24 августа 202012:57
ЦБ обнаружил новый способ хищения денег с банковских счетов россиян через Систему быстрых платежей
УрБК, Москва, 24.08.2020. Центробанк РФ выявил новый способ хищения денежных средств с банковских счетов россиян с помощью Системы быстрых платежей (СБП).
Как сообщает «Коммерсантъ», при установке в мобильном банке одного из российских банков возможности переводов по СБП разработчики не учли одну уязвимость, которая связана с открытым API-интерфейсом.
Именно через эту «уязвимость» злоумышленники подменили счета отправителя и перечислили себе деньги с чужих банковских счетов.
«Злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов», — уточняет издание.
По словам экспертов, это первый случай использования мошенниками СБП в схеме успешной хакерской атаки на банк. В связи с этим на прошлой неделе регулятор уже разослал в кредитно-финансовые организации информационное письмо с описанием новой схемы хищения.
Ранее уральские банкиры заявляли о том, что в будущем Система быстрых платежей, созданная Банком России, позволит отказаться от использования платежной инфраструктуры пластиковых систем, таких как VISA или MasterCard, достаточно будет лишь иметь текущий банковский счет.
Как сообщает «Коммерсантъ», при установке в мобильном банке одного из российских банков возможности переводов по СБП разработчики не учли одну уязвимость, которая связана с открытым API-интерфейсом.
Именно через эту «уязвимость» злоумышленники подменили счета отправителя и перечислили себе деньги с чужих банковских счетов.
«Злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов», — уточняет издание.
По словам экспертов, это первый случай использования мошенниками СБП в схеме успешной хакерской атаки на банк. В связи с этим на прошлой неделе регулятор уже разослал в кредитно-финансовые организации информационное письмо с описанием новой схемы хищения.
Ранее уральские банкиры заявляли о том, что в будущем Система быстрых платежей, созданная Банком России, позволит отказаться от использования платежной инфраструктуры пластиковых систем, таких как VISA или MasterCard, достаточно будет лишь иметь текущий банковский счет.