ЦБ впервые выявил хищение средств с помощью Системы быстрых платежей


Финансы >> 24.08.2020
ЦБ впервые выявил хищение средств с помощью Системы быстрых платежей

ФинЦЕРТ уже разослал банкам информацию с описанием нового вида мошенничества. Неизвестный мошенник получил информацию о счетах клиентов, использовав уязвимость в системе ДБО одного из банков. Затем он авторизовался в мобильном приложении в качестве реального клиента, подал запрос на перевод в другой банк и в данных об отправителе вместо своего счета указал счет другого клиента. Система ДБО, не проверяя корректность информации, подала в СБП команду на перечисление. Так мошенники смогли перевести себе средства с чужих счетов. Это стало прецедентом хищения с помощью СБП.

В бюллетене эксперты ФинЦЕРТ отмечают, что мошенники воспользовались недокументированной возможностью софта системы ДБО. Представитель ЦБ заверил, что проблема вызвана недостатками программного обеспечения конкретного банка, и она уже устранена. При этом СБП остается надежно защищенной.

По неофициальным данным, уязвимость оказалась специфической, выявить ее случайно почти невозможно, то есть мошенники должны были хорошо знать архитектуру мобильного приложения конкретного банка. Случаи хищений средств, в которых принимали участие люди, знакомые с тестировщиками или разработчиками ПО, хорошо известны. Поэтому любой крупный банк стремится обеспечить внешнюю разработку. В целях минимизации рисков весь функционал приложений тестируется независимыми командами.






245da96e3aff69d4