СБП впервые использовали для хищения денег

Произошёл первый случай хищения средств с помощью системы быстрых платежей (СБП), пишет в понедельник «Коммерсант».

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, специальное структурное подразделение Банка России (ФинЦЕРТ) на прошлой неделе разослал в банки бюллетень с описанием новой схемы хищения. По словам источника издания, злоумышленник через уязвимость в пользовательском приложении одного из банков (единственного, утверждают в ЦБ) получил данные счётов клиентов. Затем он запустил мобильное приложение в режиме отладки и, авторизовавшись, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счёта отправителя средств указал номер счёта другого клиента этого банка. Система дистанционного банковского обслуживания (ДБО), не проверив, принадлежит ли указанный счёт отправителю, направило в СБП команду на перевод средств, который та и осуществила.

Номера счетов жертв были получены перебором при атаке с использованием недокументированной возможности API (программного интерфейса приложения) системы ДБО.

В ЦБ изданию подтвердили факт инцидента: «Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена». В каком банке это произошло, ЦБ не сообщил.

В Национальной системе платёжных карт (один из разработчиков СБП) также отметили, что в программном коде СБП системы уязвимости не выявлены: «Была обнаружена локальная проблема в программном обеспечении, разработанном для одного конкретного банка».

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: