Мошенники научились красть деньги с банковских счетов с использованием Системы быстрых платежей

Мошенники нашли новый способ выводить деньги со счетов клиентов банков, используя Систему быстрых платежей (СБП). 

Об этом сообщает газета «КоммерсантЪ» со ссылкой на бюллетень подразделения Банка России ФинЦЕРТ, которое занимается мониторингом и реагированием на компьютерные атаки в кредитно-финансовой сфере.

Как сообщает издание, мошенники через брешь в системе одного из банков получили доступ к данным счетов клиентов, после чего запустили мобильное приложение в режиме отладки, авторизуясь как реальные клиенты. 

После этого они дали команду на перевод денег, но вместо своего счета, с которого должны списываться средства, указали счет другого клиента банка. 

Система не проверяет принадлежность счета и списывает деньги у другого лица, переводя их мошеннику. 

Как сообщили участники рынка изданию, это первый случай хищения с помощью СБП.

ФинЦЕРТ также отмечала, что мошенники получили номера счетов клиентов банков, используя метод перебора.

В Центробанке рассказали, что проблема обнаружена в мобильном приложении и системах дистанционного обслуживания одного банка и была краткосрочной. «Она была оперативно устранена», — подчеркнули в ЦБ, не уточнив, о каком банке идет речь. Кроме того, по данным регулятора, сама Система быстрых платежей надежно защищена.

В Национальной системе платежных карт, которая выступает операционным платежным клиринговым центром СБП, подтвердили, что проблема была локальной, а в программном обеспечении самой системы брешей не было найдено.
Как рассказал источник издания в крупном банке, об уязвимости мог знать только тот, кто хорошо знаком с архитектурой приложения этого банка.

"То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал", — предположил собеседник.

Но ведущий эксперт «Лаборатории Касперского» Сергей Голованов считает случайное обнаружение даже такой уязвимости вполне вероятным: 

"Уязвимости могут встретиться в любом ПО, ведь программы, в том числе приложения для интернет-банкинга, пишут люди, которые могут ошибаться. Обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов".

По его словам, в «Лаборатории Касперского» периодически отмечают случаи успешных атак на мобильные банки кредитных организаций.