Центробанк РФ сообщил о новой схеме мошенничества, позволяющей злоумышленникам красть денежные средства со счетов граждан России с применением Системы быстрых платежей.
Реализация со стороны киберпреступников нового способа кражи денег с личных счетов россиян стала возможной из-за того, что при выборе в приложении онлайн-банкинга одного из банков России функции переводов через СБП есть уязвимость, связанная открытым API-интерфейсом. С ее помощью преступники имеют возможность менять номер счета клиента, который отправляет деньги. Специалисты по информационной безопасности замечают, что подобное наблюдается впервые после запуска СБП в России для проведения успешной кибератаки на кредитное учреждение.
ФинЦЕРТ несколько дней отправил в российские финансовые учреждения, работающие с Системой быстрых платежей, документы с детальным описанием нового способа кражи средств. Реализация мошеннической схемы выглядит следующим образом: киберпреступник с помощью уязвимости в онлайн-банкинге получает сведения о счетах клиентов, после чего запускает мобильное приложение в отладочном режиме, авторизовываясь в качестве реального клиента, однако перед отправкой перевода вместо своего счета отправителя указывает иной номер счета, другого клиента этого же банка.
Система дистанционного банковского обслуживания, не проверяя, относится ли введенный номер счета к реальному отправителю, направляет в Систему быстрых платежей команду на отправку денег, что и осуществляется без каких-либо ограничений. Такой подход позволил злоумышленникам украсть деньги с совершенно чужих счетов.
Номера счетов жертв киберпреступники получали с помощью обычного подбора. В Центробанке РФ отметили, что кибератаки такого типа на прошлой неделе действительно проводились: «Уязвимость была обнаружена в ПО одного из кредитных учреждений – в приложении для мобильных устройств и дистанционном банковском обслуживании. В предельно сжатые сроки специалисты устранили эту проблему».
Центробанк РФ не стал раскрывать, в каком именно банке это произошло, однако отдельно подчеркнул, что действующая в России Система быстрых платежей обладает высоким уровнем защищенности, а выявленная ранее уязвимость никак не относилась к программному обеспечению СБП.