Календарь мероприятий


Мошенники нашли способ выводить деньги через СБП

ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.
Как стало известно "Ъ", ФинЦЕРТ на прошлой неделе разослал в банки бюллетень с описанием новой схемы хищения. Как пояснил "Ъ" источник, знакомый с ситуацией, злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов.
По словам участников рынка, это первый случай хищения средств с помощью СБП.
В бюллетене отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API (программного интерфейса приложения) дистанционного банковского обслуживания (ДБО).
В ЦБ "Ъ" подтвердили факт инцидента: "Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена". Названия банка в ЦБ не раскрыли, но подчеркнули, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения системы. В НСПК, которая выступает операционным платежным клиринговым центром СБП, также отметили, что в ПО системы уязвимостей не выявлено: Была обнаружена локальная проблема в программном обеспечении, разработанном для одного конкретного банка".
По словам источника "Ъ" в крупном банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно: "О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал".
Впрочем, ведущий эксперт "Лаборатории Касперского" Сергей Голованов считает случайное обнаружение даже такой уязвимости вполне вероятным: "Уязвимости могут встретиться в любом ПО, ведь программы, в том числе приложения для интернет-банкинга, пишут люди, которые могут ошибаться. Обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов". По его словам, в "Лаборатории Касперского" периодически отмечают случаи успешных атак на мобильные банки кредитных организаций.
Однако ни в одной из опрошенных "Ъ" крупных кредитных организаций не подтвердили случаев успешного взлома мобильного банка.
Мошеннические операции с участием людей, сотрудничавших с разработчиками или тестировщиками ПО, на рынке хорошо известны. По словам заместителя директора департамента розничных клиентских решений и цифрового бизнеса Росбанка Павла Меньшикова, у любого крупного банка есть внешняя разработка: "Для минимизации рисков проводится тестирование на всех этапах разработки, в том числе и регресс всего функционала независимой командой".
Директор департамента Digital банка "Открытие" Александр Пятигорский отмечает, что API по своей сути это только формат взаимодействия сторон (в описанном случае банков и СБП). "Риски в таком взаимодействии лежат на уровне надежности каждого элемента взаимодействия,- заявил он.- У нас в банке выстроена многоуровневая система тестирования, один из которых - тестирование со стороны внешнего бета-сообщества, в котором установлены крайне высокие выплаты для обнаружившего любой риск безопасности".
Источник: КоммерсантЪ: https://www.kommersant.ru/doc/4465889


24.08.2020

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости ББТ
31.10.2024
Обновление раздела ББТ "Информационная безопасность банка" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Противодействие легализации" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Внутренний контроль в банке" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Кредитные операции в банке" - от 31.10.2024
31.10.2024
Обновление раздела ББТ "Противодействие НИИИ/МР" от 31.10.2024 Все новости
Наши мероприятия
26.11.2024
26.11.2024 - "Первая работа. Путеводитель"
25.11.2024
25.11.2024 - "Как ключевая ставка Банка России позволяет управлять инфляцией"
22.11.2024
22.11.2024 - "Инфляция и рынок труда"
05.11.2024
05.11.2024 - "Розничные инвесторы и торговля на бирже"
22.10.2024
22.10.2024 - "Основы потребительского кредитования. Обзорная лекция" Все новости
Новости для банков
09.07.2024
ВНИМАНИЮ КЛИЕНТСКИХ И ЮРИДИЧЕСКИХ СЛУЖБ БАНКОВ
24.12.2024
ЦБ согласовал с Росфинмониторингом рекомендации банкам против мошенничества
24.12.2024
Массовые неплатежи в розничном банковском кредитовании
24.12.2024
ЦБ намерен учитывать в выручке экспортеров для включения в перечень отчитывающихся наличные и цифровые права
23.12.2024
Ставки по вкладам в России достигли рекорда Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости