Мошенники использовали СБП для хищений
24 августа. Profit-Partner.RU - Банк России выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП), сообщает "Коммерсант". По сведениям газеты, ФинЦЕРТ на прошлой неделе разослал в банки бюллетень с описанием новой схемы хищения. Как пояснил “Ъ” источник, знакомый с ситуацией, злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. В ЦБ “Ъ” подтвердили факт инцидента Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк, пишет "Ъ". По словам источника газеты в крупном банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно. Однако, ведущий эксперт "Лаборатории Касперского" Сергей Голованов считает случайное обнаружение даже такой уязвимости вполне вероятным, сообщает "Ъ". В ЦБ газете подтвердили факт инцидента, заявив, что "проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер". "Она была оперативно устранена", - заявили в ЦБ.