Мошенники освоили систему быстрых платежей

24.08.2020  распечатать

ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП) и уже разослал в кредитные организации бюллетень с описанием схемы, сообщает «Коммерсантъ».

По данным издания, при установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенник смог получить доступ к счетам клиентов. 

Газета пишет:

Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка.

Как крадут деньги через QR-коды?

Читать далее…

В итоге, система не проверила, принадлежит ли указанный счет отправителю, и направила в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов.

Обратите внимание

Злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов, а затем перевел с них деньги.

В бюллетене отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API (программного интерфейса приложения) дистанционного банковского обслуживания (ДБО).

В ЦБ изданию подтвердили факт инцидента, но назвать банк отказались, уточнив, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения системы.

Осторожно! Мошенничество через фиктивные опросы

Читать далее…

По словам источника «Коммерсанта» в крупном банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», - пояснил собеседник.


Выбор читателей

Интересное

-->
Бухгалтерия.ru
Подпишитесь на наши рассылки, чтобы первыми быть в курсе всего нового из мира бухучета, получать эксклюзивные издания и полезные подарки.

Loading...