Мошенники используют Систему быстрых платежей для хищения средств

Мошенники используют Систему быстрых платежей для хищения средств

Злоумышленник путем эксплуатации уязвимости в одной из банковских систем смог получить доступ к данным счетов клиентов.

Специалисты Центрального Банка РФ предупредили о новом способе хищения средств со счетов клиентов с помощью Системы быстрых платежей (СБП). Как пояснил источник газеты «КоммерсантЪ», злоумышленник путем эксплуатации уязвимости в банковской системе одной из кредитных организаций смог получить доступ к данным счетов клиентов.

Преступник запустил мобильное приложение в режиме отладки, авторизовался как реальный клиент, отправил запрос на перевод средств в другой банк, однако перед совершением транзакции вместо своего счета отправителя средств указал номер счета другого клиента того же банка. Система дистанционного банковского обслуживания (ДБО) не проверила принадлежность указанного счета отправителю и направила в СБП команду на перевод средств. Таким образом преступники отправляли себе деньги с чужих счетов.

«Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена», — подтвердили факт инцидента в ЦБ.

По словам источника, сама уязвимость была очень специфической и знать о ней мог только кто-то хорошо знакомый с архитектурой мобильного банка — либо сотрудник банка, либо разработчик ПО, либо тестировщик.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!