ФинЦЕРТ предупредил о новой схеме хищения денежных средств с банковских счетов клиентов с использованием Системы быстрых платежей (СБП): злоумышленники используют уязвимость в одной из банковских систем.
Как стало известно «Комерсанту», связано это с тем, что в одной из финансовых организаций ‒ название не раскрывается ‒ изначально была оставлена уязвимость, связанная с открытым API-интерфейсом. Используя ее, злоумышленник получал данные счетов клиентов. Затем он запускал мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправлял запрос на перевод средств в другой банк. Однако перед совершением перевода, вместо своего счета отправителя средств, мошенник указывал номер счета другого клиента этого банка.
Сервис дистанционного банковского обслуживания (ДБО), не проверив, принадлежит ли указанный счет отправителю, направил в СБП команду на перевод средств, а та его беспрекословно осуществила.
Именно таким образом мошенники отправляли себе деньги с чужих счетов. Причем, как отмечают участники рынка, это первый случай хищения средств с помощью СБП.
«Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена», ‒ подтвердили факт в Центробанке.
Источник издания в одной из крупных финансовых организаций уверяет, что сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал».
Однако ведущий юрист объединенного юридического центра «Парфенон» Павел Уткин дает более сдержанную оценку: по его мнению, любой технологический проект, особенно такой сложный, как Система быстрых платежей, включающий в себя многих участников, на старте может в себе заключать уязвимости, в том числе носящие и критический характер.
«Именно по этой причине специалисты подвергают СБП многочисленным аудитам, ведь речь может идти о крупных денежных суммах и репутационном ущербе», ‒ указывает он в беседе с «Финансовой газетой».
Как напоминает юрист, еще до массового запуска проекта сотрудникам банка удалось выявить отсутствие опции отмены операции, что не могло бы привести к материальному ущербу, однако это бы значительно сокращало функционал системы.
Впрочем, обнаруженная схема хищения, на что обращает внимание Павел Уткин, касается не самой СБП, а некоего банковского приложения, которое к ней подключается.
«Проблема отнюдь не нова. Мошенники и прежде создавали “клоны” популярных мобильных банковских приложений, актуальность которых возросла в период вспышки пандемии COVID-19. Однако, как показал ФинЦЕРТ, выявивший узкие места в открытом API-интерфейсе, не всегда надежно защищены и приложения от реальных банков. Если раньше мошенники занимались подбором идентификаторов и методами социальной инженерии, то с этой уязвимостью их задача могла бы значительно упроститься», ‒ полагает эксперт.
По мнению Павла Уткина, данное ЧП является серьезным поводом для самого банка проверить безопасность кода своих приложений, поскольку потери клиентов лягут на его плечи.
Вместе с тем юрист предупреждает и рядовых граждан, как обезопасить и себя, и собственные деньги.
«Чтобы не попасться на удочку злоумышленников, необходимо следовать стандартным методам финансовой гигиены – не сообщать исчерпывающую информацию о паролях или номерах даже сотрудникам банков, не совершать платежи на сомнительных сайтах и, если речь идет о банковском приложении, читать обзоры специалистов по кибербезопасности в отношении их потенциальной уязвимости и делать правильные выводы», ‒ резюмирует юрист.