В Центробанке обнаружили новый способ хищения денег со счетов клиентов банков. Особенностью метода является то, что злоумышленники используют систему быстрых платежей. Ранее случаев мошенничества с СБП не было зафиксировано. Эксперты по кибербезопасности выявили, что при инсталляции в мобильном банке возможности проведения перевода через СБП одной из кредитных компаний (название не разглашается) имеется уязвимость. Она связана с открытым API-интерфейсом. Именно через нее злоумышленники умело похищают деньги со счета. Сейчас эксперты по кибербезопасности уже решили проблему. Они уверенно заявляют, что в будущем подобных инцидентов не будет.
Схема мошенничества
Хакеры работали по сложной схеме. Сначала они выявили уязвимость в банковской системе для похищения данных счета клиентов. Они запустили приложение для мобильного телефона в режиме отладки. При этом они предварительно авторизовались в качестве настоящего клиента кредитной компании. Затем они отправляли официальный запрос на перевод денежных средств в другую финансовую компанию. И именно здесь кроется главный секрет мошенничества. Перед осуществлением перевода вместе своего счета отправителя злоумышленник указали номер счета другого клиента в этом же финансовом учреждении.
Налицо ошибка при дистанционном банковском обслуживании. Дело в том, что представители кредитной компании не проверили, принадлежит ли счет отправителю. Они отправили команду в систему быстрых платежей на перевод денежных средств. Получается, что злоумышленники при помощи такой схемы могут перечислять себе деньги с других счетов.
Известно, что банки уже получили бюллетени, где подробно описывается данная схема мошенничества. Задача Центробанка – пресечь подобные преступные действия в будущем. До нынешнего августа никаких проблем с СБП не было.
«Мы выявили проблему в ПО одного из российских банков. Речь идет о приложении на мобильный телефон и дистанционном банковском обслуживании. Сразу скажем, что проблема носила краткосрочный характер. Она уже устранена. Название банка мы не можем раскрыть. Но при этом отметим, что уязвимости в самой СБП нет. Она надежно защищена. Злоумышленники использовали уязвимость в системе безопасности конкретной кредитной компании, внедрившей систему быстрых платежей», — рассказали в Центробанке.
