Осторожно! Новая схема хищений у юрлиц

ЦБ разослал банкам предупреждение о новой мошеннической схеме, выяснил «Коммерсантъ». С помощью этой схемы злоумышленники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО).

Атака была направлена на счета юрлиц, но никто не пострадал. Ее совершил авторизованный клиент банка путем подмены номера счета отправителя. Эксперты считают, что если уязвимости обнаружатся в стандартном программном обеспечении, которое поставляется как «коробочное решение», под угрозой могут оказаться клиенты многих российских банков.

В ЦБ отмечают высокий уровень подготовки атак: осведомленность атакующих в технологии ДБО на уровне разработчиков, а также в особенностях обработки платежей банком и в правилах и настройках антифрод-систем.

Мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API (программный интерфейс приложения) ДБО.

В документе поясняется:

Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле "Номер счета отправителя" счет жертвы.

Номера счетов жертв мошенники узнавали из открытых источников.

В Банке России отмечают участившиеся атаки на системы ДБО банков и в первую очередь на мобильные приложения.

В документе говорится:

Ввиду высокой вероятности повторения попыток реализации злоумышленниками таких сценариев атак мы ожидаем, что получатели бюллетеня проведут дополнительный контроль и соответствующие проверки применяемых систем ДБО.

Регулятор рекомендует банкам вместе с поставщиками программного обеспечения провести проверку сервисов ДБО на уязвимости.

В случае их выявления до момента устранения производителем следует обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учетной записи клиента, советует ЦБ.

Летом прошлого года регулятор описывал схожее мошенничество с подменой данных отправителя, но речь шла об атаке на счета физлиц, и вывод средств осуществлялся через СБП — систему быстрых платежей. В нынешнем случае потери могут быть гораздо серьезнее, поскольку лимиты на перевод средств юрлиц существенно выше, чем на переводы в СБП, да и суммы, находящиеся на счетах юрлиц, как правило, намного больше.