Найден новый способ хищения средств через систему быстрых платежей

Банк России выявил новый способ хищения средств со счетов клиентов банков с использованием Системы быстрых платежей (СБП). В одном из банков при переводе средств в мобильном приложении по такой системе остановили связанную с открытым API-интерфейсом уязвимость, через которую мошенники смогли подменить счета отправителя. Это первый случай успешной хакерской атаки через СБП, сообщает «Коммерсантъ».

«ФинЦЕРТ» разослал в банки бюллетень с описанием новой схемы хищения на прошлой неделе. Злоумышленник получил данные счетов клиентов и в режиме отладки запустил мобильное приложение. Авторизовавшись как реальный клиент, он отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета он указал номер счета другого клиента этого банка. ДБО не проверило, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств. Так мошенники отправляли себе деньги с чужих счетов.

В ЦБ заявили, что проблему удалось оперативно устранить и подчеркнули, что сама система СБП надежно защищена и уязвимость не касается системного программного обеспечения: «Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер».

Напомним, в России предлагали запретить оформлять кредиты через мобильные приложения.