищение средств через СБП было зафиксировано только в одном банке и через определенную уязвимость, такой вид мошенничества не станет массовым и не отразится на популярности СБП, к тому же в целом российские финансовые организации хорошо защищены и смогут обезопасить своих клиентов, считают опрошенные РИА Новости эксперты.

«Вполне возможно, что при создании приложения кто-то из разработчиков создал возможность скрытого удаленного доступа к программе. Через этот бэкдор злоумышленники смогли организовать успешную атаку и списать деньги со счетов. Скорее всего, теперь подключенные к СБП банки проведут тщательную проверку своих приложений», — отметил руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.

Созданная ЦБ РФ Система быстрых платежей работает с января 2019 года, с ее помощью россияне могут переводить друг другу деньги по номеру телефона.

Удобный расчет свопов, комиссий, маржи и много другого? Да! Калькуляторы трейдера тут.

Аналитика FxTeam в Telegram – читайте новости и аналитику первыми!