Мошенники смогли вывести деньги через Системы быстрых платежей
Как сообщает «Коммерсантъ», ссылаясь на текст бюллетене ФинЦЕРТ, разосланного в банки на прошлой неделе, ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей, Центробанк выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей.
Как пояснил источник, знакомый с ситуацией, злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов.
В бюллетене отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API дистанционного банковского обслуживания.
В ЦБ подтвердили факт инцидента:
»Проблема была выявлена в программном обеспечении одного банка и носила краткосрочный характер. Она была оперативно устранена». Названия банка в ЦБ не раскрыли, но подчеркнули, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения системы. В НСПК, которая выступает операционным платежным клиринговым центром СБП, также отметили, что в ПО системы уязвимостей не выявлено».
Как пояснил источник, знакомый с ситуацией, злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов.
В бюллетене отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API дистанционного банковского обслуживания.
В ЦБ подтвердили факт инцидента:
»Проблема была выявлена в программном обеспечении одного банка и носила краткосрочный характер. Она была оперативно устранена». Названия банка в ЦБ не раскрыли, но подчеркнули, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения системы. В НСПК, которая выступает операционным платежным клиринговым центром СБП, также отметили, что в ПО системы уязвимостей не выявлено».
Ещё новости по теме:
18:20