ЦБ обнаружил способ хищения денег через Систему быстрых платежей
Специалисты выявили новый способ хищения средств со счетов клиентов банков через Систему быстрых платежей, пишет "Коммерсант" со ссылкой на бюллетень подразделения Банка России ФинЦЕРТ.
Эксперты выяснили, что при подключении функции переводов по СБП в мобильном банке одной из кредитных организаций была оставлена уязвимость. Мошенники смогли воспользоваться этой ошибкой и получить данные счетов клиентов.
Далее злоумышленники запустили мобильный банк в режиме отладки, авторизовавшись как реальные клиенты, и отправили запрос на перевод средств в другой банк, только вместо своего счета для списания указали номер счета другого клиента. Так как система не проверяет принадлежность счета, она списала деньги и перевела их мошенникам.
По словам участников рынка, это первый случай хищения средств с помощью СБП. Как пояснили изданию источники в банковских кругах, об уязвимости мог знать только кто-то, хорошо знакомый с архитектурой приложения: сотрудник или разработчик.
В Центробанке отметили, что проблему обнаружили в мобильном приложении только одной кредитной организации и оперативно устранили. В программном обеспечении самой системы бреши не нашли.
