В ЦБ выявили мошенническую схему вывода денег через Систему быстрых платежей

Специалисты ЦБ выявили новый способ хищения средств с банковских счетов клиентов с помощью Системы быстрых платежей (СБП). Об этом сообщает «Коммерсантъ».

По словам экспертов, при установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. Отмечается, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.

По словам источника издания, знакомого с ситуацией, злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. После этого он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. Уточняется, что номера счетов жертв были получены перебором.

«Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена», – приводит издание комментарий ЦБ.

По словам источника издания в крупном банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно.

«О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», – цитирует издание своего собеседника.

Ранее сообщалось, что эксперты предупредили о кибермошенниках, готовящихся к старту вакцинации от коронавируса.