На прошлой неделе Центр мониторинга и реагирования на компьютерные атаки ЦБ (ФинЦЕРТ) разослал банкам письмо с описанием способа мошенничества через Систему быстрых платежей, пишет Коммерсант. Злоумышленники использовали уязвимость в программном обеспечении одного из банков-участников СБП.
Детали. Через уязвимость в приложении одного из банков (ФинЦЕРТ его не называет) преступник получил данные счетов клиентов. Затем он запустил мобильное приложение этого банка в режиме отладки (режим для поиска и устранения ошибок). Мошенник авторизовался как реальный клиент и отправил запрос на перевод денег в другой банк, однако при этом указал данные не своего счета, а счета другого клиента. Программа, не проверяя, принадлежит ли указанный счет отправителю, направила в СБП запрос на перевод средств, а система его провела.
Номера чужих счетов мошенники получили благодаря уязвимости в дистанционном банковском приложении. Как заявил Коммерсанту источник в крупном банке, такую уязвимость обнаружить человеку со стороны почти невозможно. Но о ней могли знать разработчики программного обеспечения, тестировщики или некоторые сотрудники в самом банке.
Участники рынка рассказали изданию, что это первый случай хищения средств с помощью СБП.
Что говорит ЦБ. Представитель ЦБ заявил Коммерсанту, что уязвимость в мобильном приложении одного из банков, которой воспользовались мошенники, уже устранена. При этом уязвимостей в самой СБП нет, сообщили изданию в ЦБ и НСПК.
Контекст. ЦБ в прошлом году предупреждал банки о мошенниках, использующих СБП. Злоумышленники, зная номер мобильного телефона, могли узнать имя, отчество и первую букву фамилии клиента, а также получить информацию о том, в каком банке у него есть счета. Эти данные не дают мошенникам доступа к деньгам клиента, однако злоумышленники могут их использовать для того, чтобы позвонить потенциальной жертве под видом сотрудника банка, в котором человек хранит деньги, усыпить его бдительность и выведать код из СМС, чтобы списать деньги со счета клиента.
Лаборатория Касперского ранее изучила самые распространенные способы телефонного мошенничества. По данным компании, во время эпидемии COVID-19 количество звонков от финансовых мошенников выросло на 30%. Обычно звонящие сообщают клиентам о подозрительном платеже с банковской карты. Чтобы остановить транзакцию или разблокировать карту мошенники просят клиента назвать код из СМС, однако на самом деле клиент не останавливает транзакцию, а подтверждает ее.
Средняя сумма краж, по данным Лаборатории Касперского, составила 5 тысяч рублей.
Зачем вам об этом знать. Мошенники впервые смогли воспользоваться СБП для кражи средств клиентов. Банкам придется усилить меры безопасности при разработке своих мобильных приложений, чтобы не допустить подобных случаев.
Во времена финансовых кризисов банкирам важно оставаться в курсе текущих новостей. Подпишись на наш телеграм – канал Frank RG (https://t.me/frank_media) чтобы оперативно получать данные о ситуации в банках и экономике. Не пропусти, когда начнется!
