Хакеры начали использовать Систему быстрых платежей для кражи денег со счетов клиентов российских банков. Подобное стало возможным из-за уязвимости, выявленной специалистами Центробанка (ЦБ), пишет издание «Коммерсант». В ЦБ уже заявили, что закрыли уязвимость.
Система быстрых платежей (СБП) стала инструментом воровства денег со счетов клиентов. Хакеры использовали уязвимость, обнаруженную в программном обеспечении одного из банков, подключенных к ней. Эксперты отмечают, что злоумышленники и раньше пытались использовать СБП для личного обогащения, но сделать это у них получилось впервые.
Как пояснил специалисты, уязвимость связана с мобильным приложением одного из банков, в котором есть возможность активации опции переводов средств через систему быстрых платежей. Злоумышленник смог запустить мобильное банковское ПО в режиме отладки и авторизоваться в нем как его реальный клиент. После этого он направил запрос на перевод денег в другой банк, но вместо реального счета, с которого должен был быть осуществлен перевод, указал номер счета другого совершенно другого клиента этого же банка.
Система дистанционного банковского обслуживания (ДБО) по неизвестным причинам не провела проверку принадлежности указанного при отправке номера счета клиенту, под логином которого была осуществлена авторизация в приложении, и одобрила проведение операции. В итоге получилось так, что злоумышленник смог перевести на указанный им счёт деньги, принадлежащие совершенно постороннему человеку.
Злоумышленник получил номера счетов своих жертв путем перебора, использовав уязвимость в API банковской системы ДБО. Вероятность случайно обнаружить подобную уязвимость, считают неназванные источники издания, практически нулевая. «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», – добавили они.
Центробанк подтвердил случившееся, но отметил, что проблема была оперативно устранена. По словам представителей ЦБ, уязвимость была в программном обеспечении одного из банков, но его название не раскрыли. Также они отметили, что СБП надёжно защищена.
В «Лаборатории Касперского» заявили, что подобные ошибки вполне возможно найти случайно. По их словам, их могут допускать разработчики при написании кода. В компании также отметили, что периодически случаются успешные атаки на мобильные банки крупных организаций.