Первые проблемы с переводами в СБП: мошенники украли деньги через приложение одного из банков-участников

Система быстрых платежей (СБП) заработала не так давно, но проблемы безопасности данных при переводах уже дали о себе знать. Мошенники воспользовались уязвимостью мобильного банка одного из участников СБП и вывели деньги со счета клиента. О какой именно кредитной организации идет речь, регулятор не сообщает. ФинЦЕРТ разослал в банки онлайн информацию о новой схеме хищения.

мошенничество в сбп

Суть мошеннической схемы с СБП

Уязвимость, которая позволила злоумышленникам похитить денежные средства, связана с открытым API-интерфейсом. С его помощью они узнали данные счетов пользователей. Реквизиты искали перебором, используя не отраженные в документации возможности атакованного программного интерфейса приложения ДБО.

Далее мошенники запускали мобильный банк в режиме отладки и проходили стандартную процедуру авторизации. После в приложении они формировали запрос на перечисление денег в другой банк онлайн. На последнем этапе, используя похищенные данные счетов, они заменяли свои реквизиты на чужие. Сервис дистанционного банковского обслуживания без дополнительной проверки сведений направлял команду на перевод в Систему быстрых платежей. Таким образом, средства списывались не с баланса изначально авторизованного пользователя, а со счета другого клиента кредитной организации. И уходили они на счета аферистов.

Комментарии экспертов

Центробанк не стал отрицать факт мошенничества, но уверил потребителей, что поводов для беспокойства уже нет. По словам регулятора проблема носила краткосрочный характер и была быстро устранена. Какое финучреждение оказалось причиной шумихи, он не сообщил.

Также в ЦБ РФ подчеркнули, что непосредственно Система быстрых платежей снабжена хорошей защитой, и уязвимость никак не касалась ее программного обеспечения. То есть по версии финансистов ошибка была спрятана в ПО конкретного банка.

система быстрых переводов

Представитель крупной финорганизации на российском рынке отметил, что случайно найти эту уязвимость было практически невозможно. Настолько она была специфичной. Доступ к ней мог получить только тот, кто очень хорошо знает архитектуру мобильного приложения конкретной организации. В список подозреваемых попадают сотрудники финучреждения, разработчики и тестировщики ПО.

Но есть в экспертной среде и другое мнение. Представитель «Лаборатории Касперского» отметил, что обнаружить подобную проблему можно и случайно. Программы создают люди, а они могут допускать ошибки. Часто недочеты в работе приложения обнаруживаются после жалоб пользователей и расследования происшествий. И мобильные банки — не исключение. Но ни одна из крупных финансовых организаций не подтвердила случаи состоявшегося взлома их приложений.

Еще новости по теме:

Комиссия за переводы через СБП в Альфа-Банке.

Подключение Сбербанка к Системе быстрых платежей.

pro-banking.ru
Рубрика: 
Новости банков и экономики

Комментарии

Ограниченный HTML

  • Допустимые HTML-теги: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Строки и абзацы переносятся автоматически.
  • Адреса веб-страниц и email-адреса преобразовываются в ссылки автоматически.