Специалисты выявили новый способ хищения средств со счетов клиентов банков через Систему быстрых платежей (СБП), пишет "Коммерсант" со ссылкой на бюллетень подразделения Банка России.
Эксперты выяснили, что при подключении функции переводов по СБП в мобильном банке одной из кредитных организаций была оставлена уязвимость. Мошенники смогли воспользоваться этой ошибкой и получить данные счетов клиентов. Так как система не проверяет принадлежность счета, она списала деньги и перевела их мошенникам.
По словам участников рынка, это первый случай хищения средств с помощью СБП. Как пояснили изданию источники в банковских кругах, об уязвимости мог знать только кто-то, хорошо знакомый с архитектурой приложения: сотрудник или разработчик.
В Центробанке отметили, что проблему обнаружили в мобильном приложении только одной кредитной организации и оперативно устранили. В программном обеспечении самой системы бреши не нашли.
Система быстрых платежей Центробанка позволяет переводить деньги по номеру телефона, а также оплачивать товары и услуги посредством QR-кода. С мая 2020 года россияне могут бесплатно переводить в рамках системы до 100 тысяч рублей в месяц.
В эфире радио Sputnik президент консорциума Инфорус, эксперт в области информационной безопасности Андрей Масалович прокомментировал инцидент.
«
"В самой СБП на моей памяти уже дважды находили уязвимости, одна из них была связана с возможностью простого перебора номеров пользователей, но все это быстро устраняли. Сейчас ситуация несколько сложней, поскольку используется хитрая схема, которая касается одного конкретного банка", – сказал он.
Эксперт описал суть мошеннической схемы.
«
"В банке при установке подключения системы мобильных платежей оставили интерфейс подключения для разработчиков. Люди, которые с этим были знакомы, подключили мобильное приложение, вошли в режиме отладки как бы в СБП, предварительно узнали номера счетов в этом банке, зарегистрировались и от имени клиента отправили платеж в другой банк, но в качестве счета для списания указали чужой счет в этом банке. Оказалось, что система не проверила, что залогиненный клиент может вместо своего счета отправить деньги с чужого. То есть конкретно у этого банка появилась вот такая "дырка"", – отметил Андрей Масалович.
Теперь каждый банк должен проверить, нет ли такой у них такой проблемы, добавил эксперт.
«
"Для того чтобы воспользоваться этой уязвимостью, нужно, чтобы был под рукой грамотный разработчик либо человек, знакомый с архитектурой системы, либо человек, который ее устанавливал в банке. Сейчас все участники говорят, что в целом дырок в безопасности системы нет", – подчеркнул Андрей Масалович.
Он рассказал, как действовать клиенту банка, если обнаружатся подобные списания с его счетов.
«
"Если вы видите, что это произошло с вами, то вы можете написать заявление в банк, чтобы служба безопасности с этим разбиралась, а потом идти в суд. В данном случае у клиента банка есть преимущество. Если бы у вас украли пароль или смс перехватили, то было бы хуже – вы не смогли бы доказать, что это не вы пользовались. А в данном случае кто-то другой снял деньги со счета, поэтому банк их вернет", – заключил Андрей Масалович.
В отпуск с кешбэком. Как получить у государства деньги на отдых? Инструкция – в нашем Телеграм-канале.