Выявлен новый способ мошенничества через Систему быстрых платежей
В мобильном приложении одного из банков в реализации Системы быстрых платежей обнаружили критичную уязвимость - злоумышленникам удалось перевести деньги со счета без ведома клиента.
Как пишет газета "Коммерсант", сначала хакер получил доступы к данным счетов клиентов. Затем он запустил приложение банка в отладочном режиме и через него отправил деньги на другой счет, но указал в качестве отправителя один из похищенных номеров счетов, принадлежащий третьему лицу. Ни банк, ни сама система СБП не произвели никаких дополнительных проверок и деньги были отправлены.
В клиринговом центре СБП утверждают, что сама Система и не должна была предвращать подобного рода атаки - эта задача всецело лежит на ПО банка. Источник в одном из крупных учреждений предположил, что хакер сам разрабатывал это приложение или по крайней мере участвовал в его бета-тестировании.
"О ней (уязвимости - прим.) мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал".
В настоящий момент уязвимость закрыта. Другие банки получили от ЦБ бюллетень с описанием схемы хищения - им предстоит провести тестирование собственного ПО и исключить повторение ситуации.
