Хакеры вскрыли корпоративные мобильные приложения банков
Мошенники начали применять приемы, отработанные на физлицах, к компаниям. ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение и рекомендовал проверить системы дистанционного банковского обслуживания. Если уязвимости обнаружатся в стандартном программном обеспечении, которое поставляется как "коробочное решение", под угрозой могут оказаться клиенты многих российских банков, подчеркивают эксперты.
Как стало известно "Ъ", в конце прошлой недели ЦБ разослал банкам предупреждение о схеме, с помощью которой мошенники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО). Делал это авторизованный клиент банка путем подмены номера счета отправителя. В ЦБ отмечают высокий уровень подготовки атак: осведомленность атакующих в технологии ДБО на уровне разработчиков, а также в особенностях обработки платежей банком и в правилах и настройках антифрод-систем.
В документе подробно описывается схема инцидента, из которой следует, что атака была направлена на счета юрлиц, но никто не пострадал. Мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API (программный интерфейс приложения) ДБО. "Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле "Номер счета отправителя" счет жертвы",- поясняется в документе. Номера счетов жертв мошенники узнавали из открытых источников.
В Банке России отмечают участившиеся атаки на системы ДБО банков и в первую очередь на мобильные приложения. "Ввиду высокой вероятности повторения попыток реализации злоумышленниками таких сценариев атак мы ожидаем, что получатели бюллетеня проведут дополнительный контроль и соответствующие проверки применяемых систем ДБО",- говорится в документе.
Регулятор рекомендует банкам вместе с поставщиками программного обеспечения провести проверку сервисов ДБО на уязвимости. В случае их выявления до момента устранения производителем следует обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учетной записи клиента, советует ЦБ.
Летом прошлого года регулятор описывал схожее мошенничество с подменой данных отправителя, но речь шла об атаке на счета физлиц, и вывод средств осуществлялся через СБП - систему быстрых платежей. В нынешнем случае потери могут быть гораздо серьезнее, поскольку лимиты на перевод средств юрлиц существенно выше, чем на переводы в СБП, да и суммы, находящиеся на счетах юрлиц, как правило, намного больше.
Глава службы информационной? безопасности ГК "Элекснет" Иван Шубин подтверждает, что описанная в бюллетене схема до сих пор использовалась преимущественно при хищении средств физлиц, а не корпоративных клиентов, и в этом ее новизна. "Чтобы эффективно противодействовать злоумышленникам, банкам необходимо, в частности, чтобы при каждой? трансакции проводилась сверка расчетного счета клиента с его учетной записью",- поясняет эксперт.
По словам гендиректора SafeTech Дениса Калемберга, атака стала возможна в результате "грубейших нарушений принципов проектирования логики приложения", что сделало бесполезными все остальные средства защиты. "Если эта система, в которой обнаружена уязвимость, является "коробочной", то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков",- уверен он.
Консультант по интернет-безопасности компании Cisco Алексей Лукацкий добавляет, что безопасность API, с помощью которых взаимодействуют между собой приложения, особенно в условиях взрывного развития финтеха в России - одна из насущных задач, "которой, к сожалению, пока мало уделяют внимание в банковском сообществе". А вот злоумышленники, подчеркивает эксперт, явно "поняли всю перспективность атак на API и будут только наращивать свои возможности".
Источник: КоммерсантЪ: https://www.kommersant.ru/doc/4692079
15.02.2021
