Календарь мероприятий


Хакеры вскрыли корпоративные мобильные приложения банков

Мошенники начали применять приемы, отработанные на физлицах, к компаниям. ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение и рекомендовал проверить системы дистанционного банковского обслуживания. Если уязвимости обнаружатся в стандартном программном обеспечении, которое поставляется как "коробочное решение", под угрозой могут оказаться клиенты многих российских банков, подчеркивают эксперты.
Как стало известно "Ъ", в конце прошлой недели ЦБ разослал банкам предупреждение о схеме, с помощью которой мошенники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО). Делал это авторизованный клиент банка путем подмены номера счета отправителя. В ЦБ отмечают высокий уровень подготовки атак: осведомленность атакующих в технологии ДБО на уровне разработчиков, а также в особенностях обработки платежей банком и в правилах и настройках антифрод-систем.
В документе подробно описывается схема инцидента, из которой следует, что атака была направлена на счета юрлиц, но никто не пострадал. Мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API (программный интерфейс приложения) ДБО. "Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле "Номер счета отправителя" счет жертвы",- поясняется в документе. Номера счетов жертв мошенники узнавали из открытых источников.
В Банке России отмечают участившиеся атаки на системы ДБО банков и в первую очередь на мобильные приложения. "Ввиду высокой вероятности повторения попыток реализации злоумышленниками таких сценариев атак мы ожидаем, что получатели бюллетеня проведут дополнительный контроль и соответствующие проверки применяемых систем ДБО",- говорится в документе.
Регулятор рекомендует банкам вместе с поставщиками программного обеспечения провести проверку сервисов ДБО на уязвимости. В случае их выявления до момента устранения производителем следует обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учетной записи клиента, советует ЦБ.
Летом прошлого года регулятор описывал схожее мошенничество с подменой данных отправителя, но речь шла об атаке на счета физлиц, и вывод средств осуществлялся через СБП - систему быстрых платежей. В нынешнем случае потери могут быть гораздо серьезнее, поскольку лимиты на перевод средств юрлиц существенно выше, чем на переводы в СБП, да и суммы, находящиеся на счетах юрлиц, как правило, намного больше.
Глава службы информационной? безопасности ГК "Элекснет" Иван Шубин подтверждает, что описанная в бюллетене схема до сих пор использовалась преимущественно при хищении средств физлиц, а не корпоративных клиентов, и в этом ее новизна. "Чтобы эффективно противодействовать злоумышленникам, банкам необходимо, в частности, чтобы при каждой? трансакции проводилась сверка расчетного счета клиента с его учетной записью",- поясняет эксперт.
По словам гендиректора SafeTech Дениса Калемберга, атака стала возможна в результате "грубейших нарушений принципов проектирования логики приложения", что сделало бесполезными все остальные средства защиты. "Если эта система, в которой обнаружена уязвимость, является "коробочной", то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков",- уверен он.
Консультант по интернет-безопасности компании Cisco Алексей Лукацкий добавляет, что безопасность API, с помощью которых взаимодействуют между собой приложения, особенно в условиях взрывного развития финтеха в России - одна из насущных задач, "которой, к сожалению, пока мало уделяют внимание в банковском сообществе". А вот злоумышленники, подчеркивает эксперт, явно "поняли всю перспективность атак на API и будут только наращивать свои возможности".
Источник: КоммерсантЪ: https://www.kommersant.ru/doc/4692079

15.02.2021

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости ББТ
29.02.2024
Обновление раздела ББТ "Внутренний контроль в банке" от 29.02.2024
29.02.2024
Обновление раздела ББТ "Банковские риски" от 29.02.2024
29.02.2024
Обновление раздела ББТ "Кредитные операции в банке" - от 29.02.2024
29.02.2024
Обновление раздела ББТ "Сделки и операции банка на фондовом и денежном рынках" от 29.02.2024
29.02.2024
Обновление раздела ББТ "Валютный контроль" от 29.02.2024 Все новости
Наши мероприятия
09.04.2024
09.04.2024 - "Роль данных в современном банковском бизнесе"
05.04.2024
05.04.2024 - "Протекционизм в рыночной экономике"
19.04.2024
19.04.2024 - "Современное страхование жизни: проблемы и перспективы"
15.04.2024
15.04.2024 - "Цифровая экосистема исламских финансов"
12.04.2024
12.04.2024 - "От безналичных расчётов к цифровым валютам"
11.04.2024
11.04.2024 - "Обзор изменений банковского законодательства за IV кв 2023 г."
10.04.2024
10.04.2024 - "Современные риски мировой финансовой системы" Все новости
Новости для банков
09.04.2024
09.04.2024 - "Роль данных в современном банковском бизнесе"
10.04.2024
10.04.2024 - "Современные риски мировой финансовой системы"
29.03.2024
АСВ и ЦБ выработали типовое соглашение для применения в будущих проектах санации
29.03.2024
В ЦБ напомнили о работающих в России сервисах для безналичной оплаты
29.03.2024
Банки требуют объяснений Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости