СМИ: мошенники нашли способ выводить деньги через СБП - «Финансы»

24-08-2020, 08:33

По словам участников рынка, это первый случай хищения средств с помощью СБП.

ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП) — ФинЦЕРТ на прошлой неделе разослал в банки бюллетень с описанием новой схемы хищения. Об этом пишет «Коммерсант», ссылаясь на источники. При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Так, злоумышленники через такую уязвимость получили данные счетов клиентов. Затем запустили мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов.

По словам участников рынка, это первый случай хищения средств с помощью СБП. В Банке России подтвердили факт инцидента. Названия банка в ЦБ не раскрыли, но подчеркнули, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения (ПО) системы. В НСПК также отметили, что в ПО системы уязвимостей не выявлено.

Как отметил источник в банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно и о ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал.

По мнению экспертов, случайное обнаружение даже такой уязвимости может быть вполне вероятным. Обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов. API по своей сути это только формат взаимодействия сторон, а риски в таком взаимодействии лежат на уровне надежности каждого элемента взаимодействия, отметили эксперты. По их словам, в банках есть многоуровневые системы тестирования, один из которых — тестирование со стороны внешнего бета-сообщества, в котором установлены высокие выплаты для обнаружившего любой риск безопасности.

По словам участников рынка, это первый случай хищения средств с помощью СБП. ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП) — ФинЦЕРТ на прошлой неделе разослал в банки бюллетень с описанием новой схемы хищения. Об этом пишет «Коммерсант», ссылаясь на источники. При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Так, злоумышленники через такую уязвимость получили данные счетов клиентов. Затем запустили мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов. По словам участников рынка, это первый случай хищения средств с помощью СБП. В Банке России подтвердили факт инцидента. Названия банка в ЦБ не раскрыли, но подчеркнули, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения (ПО) системы. В НСПК также отметили, что в ПО системы уязвимостей не выявлено. Как отметил источник в банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно и о ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал. По мнению экспертов, случайное обнаружение даже такой уязвимости может быть вполне вероятным. Обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов. API по своей сути это только формат взаимодействия сторон, а риски в таком взаимодействии лежат на уровне надежности каждого элемента взаимодействия, отметили эксперты. По их словам, в банках есть многоуровневые системы тестирования, один из которых — тестирование со стороны внешнего бета-сообщества, в котором установлены высокие выплаты для обнаружившего любой риск безопасности.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

Комментарии (0)

02 февраль, 2026

ЕС намерен запретить себе покупать у России платину и медь - «Финансы»

Евросоюз намерен запретить себе приобретать у России платину, медь, иридий и родий, что будет отражено в 20-м пакете санкций. Об этом сообщило со ссылкой на источники агентство Bloomberg. Еврокомиссия...

СМИ: мошенники нашли способ выводить деньги через СБП - «Финансы»

По словам участников рынка, это первый случай хищения средств с помощью СБП.

Комментарии (0)

Последнее из блога

Разделы

Последние новости

ЕС намерен запретить себе

Недостроенный многоквартирный

Как изменились

Правительство ввело временный

Информация

Получить бесплатную консультацию