Система быстрых платежей (СБП) могла оказаться системой хитрых платежей — мошенники нашли способ хищения средств со счетов клиентов в банке с использованием СБП. Это было выяснено специалистами Банка России, и на минувшей неделе в коммерческие банки был разослан бюллетень с описанием новой схемы мошенничества.
Как сообщил «Коммерсант», был получен доступ к клиентским счетам одной из кредитных организаций, поскольку при установке в мобильном банке этой организации системы переводов по СБП «была допущена уязвимость, связанная с открытым API-интерфейсом». Через этот канал мошенники получили данные счетов клиентов. Далее они запустили мобильное приложение в режиме отладки и, авторизовавшись как реальный клиент, отправили запрос на перевод средств в другой банк. Но перед совершением перевода вместо своего счета отправителя средств указали номер счета другого клиента этого банка. А Система быстрых платежей выполнила команду на перевод средств без дополнительной проверки.
Как утверждают участники рынка, это первый случай хищения средств с помощью СБП. В Банке России подтвердили факт инцидента. Название банка не было раскрыто, но в ЦБ РФ подчеркнули, что сама СБП надежно защищена, и уязвимость не касается программного обеспечения (ПО) системы. Но, как отметили специалисты, «уязвимость» оказалась настолько специфической, что обнаружить ее случайно было практически невозможно. Зато о ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал.
Обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов. Ведь в любом банке есть многоуровневые системы тестирования с высокими выплатами для обнаружившего любой риск безопасности. После чего банковская система принимает необходимые меры для ликвидации выявленной «бреши».
Источник: https://rg.ru/