«Коммерсантъ» узнал о новом виде мошенничества с использованием СБП
Мошенники нашли новый способ выводить деньги со счетов клиентов банков, используя Систему быстрых платежей (СБП), сообщает «Коммерсантъ» со ссылкой на бюллетень подразделения Банка России ФинЦЕРТ, которое занимается мониторингом и реагированием на компьютерные атаки в кредитно-финансовой сфере.
Как сообщает издание, мошенники через брешь в системе одного из банков получили доступ к данным счетов клиентов, после чего запустили мобильное приложение в режиме отладки, авторизуясь как реальные клиенты. После этого они дали команду на перевод денег, но вместо своего счета, с которого должны списываться средства, указали счет другого клиента банка. Система не проверяет принадлежность счета и списывает деньги у другого лица, переводя их мошеннику. Как сообщили участники рынка изданию, это первый случай хищения с помощью СБП.
ФинЦЕРТ также отмечала, что мошенники получили номера счетов клиентов банков, используя метод перебора.
В Центробанке рассказали, что проблема обнаружена в мобильном приложении и системах дистанционного обслуживания одного банка и была краткосрочной. «Она была оперативно устранена», — подчеркнули в ЦБ, не уточнив, о каком банке идет речь. Кроме того, по данным регулятора, сама Система быстрых платежей надежно защищена.
В Национальной системе платежных карт, которая выступает операционным платежным клиринговым центром СБП, подтвердили, что проблема была локальной, а в программном обеспечении самой системы брешей не было найдено.
Как рассказал источник издания в крупном банке, об уязвимости мог знать только тот, кто хорошо знаком с архитектурой приложения этого банка. «То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — предположил собеседник.
Ведущий эксперт «Лаборатории Касперского» Сергей Голованов сообщил, что, как правило, такие уязвимости обнаруживаются после сообщений клиентов и проведения расследования.
В июне 2019 года первый замдиректора департамента информационной безопасности Банка России Артем Сычев заявлял, что в СБП реализован специальный алгоритм, который не дает узнать информацию о клиенте путем перебора номеров. «Он позволяет в случае обнаружения подобных попыток со стороны банка отправителя не доводить эти запросы до банка получателя. Мы видим, что в ряде банковских систем такие переборы делают, но на уровне СБП они блокируются», — говорил эксперт.
Но в ноябре 2019 года ЦБ предупредил банки о возможном использовании мошенниками метода «перебора идентификаторов» в Системе быстрых платежей. Таким образом, сообщали в Центробанке, можно узнать имя, отчество и первую букву фамилии человека, а также в каком банке у него открыт счет. В ЦБ предположили, что с этими данными мошенники могут совершать хищения, используя методы «социальной инженерии», то есть, например, позвонить кому-либо и убедить его выдать важную информацию.
Видеокадры с места пожара у аэропорта Минвод
Зеленский подписал закон об увеличении штрафов за нарушения воинского учета
Путин на вопрос о мирных переговорах ответил словами «нас не приглашают»
Пол Маккартни первым среди британских музыкантлв вошел в список миллиардеров
Терминалы Starlink, которые применяют ВСУ, вышли из строя
Минобороны опубликовало видеокадры с уничтожением безэкипажных катеров ВСУ
Как в России и других странах потребляют и производят вино. Инфографика
Чемезов оценил сравнение сегодняшней ситуации с серединой 1980-х. Видео
Боррель пообещал, что ЕС не признает независимость Тайваня
Президент Сербии Вучич процитировал маршала Жукова
Во что инвестирует герой «Игры на понижение»? Сделки Майкла Бьюрри
Российский автомобиль «Атом» вывели на открытые тесты. Фото
В Москве не будут строить слишком маленькое жилье. Что это значит
Какая обувь опасна для здоровья. Карточки
